Risiko Dompet Palsu dan Kebocoran Frasa Benih Pribadi
Latar Belakang
Dompet memainkan peran penting dalam dunia Web3. Mereka adalah alat penyimpanan untuk aset digital dan alat yang diperlukan bagi pengguna untuk melakukan transaksi dan mengakses DApps. masalah sebelumnya Dalam Panduan Pemula Keamanan Web3 untuk Menghindari Jatuh ke Lubang, kami terutama memperkenalkan kategorisasi dompet dan mencantumkan titik risiko umum untuk membantu pembaca memahami konsep dasar keamanan dompet. Dengan popularitas cryptocurrency dan teknologi blockchain, para penjahat cyber juga telah menargetkan dana pengguna Web3. Menurut formulir pencurian yang diterima Tim Keamanan SlowMist, dapat dilihat bahwa banyak pengguna telah menjadi korban pencurian karena mengunduh/membeli dompet palsu. Oleh karena itu, dalam isu ini, kami akan mengeksplorasi mengapa pengguna mungkin mengunduh/membeli dompet palsu dan risiko kebocoran kunci pribadi/seed phrase. Selain itu, kami akan memberikan serangkaian rekomendasi keamanan untuk membantu pengguna melindungi dana mereka.
Unduh dompet palsu
Karena banyak ponsel tidak mendukung Google Play Store atau karena masalah jaringan, banyak orang akan mengunduh dompet dari cara lain, seperti:
Situs unduhan pihak ketiga
Beberapa pengguna akan mengunduh dompet melalui situs unduhan pihak ketiga seperti apkcombo, apkpure, dll. Situs-situs ini sering mengiklankan bahwa aplikasi mereka diunduh dari cermin Google Play Store, tetapi seberapa amankah itu? Tim keamanan SlowMist telah melakukan investigasi dan analisis terhadap sumber-sumber palsu Web3 dompet dari pihak ketiga, dan hasilnya menunjukkan bahwa versi dompet yang disediakan oleh situs unduhan pihak ketiga apkcombo tidak ada. Begitu pengguna membuat dompet atau mengimpor frasa benih dompet di antarmuka mulai, dompet palsu tersebut akan mengirim frasa benih dan informasi lainnya ke server situs web phishing.
Mesin pencari
Peringkat hasil mesin pencari bisa dimanipulasi, menyebabkan kasus di mana situs web resmi palsu menduduki peringkat lebih tinggi dari yang asli. Oleh karena itu, tidak disarankan bagi pengguna untuk langsung mencari dompet melalui mesin pencari dan kemudian mengklik tautan peringkat teratas untuk mengunduh dompet. Melakukan hal tersebut sangat mungkin akan mengakses situs web resmi palsu dan mengunduh dompet palsu. Ketika pengguna tidak yakin dengan URL situs web resmi, sulit untuk menentukan apakah itu situs web palsu hanya berdasarkan tampilan halaman situs web. Hal ini karena penipu membuat situs web palsu yang sangat mirip dengan situs web resmi yang asli, sehingga sulit untuk membedakan keduanya. Oleh karena itu, juga tidak disarankan bagi pengguna untuk mengklik tautan yang dibagikan oleh pengguna lain di platform seperti Twitter atau platform lainnya, karena seringkali tautan phishing.
Kerabat dan Teman/Penipuan Pemotongan Babi
Di hutan gelap blockchain, mempertahankan nol kepercayaan adalah penting. Meskipun teman dan keluarga Anda mungkin tidak memiliki niat jahat terhadap Anda, dompet yang mereka unduh bisa jadi palsu, dan mereka mungkin belum dirusak. Oleh karena itu, jika Anda mengunduh dompet melalui kode QR/tautan yang mereka bagikan, ada kemungkinan mengunduh dompet palsu.
Tim Keamanan SlowMist telah menerima banyak laporan insiden penipuan yang melibatkan pencurian dana. Para penipu sering kali membangun kepercayaan dengan korban, membimbing mereka ke investasi kriptokurensi, dan kemudian membagikan tautan untuk mengunduh dompet palsu. Pada akhirnya, korban tidak hanya kehilangan dana mereka tetapi juga kepercayaan mereka. Oleh karena itu, pengguna harus tetap waspada saat berinteraksi dengan kenalan online, terutama ketika mereka mendorong investasi atau mengirim tautan yang mencurigakan. Jangan percaya pada mereka dalam situasi seperti itu.
Telegram
Di Telegram, dengan mencari dompet terkenal, kami menemukan beberapa grup resmi palsu. Penipu akan mengklaim bahwa grup tersebut adalah saluran resmi dari dompet tertentu, dan bahkan mengingatkan pengguna di grup untuk mencari tautan situs web resmi. Namun, tautan ini semua palsu.
Toko Aplikasi
Penting untuk mengingatkan Anda bahwa aplikasi di pusat aplikasi resmi tidak selalu aman. Beberapa penjahat menginduksi pengguna untuk mengunduh aplikasi palsu dengan membeli peringkat kata kunci untuk mengalihkan lalu lintas. Pembaca disarankan untuk berhati-hati.
Jadi, apa yang dapat pengguna lakukan untuk menghindari mengunduh dompet palsu?
Unduh Aplikasi dari situs web resmi
Kemampuan untuk menemukan situs web resmi yang sebenarnya tidak hanya akan digunakan saat mengunduh dompet, tetapi juga akan digunakan ketika pengguna selanjutnya berpartisipasi dalam proyek Web3, jadi kita akan membahas bagaimana cara menemukan situs web resmi yang benar di sini.
Pengguna dapat langsung mencari pihak proyek di Twitter, dan kemudian menilai apakah itu akun resmi berdasarkan jumlah pengikut, waktu pendaftaran, dan apakah memiliki label biru atau emas. Namun, semua ini bisa dipalsukan. Dalam artikel Pihak proyek asli dan palsu | Hati-hati terhadap phishing akun palsu di area komentarSaya memberitahumu tentang produk hitam dan abu-abu yang menjual nomor imitasi tinggi. Oleh karena itu, disarankan agar pemula pertama-tama mengikuti beberapa perusahaan keamanan, praktisi keamanan, media terkenal, dll. di industri di Twitter untuk melihat apakah mereka mengikuti akun resmi yang kamu temukan.
(https://twitter.com/DefiLlama)
Melalui metode di atas, pengguna memiliki probabilitas tinggi untuk menemukan akun Twitter resmi sebenarnya, namun kita masih perlu melakukan verifikasi ganda. Setelah semua, bukan hal yang jarang akun Twitter resmi diretas, dan peretas juga akan menggantikan tautan situs web resmi pada akun resmi dengan tautan situs web resmi palsu, sehingga pengguna perlu membandingkan tautan situs web resmi yang baru saja mereka temukan dengan tautan yang ditemukan melalui saluran lain (seperti DefiLlama, CoinGecko, CoinMarketCap, dll.).
(https://landing.coingecko.com/links/)
Setelah menemukan dan mengonfirmasi tautan situs web resmi, disarankan pengguna menyimpan tautan ke bookmark sehingga mereka dapat menemukan tautan yang benar langsung dari bookmark lain kali tanpa harus mencari dan mengonfirmasinya lagi setiap kali, mengurangi kemungkinan masuk ke situs web resmi palsu.
Pusat Aplikasi
Pengguna dapat mengunduh dompet melalui toko aplikasi resmi seperti Apple Store, Google Play Store, dll., tetapi sebelum mengunduh, pastikan untuk memeriksa informasi pengembang aplikasi terlebih dahulu untuk memastikan bahwa itu konsisten dengan identitas pengembang resmi. Anda juga dapat merujuk pada informasi seperti peringkat aplikasi dan jumlah unduhan.
Verifikasi versi resmi
Beberapa pembaca yang melihat ini mungkin bertanya-tanya: bagaimana Anda memverifikasi apakah dompet yang Anda unduh adalah dompet asli? Pengguna dapat melakukan verifikasi konsistensi file, yang menentukan apakah file telah berubah selama transmisi atau penyimpanan dengan membandingkan nilai hash dari file. Pengguna hanya perlu menarik file APK yang sebelumnya diunduh ke dalam alat verifikasi hash file. Alat ini akan menggunakan fungsi hash (seperti MD5, SHA-256, dll.) untuk menghasilkan nilai hash dari file. Jika nilai ini konsisten dengan nilai hash resmi, itu adalah dompet asli; jika tidak cocok, itu adalah dompet palsu. Apa yang harus dilakukan pengguna jika mereka memverifikasi bahwa dompet mereka palsu?
Pertama, konfirmasikan lingkup kebocoran. Jika Anda hanya mengunduh dompet palsu tetapi tidak memasukkan kunci pribadi/frasa benih, maka cukup hapus aplikasinya dan unduh versi resmi kembali.
Jika kunci pribadi/frasa benih telah diimpor ke dompet palsu, itu berarti kunci pribadi/frasa benih telah bocor. Silakan buka situs web resmi untuk mengunduh dompet asli dan mengimpor kunci pribadi/frasa benih, dan membuat alamat baru untuk segera mentransfer dana yang dapat ditransfer.
Jika cryptocurrency Anda sayangnya dicuri, Anda dapat menggunakan layanan bantuan komunitas gratis kami untuk evaluasi kasus. Anda hanya perlu mengirimkan formulir sesuai dengan panduan klasifikasi (dana dicuri/penipuan/pemerasan). Pada saat yang sama, alamat hacker yang Anda kirimkan juga akan disinkronkan ke jaringan kerjasama intelijen ancaman InMist untuk pengendalian risiko. (Catatan: Kirimkan formulir berbahasa Cina ke https://aml.slowmist.com/cn/recovery-funds.html, dan kirim formulir bahasa Inggris ke https://aml.slowmist.com/recovery-funds.html)
Membeli dompet perangkat keras palsu
Situasi yang disebutkan di atas adalah mengapa dompet palsu diunduh dan solusinya. Mari kita bicara tentang mengapa dompet hardware palsu dibeli.
Beberapa pengguna memilih untuk membeli dompet keras di pusat perbelanjaan online, tetapi dompet keras dari toko resmi tidak resmi seperti itu memiliki risiko keamanan yang sangat besar, karena sebelum dompet berada di tangan pengguna, melalui berapa banyak orang akan dilewati, dan apakah komponen internal telah dimanipulasi, tidak pasti. Jika komponen internal telah dimanipulasi, akan sulit mendeteksi masalah dari penampilan dan fungsi.
(https://www.kaspersky.com/blog/palsu-trezor-perangkat-keras-dompet-kripto/48155/)
Berikut adalah beberapa cara yang kami tawarkan untuk mengatasi serangan rantai pasokan dompet keras:
Membeli dari saluran resmi: Ini adalah cara paling efektif untuk mengatasi serangan rantai pasokan. Jangan membeli dompet perangkat keras dari saluran tidak resmi, seperti mal online, agen pembelian, netizen, dll.
Periksa penampilan: Setelah mendapatkan dompet, pertama-tama periksa apakah kemasan luar telah rusak. Ini adalah yang paling dasar, meskipun kemungkinan besar para peretas tidak akan terbongkar pada langkah ini.
Autentikasi: Beberapa dompet hardware menyediakan layanan verifikasi fisik situs web resmi. Ketika pengguna menginisialisasi dompet, perangkat akan meminta pengguna untuk melakukan verifikasi fisik situs web resmi. Jika perangkat dimanipulasi selama pengiriman, maka tidak akan bisa lolos dari verifikasi perangkat asli di situs web resmi.
Mekanisme pembongkaran dan penghancuran diri: Anda dapat memilih untuk membeli dompet keras dengan mekanisme pembongkaran dan penghancuran diri. Ketika seseorang mencoba membuka dompet keras dan merusak komponen internal, mekanisme penghancuran diri akan dipicu. Semua informasi sensitif di chip keamanan akan otomatis terhapus, dan perangkat tidak akan dapat digunakan lagi.
Risiko kebocoran kunci privat/frasa benih
Melalui konten di atas, semua orang seharusnya belajar bagaimana mengunduh atau membeli dompet nyata, tetapi bagaimana cara menyimpan kunci pribadi/frasa benih merupakan masalah lain. Kunci pribadi/frasa benih adalah satu-satunya kredensial untuk memulihkan dompet dan mengendalikan aset. Kunci pribadi adalah string heksadesimal 64-bit yang terdiri dari huruf dan angka, dan frasa benih umumnya terdiri dari 12 kata. Tim keamanan SlowMist ingin mengingatkan Anda bahwa jika kunci pribadi/frasa benih bocor, aset dompet sangat mungkin dicuri. Mari kita lihat beberapa alasan umum yang menyebabkan bocornya kunci pribadi/frasa benih:
Kerahasiaan yang tidak tepat: Pengguna mungkin memberitahu kerabat dan teman-teman kunci pribadi/frasa benih dan meminta bantuan untuk menyimpannya. Akibatnya, dana dicuri oleh kerabat dan teman.
Penyimpanan atau transmisi kunci privat/frasa biji: Meskipun beberapa pengguna tahu bahwa kunci privat/frasa biji seharusnya tidak diberitahukan kepada orang lain, mereka akan menyimpan kunci privat/frasa biji melalui favorit WeChat, mengambil foto, tangkapan layar, penyimpanan awan, memo, dll. Begitu akun platform ini dikumpulkan dan berhasil diretas oleh peretas, kunci privat/frasa biji dapat dengan mudah dicuri.
Salin dan tempel kunci pribadi/frasa benih: Banyak alat clipboard dan metode input akan mengunggah catatan clipboard pengguna ke cloud, meninggalkan kunci pribadi/frasa benih terbuka dalam lingkungan yang tidak aman. Selain itu, perangkat lunak Trojan juga dapat mencuri informasi di clipboard ketika pengguna menyalin kunci pribadi/frasa benih. Oleh karena itu, tidak disarankan bagi pengguna untuk menyalin dan menempel kunci pribadi/frasa benih. Perilaku yang tampaknya tidak berbahaya ini sebenarnya dapat menimbulkan risiko kebocoran yang besar.
Jadi bagaimana cara menghindari kebocoran kunci pribadi/frasa benih?
Pertama, jangan beri tahu siapa pun, termasuk teman dan keluarga, kunci pribadi / frase benih Anda. Kedua, cobalah untuk memilih media fisik untuk menyimpan kunci pribadi / frase benih untuk mencegah peretas mendapatkannya melalui serangan jaringan dan cara lain. Misalnya, salin kunci pribadi / frase benih ke kertas berkualitas baik (Anda juga dapat menyegelnya dalam plastik) atau gunakan kotak frase benih untuk menyimpannya. Selain itu, menyiapkan multi-tanda tangan dan menyimpan kunci privat/frase seed secara tidak terdesentralisasi juga dapat meningkatkan keamanan kunci privat/frase seed. Mengenai cara mencadangkan frasa kunci pribadi / benih, Anda dapat membaca "Blockchain Dark Forest Self-Rescue Handbook" yang diproduksi oleh SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
Ringkasan
Artikel ini menjelaskan risiko-risiko saat mengunduh/membeli dompet, cara menemukan situs web resmi yang asli dan memverifikasi keaslian dompet, serta risiko kebocoran kunci pribadi/frasa benih. Kami berharap konten dari isu ini dapat membantu semua orang untuk mengambil langkah pertama ke web3. Pada isu berikutnya, kami akan menjelaskan risiko-risiko saat menggunakan dompet, seperti phishing, tanda tangan, dan risiko otorisasi. Selamat mengikuti kami. (Nb. Merek dan gambar yang disebutkan dalam artikel ini hanya digunakan untuk membantu pemahaman pembaca dan bukan merupakan rekomendasi atau jaminan)
- Artikel ini dicetak ulang dari [ Akun WeChat: teknologi kabut lambat]. Semua hak cipta milik penulis asli [Tim Keamanan SlowMist]. Jika ada keberatan terhadap cetakan ulang ini, harap hubungi Gate Belajartim, dan mereka akan menanganinya dengan cepat.
- Penolakan Tanggung Jawab: Pandangan dan opini yang tertuang dalam artikel ini semata-mata milik penulis dan tidak merupakan saran investasi apapun.
- Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau melakukan plagiarisme terhadap artikel yang diterjemahkan dilarang.
Articles connexes
Bagaimana Melakukan Penelitian Anda Sendiri (DYOR)?
Apa Itu Analisis Fundamental?
Apa itu Tronscan dan Bagaimana Cara Menggunakannya?
Risiko Dompet Palsu dan Kebocoran Frasa Benih Pribadi
Latar Belakang
Dompet memainkan peran penting dalam dunia Web3. Mereka adalah alat penyimpanan untuk aset digital dan alat yang diperlukan bagi pengguna untuk melakukan transaksi dan mengakses DApps. masalah sebelumnya Dalam Panduan Pemula Keamanan Web3 untuk Menghindari Jatuh ke Lubang, kami terutama memperkenalkan kategorisasi dompet dan mencantumkan titik risiko umum untuk membantu pembaca memahami konsep dasar keamanan dompet. Dengan popularitas cryptocurrency dan teknologi blockchain, para penjahat cyber juga telah menargetkan dana pengguna Web3. Menurut formulir pencurian yang diterima Tim Keamanan SlowMist, dapat dilihat bahwa banyak pengguna telah menjadi korban pencurian karena mengunduh/membeli dompet palsu. Oleh karena itu, dalam isu ini, kami akan mengeksplorasi mengapa pengguna mungkin mengunduh/membeli dompet palsu dan risiko kebocoran kunci pribadi/seed phrase. Selain itu, kami akan memberikan serangkaian rekomendasi keamanan untuk membantu pengguna melindungi dana mereka.
Unduh dompet palsu
Karena banyak ponsel tidak mendukung Google Play Store atau karena masalah jaringan, banyak orang akan mengunduh dompet dari cara lain, seperti:
Situs unduhan pihak ketiga
Beberapa pengguna akan mengunduh dompet melalui situs unduhan pihak ketiga seperti apkcombo, apkpure, dll. Situs-situs ini sering mengiklankan bahwa aplikasi mereka diunduh dari cermin Google Play Store, tetapi seberapa amankah itu? Tim keamanan SlowMist telah melakukan investigasi dan analisis terhadap sumber-sumber palsu Web3 dompet dari pihak ketiga, dan hasilnya menunjukkan bahwa versi dompet yang disediakan oleh situs unduhan pihak ketiga apkcombo tidak ada. Begitu pengguna membuat dompet atau mengimpor frasa benih dompet di antarmuka mulai, dompet palsu tersebut akan mengirim frasa benih dan informasi lainnya ke server situs web phishing.
Mesin pencari
Peringkat hasil mesin pencari bisa dimanipulasi, menyebabkan kasus di mana situs web resmi palsu menduduki peringkat lebih tinggi dari yang asli. Oleh karena itu, tidak disarankan bagi pengguna untuk langsung mencari dompet melalui mesin pencari dan kemudian mengklik tautan peringkat teratas untuk mengunduh dompet. Melakukan hal tersebut sangat mungkin akan mengakses situs web resmi palsu dan mengunduh dompet palsu. Ketika pengguna tidak yakin dengan URL situs web resmi, sulit untuk menentukan apakah itu situs web palsu hanya berdasarkan tampilan halaman situs web. Hal ini karena penipu membuat situs web palsu yang sangat mirip dengan situs web resmi yang asli, sehingga sulit untuk membedakan keduanya. Oleh karena itu, juga tidak disarankan bagi pengguna untuk mengklik tautan yang dibagikan oleh pengguna lain di platform seperti Twitter atau platform lainnya, karena seringkali tautan phishing.
Kerabat dan Teman/Penipuan Pemotongan Babi
Di hutan gelap blockchain, mempertahankan nol kepercayaan adalah penting. Meskipun teman dan keluarga Anda mungkin tidak memiliki niat jahat terhadap Anda, dompet yang mereka unduh bisa jadi palsu, dan mereka mungkin belum dirusak. Oleh karena itu, jika Anda mengunduh dompet melalui kode QR/tautan yang mereka bagikan, ada kemungkinan mengunduh dompet palsu.
Tim Keamanan SlowMist telah menerima banyak laporan insiden penipuan yang melibatkan pencurian dana. Para penipu sering kali membangun kepercayaan dengan korban, membimbing mereka ke investasi kriptokurensi, dan kemudian membagikan tautan untuk mengunduh dompet palsu. Pada akhirnya, korban tidak hanya kehilangan dana mereka tetapi juga kepercayaan mereka. Oleh karena itu, pengguna harus tetap waspada saat berinteraksi dengan kenalan online, terutama ketika mereka mendorong investasi atau mengirim tautan yang mencurigakan. Jangan percaya pada mereka dalam situasi seperti itu.
Telegram
Di Telegram, dengan mencari dompet terkenal, kami menemukan beberapa grup resmi palsu. Penipu akan mengklaim bahwa grup tersebut adalah saluran resmi dari dompet tertentu, dan bahkan mengingatkan pengguna di grup untuk mencari tautan situs web resmi. Namun, tautan ini semua palsu.
Toko Aplikasi
Penting untuk mengingatkan Anda bahwa aplikasi di pusat aplikasi resmi tidak selalu aman. Beberapa penjahat menginduksi pengguna untuk mengunduh aplikasi palsu dengan membeli peringkat kata kunci untuk mengalihkan lalu lintas. Pembaca disarankan untuk berhati-hati.
Jadi, apa yang dapat pengguna lakukan untuk menghindari mengunduh dompet palsu?
Unduh Aplikasi dari situs web resmi
Kemampuan untuk menemukan situs web resmi yang sebenarnya tidak hanya akan digunakan saat mengunduh dompet, tetapi juga akan digunakan ketika pengguna selanjutnya berpartisipasi dalam proyek Web3, jadi kita akan membahas bagaimana cara menemukan situs web resmi yang benar di sini.
Pengguna dapat langsung mencari pihak proyek di Twitter, dan kemudian menilai apakah itu akun resmi berdasarkan jumlah pengikut, waktu pendaftaran, dan apakah memiliki label biru atau emas. Namun, semua ini bisa dipalsukan. Dalam artikel Pihak proyek asli dan palsu | Hati-hati terhadap phishing akun palsu di area komentarSaya memberitahumu tentang produk hitam dan abu-abu yang menjual nomor imitasi tinggi. Oleh karena itu, disarankan agar pemula pertama-tama mengikuti beberapa perusahaan keamanan, praktisi keamanan, media terkenal, dll. di industri di Twitter untuk melihat apakah mereka mengikuti akun resmi yang kamu temukan.
(https://twitter.com/DefiLlama)
Melalui metode di atas, pengguna memiliki probabilitas tinggi untuk menemukan akun Twitter resmi sebenarnya, namun kita masih perlu melakukan verifikasi ganda. Setelah semua, bukan hal yang jarang akun Twitter resmi diretas, dan peretas juga akan menggantikan tautan situs web resmi pada akun resmi dengan tautan situs web resmi palsu, sehingga pengguna perlu membandingkan tautan situs web resmi yang baru saja mereka temukan dengan tautan yang ditemukan melalui saluran lain (seperti DefiLlama, CoinGecko, CoinMarketCap, dll.).
(https://landing.coingecko.com/links/)
Setelah menemukan dan mengonfirmasi tautan situs web resmi, disarankan pengguna menyimpan tautan ke bookmark sehingga mereka dapat menemukan tautan yang benar langsung dari bookmark lain kali tanpa harus mencari dan mengonfirmasinya lagi setiap kali, mengurangi kemungkinan masuk ke situs web resmi palsu.
Pusat Aplikasi
Pengguna dapat mengunduh dompet melalui toko aplikasi resmi seperti Apple Store, Google Play Store, dll., tetapi sebelum mengunduh, pastikan untuk memeriksa informasi pengembang aplikasi terlebih dahulu untuk memastikan bahwa itu konsisten dengan identitas pengembang resmi. Anda juga dapat merujuk pada informasi seperti peringkat aplikasi dan jumlah unduhan.
Verifikasi versi resmi
Beberapa pembaca yang melihat ini mungkin bertanya-tanya: bagaimana Anda memverifikasi apakah dompet yang Anda unduh adalah dompet asli? Pengguna dapat melakukan verifikasi konsistensi file, yang menentukan apakah file telah berubah selama transmisi atau penyimpanan dengan membandingkan nilai hash dari file. Pengguna hanya perlu menarik file APK yang sebelumnya diunduh ke dalam alat verifikasi hash file. Alat ini akan menggunakan fungsi hash (seperti MD5, SHA-256, dll.) untuk menghasilkan nilai hash dari file. Jika nilai ini konsisten dengan nilai hash resmi, itu adalah dompet asli; jika tidak cocok, itu adalah dompet palsu. Apa yang harus dilakukan pengguna jika mereka memverifikasi bahwa dompet mereka palsu?
Pertama, konfirmasikan lingkup kebocoran. Jika Anda hanya mengunduh dompet palsu tetapi tidak memasukkan kunci pribadi/frasa benih, maka cukup hapus aplikasinya dan unduh versi resmi kembali.
Jika kunci pribadi/frasa benih telah diimpor ke dompet palsu, itu berarti kunci pribadi/frasa benih telah bocor. Silakan buka situs web resmi untuk mengunduh dompet asli dan mengimpor kunci pribadi/frasa benih, dan membuat alamat baru untuk segera mentransfer dana yang dapat ditransfer.
Jika cryptocurrency Anda sayangnya dicuri, Anda dapat menggunakan layanan bantuan komunitas gratis kami untuk evaluasi kasus. Anda hanya perlu mengirimkan formulir sesuai dengan panduan klasifikasi (dana dicuri/penipuan/pemerasan). Pada saat yang sama, alamat hacker yang Anda kirimkan juga akan disinkronkan ke jaringan kerjasama intelijen ancaman InMist untuk pengendalian risiko. (Catatan: Kirimkan formulir berbahasa Cina ke https://aml.slowmist.com/cn/recovery-funds.html, dan kirim formulir bahasa Inggris ke https://aml.slowmist.com/recovery-funds.html)
Membeli dompet perangkat keras palsu
Situasi yang disebutkan di atas adalah mengapa dompet palsu diunduh dan solusinya. Mari kita bicara tentang mengapa dompet hardware palsu dibeli.
Beberapa pengguna memilih untuk membeli dompet keras di pusat perbelanjaan online, tetapi dompet keras dari toko resmi tidak resmi seperti itu memiliki risiko keamanan yang sangat besar, karena sebelum dompet berada di tangan pengguna, melalui berapa banyak orang akan dilewati, dan apakah komponen internal telah dimanipulasi, tidak pasti. Jika komponen internal telah dimanipulasi, akan sulit mendeteksi masalah dari penampilan dan fungsi.
(https://www.kaspersky.com/blog/palsu-trezor-perangkat-keras-dompet-kripto/48155/)
Berikut adalah beberapa cara yang kami tawarkan untuk mengatasi serangan rantai pasokan dompet keras:
Membeli dari saluran resmi: Ini adalah cara paling efektif untuk mengatasi serangan rantai pasokan. Jangan membeli dompet perangkat keras dari saluran tidak resmi, seperti mal online, agen pembelian, netizen, dll.
Periksa penampilan: Setelah mendapatkan dompet, pertama-tama periksa apakah kemasan luar telah rusak. Ini adalah yang paling dasar, meskipun kemungkinan besar para peretas tidak akan terbongkar pada langkah ini.
Autentikasi: Beberapa dompet hardware menyediakan layanan verifikasi fisik situs web resmi. Ketika pengguna menginisialisasi dompet, perangkat akan meminta pengguna untuk melakukan verifikasi fisik situs web resmi. Jika perangkat dimanipulasi selama pengiriman, maka tidak akan bisa lolos dari verifikasi perangkat asli di situs web resmi.
Mekanisme pembongkaran dan penghancuran diri: Anda dapat memilih untuk membeli dompet keras dengan mekanisme pembongkaran dan penghancuran diri. Ketika seseorang mencoba membuka dompet keras dan merusak komponen internal, mekanisme penghancuran diri akan dipicu. Semua informasi sensitif di chip keamanan akan otomatis terhapus, dan perangkat tidak akan dapat digunakan lagi.
Risiko kebocoran kunci privat/frasa benih
Melalui konten di atas, semua orang seharusnya belajar bagaimana mengunduh atau membeli dompet nyata, tetapi bagaimana cara menyimpan kunci pribadi/frasa benih merupakan masalah lain. Kunci pribadi/frasa benih adalah satu-satunya kredensial untuk memulihkan dompet dan mengendalikan aset. Kunci pribadi adalah string heksadesimal 64-bit yang terdiri dari huruf dan angka, dan frasa benih umumnya terdiri dari 12 kata. Tim keamanan SlowMist ingin mengingatkan Anda bahwa jika kunci pribadi/frasa benih bocor, aset dompet sangat mungkin dicuri. Mari kita lihat beberapa alasan umum yang menyebabkan bocornya kunci pribadi/frasa benih:
Kerahasiaan yang tidak tepat: Pengguna mungkin memberitahu kerabat dan teman-teman kunci pribadi/frasa benih dan meminta bantuan untuk menyimpannya. Akibatnya, dana dicuri oleh kerabat dan teman.
Penyimpanan atau transmisi kunci privat/frasa biji: Meskipun beberapa pengguna tahu bahwa kunci privat/frasa biji seharusnya tidak diberitahukan kepada orang lain, mereka akan menyimpan kunci privat/frasa biji melalui favorit WeChat, mengambil foto, tangkapan layar, penyimpanan awan, memo, dll. Begitu akun platform ini dikumpulkan dan berhasil diretas oleh peretas, kunci privat/frasa biji dapat dengan mudah dicuri.
Salin dan tempel kunci pribadi/frasa benih: Banyak alat clipboard dan metode input akan mengunggah catatan clipboard pengguna ke cloud, meninggalkan kunci pribadi/frasa benih terbuka dalam lingkungan yang tidak aman. Selain itu, perangkat lunak Trojan juga dapat mencuri informasi di clipboard ketika pengguna menyalin kunci pribadi/frasa benih. Oleh karena itu, tidak disarankan bagi pengguna untuk menyalin dan menempel kunci pribadi/frasa benih. Perilaku yang tampaknya tidak berbahaya ini sebenarnya dapat menimbulkan risiko kebocoran yang besar.
Jadi bagaimana cara menghindari kebocoran kunci pribadi/frasa benih?
Pertama, jangan beri tahu siapa pun, termasuk teman dan keluarga, kunci pribadi / frase benih Anda. Kedua, cobalah untuk memilih media fisik untuk menyimpan kunci pribadi / frase benih untuk mencegah peretas mendapatkannya melalui serangan jaringan dan cara lain. Misalnya, salin kunci pribadi / frase benih ke kertas berkualitas baik (Anda juga dapat menyegelnya dalam plastik) atau gunakan kotak frase benih untuk menyimpannya. Selain itu, menyiapkan multi-tanda tangan dan menyimpan kunci privat/frase seed secara tidak terdesentralisasi juga dapat meningkatkan keamanan kunci privat/frase seed. Mengenai cara mencadangkan frasa kunci pribadi / benih, Anda dapat membaca "Blockchain Dark Forest Self-Rescue Handbook" yang diproduksi oleh SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
Ringkasan
Artikel ini menjelaskan risiko-risiko saat mengunduh/membeli dompet, cara menemukan situs web resmi yang asli dan memverifikasi keaslian dompet, serta risiko kebocoran kunci pribadi/frasa benih. Kami berharap konten dari isu ini dapat membantu semua orang untuk mengambil langkah pertama ke web3. Pada isu berikutnya, kami akan menjelaskan risiko-risiko saat menggunakan dompet, seperti phishing, tanda tangan, dan risiko otorisasi. Selamat mengikuti kami. (Nb. Merek dan gambar yang disebutkan dalam artikel ini hanya digunakan untuk membantu pemahaman pembaca dan bukan merupakan rekomendasi atau jaminan)
- Artikel ini dicetak ulang dari [ Akun WeChat: teknologi kabut lambat]. Semua hak cipta milik penulis asli [Tim Keamanan SlowMist]. Jika ada keberatan terhadap cetakan ulang ini, harap hubungi Gate Belajartim, dan mereka akan menanganinya dengan cepat.
- Penolakan Tanggung Jawab: Pandangan dan opini yang tertuang dalam artikel ini semata-mata milik penulis dan tidak merupakan saran investasi apapun.
- Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau melakukan plagiarisme terhadap artikel yang diterjemahkan dilarang.
Articles connexes
Bagaimana Melakukan Penelitian Anda Sendiri (DYOR)?
Apa Itu Analisis Fundamental?