Bagaimana Cara Tidak Pernah Tertipu di Dunia Kripto Lagi
PEMBERITAHUAN
Panduan ini tidak dapat menjamin apa pun dan tidak ditulis dari sudut pandang seorang 'ahli kripto atau keamanan cyber'.
Ini adalah hasil dari pembelajaran berkelanjutan dari berbagai sumber dan pengalaman pribadi.
Sebagai contoh, saya sendiri pernah ditipu melalui FOMO dan keserakahan sangat awal (penipuan siaran langsung palsu dan penipuan bot MEV palsu) saat memasuki ruang ini, jadi saya meluangkan waktu untuk belajar, menyiapkan, dan memahami keamanan secara serius.
Jangan menjadi orang yang dipaksa untuk belajar tentang keamanan karena Anda kehilangan segalanya atau jumlah yang sangat besar.
HACK ATAU KESALAHAN PENGGUNA?
Semua jenis kebocoran atau kompromi dompet/token/NFT umumnya masuk ke salah satu dari dua kategori:
Penyalahgunaan persetujuan token yang sebelumnya diberikan.
Kompromi kunci pribadi/frasa benih (biasanya pada dompet panas).
PENGGESAHAN TOKEN
Persetujuan token pada dasarnya adalah izin untuk kontrak pintar untuk mengakses dan memindahkan jenis atau jumlah tertentu dari token dari dompet Anda.
Misalnya:
- Memberikan izin kepada OpenSea untuk memindahkan NFT Anda sehingga Anda dapat menjualnya.
- Memberikan izin kepada Uniswap untuk token Anda sehingga Anda dapat melakukan pertukaran.
\
Jika Anda ingin membaca latar belakang tambahan tentang persetujuan token, Anda dapat membaca benang ini di sini.
Untuk beberapa prekonteks, pada dasarnya semua hal di jaringan Ethereum, KECUALI ETH adalah token ERC-20.
Salah satu sifat dari token ERC-20 adalah kemampuan untuk memberikan izin persetujuan kepada kontrak pintar lainnya.
Persetujuan ini diperlukan pada suatu titik jika Anda ingin melakukan interaksi DeFi inti seperti pertukaran atau jembatan token.
NFT masing-masing adalah token ERC-721 dan 1155; mekanika persetujuannya bekerja mirip dengan ERC-20 namun untuk pasar NFT.
Pesan persetujuan token awal dari MetaMask (MM) memberi Anda beberapa informasi tetapi yang paling relevan adalah:
token yang Anda berikan persetujuan
situs web yang Anda interaksi dengan
kontrak pintar yang Anda interaksikan
kemampuan untuk mengedit jumlah izin token
Di bawah menu tarikan penuh, kita melihat sebuah informasi tambahan: fungsi persetujuan.
Semua token ERC-20 harus memiliki karakteristik dan properti tertentu sesuai dengan standar ERC-20 yang diuraikan.
Salah satunya adalah kemampuan kontrak pintar untuk memindahkan token berdasarkan jumlah yang disetujui.
Bahaya dalam persetujuan ini adalah jika Anda memberikan izin token pemberian kepada kontrak pintar jahat, Anda bisa memiliki aset Anda dicuri/dikuras.
PENGGUNAAN BATASAN TIDAK TERBATAS VS PENGGUNAAN BATASAN KHUSUS (TOKEN ERC-20)
Banyak aplikasi DeFi akan meminta persetujuan tanpa batas untuk token ERC20 secara default.
Ini untuk meningkatkan pengalaman pengguna karena lebih nyaman karena tidak memerlukan persetujuan masa depan yang berpotensi sehingga menghemat waktu dan biaya gas.
MENGAPA HAL INI PENTING?
Mengizinkan persetujuan untuk jumlah token yang tidak terbatas berpotensi mengancam dana Anda.
Mengedit persetujuan token secara manual ke jumlah tertentu mengatur jumlah maksimum token yang dapat dipindahkan oleh dApp yang disetujui hingga persetujuan lain ditandatangani untuk jumlah yang lebih besar.
Ini membatasi risiko downside kamu jika kontrak pintar tersebut dieksploitasi. Jika ada eksploitasi dalam sebuah dApp yang telah kamu berikan persetujuan tak terbatas, maka kamu berisiko kehilangan semua token yang telah disetujui dari dompet yang menyimpan aset tersebut dan memberikan persetujuan tersebut.
Lihatlah Eksploitasi Multichain WETH (WETH adalah pembungkus token ERC-20 dari ETH)sebagai contoh.
Jembatan yang sering digunakan ini dieksploitasi dengan menyalahgunakan izin token tanpa batas sebelumnya untuk mengambil dana dari pengguna.
Sebuah contoh (menggunakan dompet Zerion) tentang mengubah dari persetujuan Unlimited default menjadi persetujuan manual.
Persetujuan NFT
"setApprovalForAll" untuk NFT
Ini adalah persetujuan yang umum digunakan, tetapi berpotensi berbahaya yang umumnya diberikan kepada pasar NFT terpercaya ketika Anda ingin menjual NFT Anda.
Hal ini memungkinkan NFT untuk dapat ditransfer oleh kontrak pintar pasar. Dengan demikian, ketika Anda menjual NFT kepada pembeli, kontrak pintar pasar tersebut dapat secara otomatis memindahkan NFT kepada pembeli.
Persetujuan ini memberikan akses untuk semua token NFT dari alamat koleksi/kontrak spesifik.
Ini juga dapat digunakan oleh situs/kontrak jahat untuk mencuri NFT Anda.
CONTOH DARI PENGGUNA JAHAT YANG MENYALAHGUNAKAN “SETAPPROVALFORALL”
'Pemborosan dompet' klasik untuk situasi minta bebas FOMO berjalan seperti ini:
Pengguna pergi ke situs web jahat yang mereka yakini sah.
Ketika mereka menghubungkan dompet mereka ke sebuah situs web, situs web hanya dapat melihat isi dari dompet tersebut.
Namun, mereka menggunakan ini untuk memindai dompet untuk NFT dengan nilai tertinggi dan meminta 'setujui semua' dari MM untuk alamat kontrak untuk NFT ini.
Pengguna mengira mereka sedang mencetak uang, padahal sebenarnya mereka memberi persetujuan kontrak jahat untuk memindahkan token-token tersebut.
Penipu kemudian mencuri token dan melikuidasinya menjadi OS terbuka atau tawaran Blur sebelum item ditandai sebagai curian.
TANDATANGAN VS PENGESAHAN
Persetujuan MEMERLUKAN gas, karena mereka sedang memproses transaksi.
Tanda tangan tidak memerlukan biaya gas dan sering digunakan untuk masuk ke dApps untuk membuktikan bahwa Anda mengendalikan dompet tersebut.
Tanda tangan umumnya adalah tindakan yang lebih rendah risikonya tetapi masih dapat digunakan untuk mengeksploitasi persetujuan yang sebelumnya diberikan untuk situs terpercaya seperti OpenSea.
Juga dimungkinkan (untuk ERC-20) untuk mengubah persetujuan Anda dengan tanda tangan tanpa gas karena fungsi izin baru-baru ini diperkenalkan di ETH.
Ini dapat dilihat jika Anda menggunakan DEX seperti 1inch.
Sebuah pembacaan ini lebih detaildi sini.
PENGAJUAN TOKEN KESIMPULAN
Hati-hati saat memberikan persetujuan untuk segala sesuatu, pastikan Anda tahu untuk token apa Anda memberikan persetujuan dan untuk kontrak pintar apa (gunakan etherscan.)
Batasi risiko Anda untuk persetujuan:
- Manfaatkan beberapa dompet (persetujuan khusus dompet) - jangan menandatangani persetujuan untuk brankas/dompet bernilai tinggi Anda.
- Ideally mengurangi atau sepenuhnya menghindari memberikan persetujuan tanpa batas untuk ERC-20s.
- Periksa dan batalkan persetujuan secara berkala melalui etherscan atau revoke.cash.
Cabut.tunaiadalah sebuah situs web yang memungkinkan Anda dengan mudah mencabut persetujuan token yang berbeda.
DOMPET PERANGKAT KERAS/DINGIN
Dompet panas terhubung ke internet melalui komputer atau ponsel Anda. Kunci/kredensial dompet disimpan secara online atau lokal di browser Anda.
Dompet dingin adalah perangkat keras di mana kunci dibuat dan disimpan MURNI offline dan secara fisik dekat dengan Anda.
Melihat bagaimana ledger sekitar $120, jika Anda memiliki aset kripto senilai $1000 atau lebih, Anda sebaiknya membeli dan mengatur ledger. Anda dapat menghubungkan (bukan mengimpor) dompet ledger Anda ke dalam MM untuk memiliki fungsi yang sama dengan dompet panas lainnya sambil menjaga tingkat keamanan.
Ledger dan Trezor adalah yang paling populer. Saya suka Ledger karena paling kompatibel dengan dompet peramban (mirip dengan Rabby dan MM).
BEST PRACTICES WHEN BUYING A LEDGER
Selalu beli dari situs web produsen resmi, JANGAN beli di Ebay atau Amazon = kemungkinan terinfeksi / malware yang telah dimuat sebelumnya.
Pastikan kemasan tersegel ketika Anda menerima barang.
Ketika Anda pertama kali menyiapkan ledger, itu akan menghasilkan frase benih.
HANYA pernah menulis benih pada kertas FISIK, atau plat baja pada tanggal di masa depan sehingga frasa benih Anda tahan api dan air.
JANGAN pernah mengambil foto atau mengetik seed di dalam bentuk apapun (termasuk di ponsel) ini = mengubah seed menjadi data digital dan wallet "cold" Anda sekarang menjadi wallet "hot" yang tidak aman.
Kripto tidak benar-benar disimpan di dalam dompet perangkat keras tetapi "di dalam" dompet yang dihasilkan oleh frasa biji.
Frasa biji (12-24 kata) adalah SEGALANYA, itu harus dilindungi/diamankan dengan segala cara.
Ini memberikan kontrol/pengaksesan penuh ke SEMUA dompet yang dihasilkan dengan frase bibit itu.
Benih tidak spesifik perangkat, Anda dapat "mengimpor" ke dompet perangkat keras lain sebagai cadangan jika diperlukan.
Jika benih hilang/terhapus dan dompet hardware asli hilang/terhapus/terkunci = kehilangan akses ke SEMUA aset Anda SECARA PERMANEN.
Ada berbagai tingkatan penyimpanan level seed, seperti membaginya menjadi beberapa bagian, menambahkan jarak fisik antara bagian-bagian, menyimpannya di tempat-tempat yang tidak terlihat (kaleng sup di bagian bawah freezer, di bawah tanah di suatu tempat di properti Anda, dll.)
Minimalnya, Anda harus memiliki setidaknya 2-3 salinan dengan satu salinan disimpan di baja untuk melindungi dari air dan api.
Sebuah “kunci privat” mirip dengan frase benih tetapi hanya untuk 1 dompet tertentu. Biasanya digunakan untuk mengimpor dompet panas ke akun MM baru atau dalam alat otomatisasi seperti bot perdagangan.
KATA KE-25 - LEDGER
Selain kata bijak asli 24 kata, Ledger memiliki fitur keamanan tambahan yang opsional.
The Frasa sandiadalah fitur canggih yang menambahkan kata ke-25 pilihan Anda maksimum 100 karakter ke frasa pemulihan Anda.
Menggunakan Passphrase akan menyebabkan satu set alamat yang benar-benar berbeda dibuat yang tidak dapat diakses melalui frase pemulihan 24 kata saja.
Selain menambahkan lapisan lain, Passphrase memberi Anda penyangkalan yang masuk akal ketika dalam tekanan.
Jika menggunakan Passphrase, penting untuk menyimpannya dengan aman atau mengingatnya dengan sempurna, karakter demi karakter dan sensitif terhadap huruf besar dan kecil.
Ini adalah satu-satunya dan pertahanan terakhir terhadap situasi serangan "kunci pas lima dolar" di mana Anda diancam secara fisik.
KENAPA HARUS MENGALAMI SEMUA FRIKSI INI UNTUK MENYIAPKAN DOMPET PERANGKAT KERAS?
Dompet panas menyimpan kunci pribadi di lokasi yang terhubung ke Internet.
Ini sangat mudah untuk ditipu, diperdaya, dan dimanipulasi untuk mengungkapkan kredensial ini melalui Internet.
Memiliki dompet dingin berarti bahwa penipu harus secara fisik mencari dan mengambil kunci atau biji Anda untuk mendapatkan akses ke dompet tersebut dan aset di dalamnya.
Seed terancam = semua dompet panas dan aset di dalamnya berisiko, bahkan yang belum berinteraksi dengan situs/kontrak jahat.
CARA UMUM DI MASA LALU ORANG-ORANG TELAH 'DIHACK'
Cara umum di masa lalu orang telah "diretas" (kompromi frase benih) melalui dompet panas.
Ditipu untuk mengunduh malware melalui PDF tawaran pekerjaan, permainan 'beta testing', menjalankan makro via lembar Google, imitasi situs dan layanan yang sah.
Berinteraksi dengan kontrak jahat: FOMO mencetak dari situs tiruan, berinteraksi dengan kontrak dari NFT yang didrop/diterima secara tidak diketahui.
Memasukkan atau mengirimkan kunci & seed ke "layanan pelanggan" atau program/formulir terkait.
CONTOH DAN PEMBAHASAN TENTANG 'HACKS' YANG TERKENAL
Kevin Rose: Pergi untuk mencetak koleksi (art block), menandatangani transaksi tanda tangan (tanpa biaya gas) dengan mengira bahwa dia hanya masuk ke situs pencetakan.
Namun Seaport (kontrak pasar OpenSea baru) memungkinkan Anda membuat pesanan kustom yang kemudian dapat Anda terima hanya dengan tanda tangan.
Karena Kevin sudah memberikan persetujuan untuk asetnya kepada kontrak OpenSea, peretas memperdayanya untuk menandatangani sebuah tanda tangan yang memenuhi pesanan khusus untuk menjual semua NFT mahal Kevin secara gratis/~$1 kepada peretas.
Poin-poin utama:
Tanda tangan juga dapat disalahgunakan jika mereka memanfaatkan persetujuan yang sebelumnya diberikan, bahkan jika persetujuan itu diberikan kepada sumber yang dipercayai
Jangan menandatangani persetujuan OpenSea (OS) di situs web selain OS, jangan berinteraksi dengan kontrak atau situs web jika Anda memiliki dompet “grail/main vault”, kirimkan ke dompet perantara dan kemudian berinteraksi.
NFT_GOD: menggunakan opsi impor akun (berlawanan dengan menambahkan dompet keras) dari MetaMask dan mengetik frasa benihnya di MetaMask saat mengatur ledger.
Ini efektif mengubah dompet dinginnya menjadi dompet panas - ingat aturan emas sebelumnya untuk tidak pernah mendigitalkan frasa biji Anda.
Dia kemudian sepertinya mengunduh OBS palsu (perangkat lunak perekam) bernama ODS yang dipromosikan sebagai iklan di bagian atas hasil pencarian Google.
Ini adalah malware sehingga mencuri frase benih kemudian mencuri semua aset di dompet panasnya dan juga dompet dinginnya.
Kesimpulan utama:
JANGAN PERNAH 'mendigitalkan' frase benih Anda dengan cara apa pun = mengetiknya ke dalam bentuk keyboard apa pun (telepon juga) atau mengambil foto (pencadangan otomatis ke layanan cloud juga telah membahayakan orang.)
Penyangkalan:
Artikel ini dicetak ulang dari [Orang Dalam yang Berwawasan], Teruskan Judul Asal 'Bagaimana Tidak Pernah Lagi Terjebak di Kripto', Semua hak cipta milik penulis asal [BERWAWASAN]. Jika ada keberatan terhadap cetak ulang ini, silakan hubungi Gate Belajartim, dan mereka akan menanganinya dengan cepat.
Penafian Tanggung Jawab: Pandangan dan opini yang terdapat dalam artikel ini semata-mata milik penulis dan tidak merupakan nasihat investasi apa pun.
Terjemahan artikel ke bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.
HACK ATAU KESALAHAN PENGGUNA?
APPROVAL UNLIMITED VS CUSTOM LIMIT (TOKEN ERC-20)
MENGAPA HAL INI PENTING?
PENGGESAHAN NFT
CONTOH PENGGUNA JAHAT YANG MENYALAHGUNAKAN “SETAPPROVALFORALL”
TANDA TANGAN VS PENGGODAAN
TINJAUAN PERSETUJUAN TOKEN
HARDWARE/COLD WALLETS
BEST PRAKTEK SAAT MEMBELI SEBUAH LEDGER
KATA KE-25 - LEDGER
Artikel terkait
Bagaimana Mempertaruhkan ETH?
Bagaimana Melakukan Penelitian Anda Sendiri (DYOR)?
Apa itu Solana?
Bagaimana Cara Tidak Pernah Tertipu di Dunia Kripto Lagi
HACK ATAU KESALAHAN PENGGUNA?
APPROVAL UNLIMITED VS CUSTOM LIMIT (TOKEN ERC-20)
MENGAPA HAL INI PENTING?
PENGGESAHAN NFT
CONTOH PENGGUNA JAHAT YANG MENYALAHGUNAKAN “SETAPPROVALFORALL”
TANDA TANGAN VS PENGGODAAN
TINJAUAN PERSETUJUAN TOKEN
HARDWARE/COLD WALLETS
BEST PRAKTEK SAAT MEMBELI SEBUAH LEDGER
KATA KE-25 - LEDGER
PEMBERITAHUAN
Panduan ini tidak dapat menjamin apa pun dan tidak ditulis dari sudut pandang seorang 'ahli kripto atau keamanan cyber'.
Ini adalah hasil dari pembelajaran berkelanjutan dari berbagai sumber dan pengalaman pribadi.
Sebagai contoh, saya sendiri pernah ditipu melalui FOMO dan keserakahan sangat awal (penipuan siaran langsung palsu dan penipuan bot MEV palsu) saat memasuki ruang ini, jadi saya meluangkan waktu untuk belajar, menyiapkan, dan memahami keamanan secara serius.
Jangan menjadi orang yang dipaksa untuk belajar tentang keamanan karena Anda kehilangan segalanya atau jumlah yang sangat besar.
HACK ATAU KESALAHAN PENGGUNA?
Semua jenis kebocoran atau kompromi dompet/token/NFT umumnya masuk ke salah satu dari dua kategori:
Penyalahgunaan persetujuan token yang sebelumnya diberikan.
Kompromi kunci pribadi/frasa benih (biasanya pada dompet panas).
PENGGESAHAN TOKEN
Persetujuan token pada dasarnya adalah izin untuk kontrak pintar untuk mengakses dan memindahkan jenis atau jumlah tertentu dari token dari dompet Anda.
Misalnya:
- Memberikan izin kepada OpenSea untuk memindahkan NFT Anda sehingga Anda dapat menjualnya.
- Memberikan izin kepada Uniswap untuk token Anda sehingga Anda dapat melakukan pertukaran.
\
Jika Anda ingin membaca latar belakang tambahan tentang persetujuan token, Anda dapat membaca benang ini di sini.
Untuk beberapa prekonteks, pada dasarnya semua hal di jaringan Ethereum, KECUALI ETH adalah token ERC-20.
Salah satu sifat dari token ERC-20 adalah kemampuan untuk memberikan izin persetujuan kepada kontrak pintar lainnya.
Persetujuan ini diperlukan pada suatu titik jika Anda ingin melakukan interaksi DeFi inti seperti pertukaran atau jembatan token.
NFT masing-masing adalah token ERC-721 dan 1155; mekanika persetujuannya bekerja mirip dengan ERC-20 namun untuk pasar NFT.
Pesan persetujuan token awal dari MetaMask (MM) memberi Anda beberapa informasi tetapi yang paling relevan adalah:
token yang Anda berikan persetujuan
situs web yang Anda interaksi dengan
kontrak pintar yang Anda interaksikan
kemampuan untuk mengedit jumlah izin token
Di bawah menu tarikan penuh, kita melihat sebuah informasi tambahan: fungsi persetujuan.
Semua token ERC-20 harus memiliki karakteristik dan properti tertentu sesuai dengan standar ERC-20 yang diuraikan.
Salah satunya adalah kemampuan kontrak pintar untuk memindahkan token berdasarkan jumlah yang disetujui.
Bahaya dalam persetujuan ini adalah jika Anda memberikan izin token pemberian kepada kontrak pintar jahat, Anda bisa memiliki aset Anda dicuri/dikuras.
PENGGUNAAN BATASAN TIDAK TERBATAS VS PENGGUNAAN BATASAN KHUSUS (TOKEN ERC-20)
Banyak aplikasi DeFi akan meminta persetujuan tanpa batas untuk token ERC20 secara default.
Ini untuk meningkatkan pengalaman pengguna karena lebih nyaman karena tidak memerlukan persetujuan masa depan yang berpotensi sehingga menghemat waktu dan biaya gas.
MENGAPA HAL INI PENTING?
Mengizinkan persetujuan untuk jumlah token yang tidak terbatas berpotensi mengancam dana Anda.
Mengedit persetujuan token secara manual ke jumlah tertentu mengatur jumlah maksimum token yang dapat dipindahkan oleh dApp yang disetujui hingga persetujuan lain ditandatangani untuk jumlah yang lebih besar.
Ini membatasi risiko downside kamu jika kontrak pintar tersebut dieksploitasi. Jika ada eksploitasi dalam sebuah dApp yang telah kamu berikan persetujuan tak terbatas, maka kamu berisiko kehilangan semua token yang telah disetujui dari dompet yang menyimpan aset tersebut dan memberikan persetujuan tersebut.
Lihatlah Eksploitasi Multichain WETH (WETH adalah pembungkus token ERC-20 dari ETH)sebagai contoh.
Jembatan yang sering digunakan ini dieksploitasi dengan menyalahgunakan izin token tanpa batas sebelumnya untuk mengambil dana dari pengguna.
Sebuah contoh (menggunakan dompet Zerion) tentang mengubah dari persetujuan Unlimited default menjadi persetujuan manual.
Persetujuan NFT
"setApprovalForAll" untuk NFT
Ini adalah persetujuan yang umum digunakan, tetapi berpotensi berbahaya yang umumnya diberikan kepada pasar NFT terpercaya ketika Anda ingin menjual NFT Anda.
Hal ini memungkinkan NFT untuk dapat ditransfer oleh kontrak pintar pasar. Dengan demikian, ketika Anda menjual NFT kepada pembeli, kontrak pintar pasar tersebut dapat secara otomatis memindahkan NFT kepada pembeli.
Persetujuan ini memberikan akses untuk semua token NFT dari alamat koleksi/kontrak spesifik.
Ini juga dapat digunakan oleh situs/kontrak jahat untuk mencuri NFT Anda.
CONTOH DARI PENGGUNA JAHAT YANG MENYALAHGUNAKAN “SETAPPROVALFORALL”
'Pemborosan dompet' klasik untuk situasi minta bebas FOMO berjalan seperti ini:
Pengguna pergi ke situs web jahat yang mereka yakini sah.
Ketika mereka menghubungkan dompet mereka ke sebuah situs web, situs web hanya dapat melihat isi dari dompet tersebut.
Namun, mereka menggunakan ini untuk memindai dompet untuk NFT dengan nilai tertinggi dan meminta 'setujui semua' dari MM untuk alamat kontrak untuk NFT ini.
Pengguna mengira mereka sedang mencetak uang, padahal sebenarnya mereka memberi persetujuan kontrak jahat untuk memindahkan token-token tersebut.
Penipu kemudian mencuri token dan melikuidasinya menjadi OS terbuka atau tawaran Blur sebelum item ditandai sebagai curian.
TANDATANGAN VS PENGESAHAN
Persetujuan MEMERLUKAN gas, karena mereka sedang memproses transaksi.
Tanda tangan tidak memerlukan biaya gas dan sering digunakan untuk masuk ke dApps untuk membuktikan bahwa Anda mengendalikan dompet tersebut.
Tanda tangan umumnya adalah tindakan yang lebih rendah risikonya tetapi masih dapat digunakan untuk mengeksploitasi persetujuan yang sebelumnya diberikan untuk situs terpercaya seperti OpenSea.
Juga dimungkinkan (untuk ERC-20) untuk mengubah persetujuan Anda dengan tanda tangan tanpa gas karena fungsi izin baru-baru ini diperkenalkan di ETH.
Ini dapat dilihat jika Anda menggunakan DEX seperti 1inch.
Sebuah pembacaan ini lebih detaildi sini.
PENGAJUAN TOKEN KESIMPULAN
Hati-hati saat memberikan persetujuan untuk segala sesuatu, pastikan Anda tahu untuk token apa Anda memberikan persetujuan dan untuk kontrak pintar apa (gunakan etherscan.)
Batasi risiko Anda untuk persetujuan:
- Manfaatkan beberapa dompet (persetujuan khusus dompet) - jangan menandatangani persetujuan untuk brankas/dompet bernilai tinggi Anda.
- Ideally mengurangi atau sepenuhnya menghindari memberikan persetujuan tanpa batas untuk ERC-20s.
- Periksa dan batalkan persetujuan secara berkala melalui etherscan atau revoke.cash.
Cabut.tunaiadalah sebuah situs web yang memungkinkan Anda dengan mudah mencabut persetujuan token yang berbeda.
DOMPET PERANGKAT KERAS/DINGIN
Dompet panas terhubung ke internet melalui komputer atau ponsel Anda. Kunci/kredensial dompet disimpan secara online atau lokal di browser Anda.
Dompet dingin adalah perangkat keras di mana kunci dibuat dan disimpan MURNI offline dan secara fisik dekat dengan Anda.
Melihat bagaimana ledger sekitar $120, jika Anda memiliki aset kripto senilai $1000 atau lebih, Anda sebaiknya membeli dan mengatur ledger. Anda dapat menghubungkan (bukan mengimpor) dompet ledger Anda ke dalam MM untuk memiliki fungsi yang sama dengan dompet panas lainnya sambil menjaga tingkat keamanan.
Ledger dan Trezor adalah yang paling populer. Saya suka Ledger karena paling kompatibel dengan dompet peramban (mirip dengan Rabby dan MM).
BEST PRACTICES WHEN BUYING A LEDGER
Selalu beli dari situs web produsen resmi, JANGAN beli di Ebay atau Amazon = kemungkinan terinfeksi / malware yang telah dimuat sebelumnya.
Pastikan kemasan tersegel ketika Anda menerima barang.
Ketika Anda pertama kali menyiapkan ledger, itu akan menghasilkan frase benih.
HANYA pernah menulis benih pada kertas FISIK, atau plat baja pada tanggal di masa depan sehingga frasa benih Anda tahan api dan air.
JANGAN pernah mengambil foto atau mengetik seed di dalam bentuk apapun (termasuk di ponsel) ini = mengubah seed menjadi data digital dan wallet "cold" Anda sekarang menjadi wallet "hot" yang tidak aman.
Kripto tidak benar-benar disimpan di dalam dompet perangkat keras tetapi "di dalam" dompet yang dihasilkan oleh frasa biji.
Frasa biji (12-24 kata) adalah SEGALANYA, itu harus dilindungi/diamankan dengan segala cara.
Ini memberikan kontrol/pengaksesan penuh ke SEMUA dompet yang dihasilkan dengan frase bibit itu.
Benih tidak spesifik perangkat, Anda dapat "mengimpor" ke dompet perangkat keras lain sebagai cadangan jika diperlukan.
Jika benih hilang/terhapus dan dompet hardware asli hilang/terhapus/terkunci = kehilangan akses ke SEMUA aset Anda SECARA PERMANEN.
Ada berbagai tingkatan penyimpanan level seed, seperti membaginya menjadi beberapa bagian, menambahkan jarak fisik antara bagian-bagian, menyimpannya di tempat-tempat yang tidak terlihat (kaleng sup di bagian bawah freezer, di bawah tanah di suatu tempat di properti Anda, dll.)
Minimalnya, Anda harus memiliki setidaknya 2-3 salinan dengan satu salinan disimpan di baja untuk melindungi dari air dan api.
Sebuah “kunci privat” mirip dengan frase benih tetapi hanya untuk 1 dompet tertentu. Biasanya digunakan untuk mengimpor dompet panas ke akun MM baru atau dalam alat otomatisasi seperti bot perdagangan.
KATA KE-25 - LEDGER
Selain kata bijak asli 24 kata, Ledger memiliki fitur keamanan tambahan yang opsional.
The Frasa sandiadalah fitur canggih yang menambahkan kata ke-25 pilihan Anda maksimum 100 karakter ke frasa pemulihan Anda.
Menggunakan Passphrase akan menyebabkan satu set alamat yang benar-benar berbeda dibuat yang tidak dapat diakses melalui frase pemulihan 24 kata saja.
Selain menambahkan lapisan lain, Passphrase memberi Anda penyangkalan yang masuk akal ketika dalam tekanan.
Jika menggunakan Passphrase, penting untuk menyimpannya dengan aman atau mengingatnya dengan sempurna, karakter demi karakter dan sensitif terhadap huruf besar dan kecil.
Ini adalah satu-satunya dan pertahanan terakhir terhadap situasi serangan "kunci pas lima dolar" di mana Anda diancam secara fisik.
KENAPA HARUS MENGALAMI SEMUA FRIKSI INI UNTUK MENYIAPKAN DOMPET PERANGKAT KERAS?
Dompet panas menyimpan kunci pribadi di lokasi yang terhubung ke Internet.
Ini sangat mudah untuk ditipu, diperdaya, dan dimanipulasi untuk mengungkapkan kredensial ini melalui Internet.
Memiliki dompet dingin berarti bahwa penipu harus secara fisik mencari dan mengambil kunci atau biji Anda untuk mendapatkan akses ke dompet tersebut dan aset di dalamnya.
Seed terancam = semua dompet panas dan aset di dalamnya berisiko, bahkan yang belum berinteraksi dengan situs/kontrak jahat.
CARA UMUM DI MASA LALU ORANG-ORANG TELAH 'DIHACK'
Cara umum di masa lalu orang telah "diretas" (kompromi frase benih) melalui dompet panas.
Ditipu untuk mengunduh malware melalui PDF tawaran pekerjaan, permainan 'beta testing', menjalankan makro via lembar Google, imitasi situs dan layanan yang sah.
Berinteraksi dengan kontrak jahat: FOMO mencetak dari situs tiruan, berinteraksi dengan kontrak dari NFT yang didrop/diterima secara tidak diketahui.
Memasukkan atau mengirimkan kunci & seed ke "layanan pelanggan" atau program/formulir terkait.
CONTOH DAN PEMBAHASAN TENTANG 'HACKS' YANG TERKENAL
Kevin Rose: Pergi untuk mencetak koleksi (art block), menandatangani transaksi tanda tangan (tanpa biaya gas) dengan mengira bahwa dia hanya masuk ke situs pencetakan.
Namun Seaport (kontrak pasar OpenSea baru) memungkinkan Anda membuat pesanan kustom yang kemudian dapat Anda terima hanya dengan tanda tangan.
Karena Kevin sudah memberikan persetujuan untuk asetnya kepada kontrak OpenSea, peretas memperdayanya untuk menandatangani sebuah tanda tangan yang memenuhi pesanan khusus untuk menjual semua NFT mahal Kevin secara gratis/~$1 kepada peretas.
Poin-poin utama:
Tanda tangan juga dapat disalahgunakan jika mereka memanfaatkan persetujuan yang sebelumnya diberikan, bahkan jika persetujuan itu diberikan kepada sumber yang dipercayai
Jangan menandatangani persetujuan OpenSea (OS) di situs web selain OS, jangan berinteraksi dengan kontrak atau situs web jika Anda memiliki dompet “grail/main vault”, kirimkan ke dompet perantara dan kemudian berinteraksi.
NFT_GOD: menggunakan opsi impor akun (berlawanan dengan menambahkan dompet keras) dari MetaMask dan mengetik frasa benihnya di MetaMask saat mengatur ledger.
Ini efektif mengubah dompet dinginnya menjadi dompet panas - ingat aturan emas sebelumnya untuk tidak pernah mendigitalkan frasa biji Anda.
Dia kemudian sepertinya mengunduh OBS palsu (perangkat lunak perekam) bernama ODS yang dipromosikan sebagai iklan di bagian atas hasil pencarian Google.
Ini adalah malware sehingga mencuri frase benih kemudian mencuri semua aset di dompet panasnya dan juga dompet dinginnya.
Kesimpulan utama:
JANGAN PERNAH 'mendigitalkan' frase benih Anda dengan cara apa pun = mengetiknya ke dalam bentuk keyboard apa pun (telepon juga) atau mengambil foto (pencadangan otomatis ke layanan cloud juga telah membahayakan orang.)
Penyangkalan:
Artikel ini dicetak ulang dari [Orang Dalam yang Berwawasan], Teruskan Judul Asal 'Bagaimana Tidak Pernah Lagi Terjebak di Kripto', Semua hak cipta milik penulis asal [BERWAWASAN]. Jika ada keberatan terhadap cetak ulang ini, silakan hubungi Gate Belajartim, dan mereka akan menanganinya dengan cepat.
Penafian Tanggung Jawab: Pandangan dan opini yang terdapat dalam artikel ini semata-mata milik penulis dan tidak merupakan nasihat investasi apa pun.
Terjemahan artikel ke bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.
Artikel terkait
Bagaimana Mempertaruhkan ETH?
Bagaimana Melakukan Penelitian Anda Sendiri (DYOR)?