Tinjauan Pandangan SPACEKOL

Dari sudut pandang teknis, analisis masalah keamanan akun bursa, menunjukkan bahwa dengan mengatur bidang verifikasi dalam header permintaan dapat secara efektif mencegah pencurian cookie.

Sebagai pengembang kontrak yang berpengalaman, ditekankan pentingnya kebijakan keamanan yang ketat dalam operasi aset, dan membagikan pengamatan serta pengalaman pribadi mengenai kebijakan keamanan di bursa.

Mengisahkan pengalaman pribadi tentang proses diserang hacker, mengingatkan semua orang tentang risiko potensial saat menggunakan dompet web3.

Sebagai peneliti keamanan, menganalisis mekanisme perdagangan gesekan, dan menyarankan pengguna untuk memperhatikan masalah izin saat mengunduh plugin browser, untuk menghindari potensi risiko keamanan.

Berbagi pengalaman kerja di Manta yang bertanggung jawab atas researchcontent, menekankan pentingnya komunitas dalam tata kelola DAO.

Dalam sesi diskusi bebas, para ahli melakukan diskusi mendalam tentang pertanyaan berikut:

• Apakah lebih aman menyimpan aset pribadi di dompet atau di bursa? Sebagian besar tamu berpendapat bahwa ini tergantung pada preferensi risiko pribadi pengguna, skala aset, dan frekuensi transaksi. Dompet menawarkan tingkat keamanan tertinggi, tetapi kenyamanannya lebih rendah; sementara bursa meskipun nyaman, tetapi keamanan bergantung pada sistem keamanannya.
• Bagaimana cara meningkatkan keamanan aset pribadi? Saran termasuk menggunakan strategi pemisahan dompet dingin dan panas, teknologi multi-tanda tangan, waspada terhadap situs phishing dan informasi penipuan, serta melakukan audit akun dan aset secara berkala.
• Apa peran regulasi dalam bidang mata uang kripto? Para tamu umumnya berpendapat bahwa intervensi regulasi yang moderat dapat membantu meningkatkan keamanan aset, terutama dalam proses pemulihan setelah aset dicuri.

Tinjauan Menarik Space

Pada insiden pencurian aset pengguna Web3 pada 24 Mei yang mencapai 500w, peretas berhasil mencuri semua dana di akun pengguna tanpa mendapatkan kata sandi dan informasi verifikasi dua langkah dari akun bursa tertentu. Kunci dari insiden ini adalah peretas memanfaatkan celah keamanan pada perdagangan yang saling bertukar dan plugin browser. Lalu, mengapa perdagangan yang saling bertukar dan plugin browser tersebut bisa memungkinkan pencuri mencapai tujuannya?

Tinjauan Kembali Peristiwa dari Sudut Pandang Pihak Pertama

Saya masuk ke dalam dunia ini pada tahun 2017, mengalami dua siklus bull dan bear, dan mengalami kebangkrutan 5 kali. Mengenai kejadian pencurian ini, saya tidak menggunakan bursa, melainkan menggunakan dompet Web3.

Lima hari yang lalu, suatu pagi, setelah meninggalkan hotel, saya menelusuri informasi resmi proyek yang saya investasikan. Saya menemukan bahwa di bawah tweet akun resmi, ada seseorang yang menyamar sebagai informasi tambahan resmi, dengan nama pengguna yang sangat mirip dengan resmi------meskipun akunnya berbeda. Saya biasanya tidak akan sembarangan mengambil hadiah yang tidak jelas, tetapi kali itu saya secara tidak terduga ingin mencoba. Setelah pulang, saya masuk ke dompet dan menyalin sebuah tautan. Saya membuka tautan itu di browser dompet, dan di halaman hanya ada tombol "Sambungkan Dompet". Karena saya tidak terlalu akrab dengan teknologi, saya menganggap ini adalah tindakan biasa. Setelah terhubung, saya menyadari bahwa saya perlu memberikan izin untuk memindahkan aset, tetapi begitu saya terhubung, saya langsung merasakan ada yang tidak beres. Setelah memeriksa dengan teliti, saya menemukan bahwa nama tautan tersebut salah, saat itulah saya menyadari bahwa saya mungkin telah mengalami pencurian. Inilah seluruh pengalaman saya. Terima kasih.

Pertanyaan 1: Bagaimana cara melindungi aset pribadi dari serangan hacker?

Pertama, akun bursa dan mekanisme verifikasi kedua sebenarnya bertujuan untuk mendapatkan status login pengguna, yaitu cookie yang kita kenal. Dengan status ini, kita dapat melewati akun dan kata sandi tradisional untuk langsung mengakses sistem, yang umum terjadi dalam serangan dan pertahanan jaringan.

Dari sudut pandang teknis, plugin browser memiliki hak akses yang sangat tinggi, mampu mengakses semua data situs web, termasuk cookie pengguna. Misalnya, pengelola kata sandi browser adalah sebuah plugin yang dapat menggunakan kode JS untuk memasukkan nama pengguna dan kata sandi ke dalam kolom input yang sesuai, sehingga juga dapat mengambil cookie pengguna. Pengguna individu harus menghindari menginstal plugin browser dari sumber yang tidak dikenal. Jika harus menginstal, sebaiknya periksa terlebih dahulu kode sumbernya, untuk memastikan tidak ada fungsi atau kata kunci pengambilan cookie yang mencurigakan.

Secara ketat, ini tidak dianggap sebagai celah, CVE juga tidak akan mengklasifikasikannya sebagai celah. Namun dari sisi teknis, bursa sepenuhnya memiliki kemampuan untuk menghindari masalah pengambilalihan akun yang disebabkan oleh kebocoran cookie pengguna. Misalnya, dapat mengatur token atau bidang verifikasi lain dalam header permintaan, menggunakan bidang verifikasi ini sebagai bukti pengguna, bukan hanya mengandalkan cookie, sehingga dapat secara efektif mencegah pencurian cookie. Ini adalah beberapa pendapat saya.

Jim telah menganalisis secara menyeluruh dari aspek teknis, saya ingin membagikan pandangan saya dari sudut pandang strategi. Banyak bank di dalam negeri memiliki kebijakan keamanan perangkat lunak yang ketat, seperti meminta pengguna untuk memasukkan kembali kata sandi setelah berpindah layar, yang sangat penting dalam operasional aset. Misalnya, sebuah bursa di masa lalu mengharuskan pengguna untuk mengatur kata sandi dana setelah login, untuk membuka kunci izin perdagangan jangka pendek. Meskipun prosesnya rumit, itu memberikan perlindungan keamanan tambahan. Namun, seiring meningkatnya permintaan untuk kenyamanan dalam perdagangan, bursa tertentu menghapus kebijakan ini, yang membuatnya kurang aman dalam masalah keamanan seperti perdagangan berlawanan.

Transaksi pencocokan bukanlah fenomena baru, sejak tahun 2021, ada pengguna yang mengalami kerugian akibat masalah ini. Ini kembali mengingatkan kita bahwa strategi keamanan di bursa terpusat perlu diperkuat. Penyusunan strategi keamanan harus menyeimbangkan kenyamanan pengguna dan perlindungan aset, untuk mencegah terjadinya kejadian serupa seperti transaksi pencocokan. Bursa terpusat sebagai bagian penting dalam menjaga aset, harus memperhatikan dan terus mengoptimalkan mekanisme keamanannya.

Saya ingin menambahkan tentang pentingnya kata sandi dana di bursa. Kata sandi dana dapat mencegah pencurian aset hingga tingkat tertentu. Meskipun hacker dapat masuk ke akun bursa dengan mencuri cookie, tanpa kata sandi dana mereka tidak dapat melakukan transaksi.

Transaksi pencocokan adalah metode yang umum, di mana para peretas mungkin memilih mata uang dengan likuiditas rendah, melalui pemesanan di akun korban, kemudian membeli dengan akun mereka sendiri pada harga yang lebih rendah, sehingga memindahkan dana ke akun mereka sendiri dan menyebabkan kerugian.

Selain itu, saya ingin menekankan keamanan plugin browser. Izin plugin browser Chrome cukup besar, setelah diunduh browser akan memberi tahu pengguna izin yang diperlukan oleh plugin. Saya pribadi menyarankan, untuk setiap plugin yang tampak memiliki izin yang terlalu besar atau tidak jelas, sebaiknya baca penjelasan izin terlebih dahulu, jika tidak yakin tentang keamanannya, sebaiknya pilih untuk mencopot pemasangan agar tidak digunakan. Ini adalah metode yang efektif untuk mencegah kejadian keamanan serupa.

Tamu sebelumnya telah mencakup banyak poin penting. Saya ingin menambahkan bahwa, pertama, kita harus menghindari mengunduh plugin yang sumbernya tidak jelas, bahkan jika beberapa plugin direkomendasikan oleh KOL, kita juga harus tetap waspada terhadap yang pernah dipromosikan oleh KOL asing. Terkadang, KOL atau pihak resmi proyek mungkin akan merilis informasi tentang airdrop dan manfaat lainnya, tetapi meskipun demikian, saya tetap menyarankan semua orang untuk bersabar dan tidak terburu-buru untuk berpartisipasi. Karena informasi ini kemungkinan besar berasal dari akun yang dibobol, dan yang dipublikasikan adalah informasi palsu. Singkatnya, kehati-hatian adalah kunci, terima kasih semuanya.

Pertanyaan 2: Bagaimana menghadapi tantangan keamanan dari teknologi penggantian wajah AI?

Teknologi deepfake semakin menjadi metode umum dalam serangan siber. Industri gelap memanfaatkan teknologi ini untuk membuat bahan palsu, meluncurkan serangan massal, dan melewati otentikasi dengan cara, seperti menggunakan cacat untuk menghasilkan wajah palsu, untuk melakukan serangan.

Dalam bidang keamanan, firewall tidak dapat mencegah jenis serangan bypass otentikasi ini. Misalnya, beberapa bursa mungkin hanya mengandalkan otentikasi wajah tunggal ketika pengguna lupa kata sandi, yang kurang memiliki sistem pertahanan berlapis, ini dapat menyebabkan celah keamanan. Dalam skenario dengan persyaratan keamanan tinggi, terutama saat perangkat pertama kali login atau dalam lingkungan yang tidak biasa, tidak disarankan untuk hanya menggunakan OCR dan otentikasi wajah, tetapi harus menggabungkannya dengan otentikasi dua faktor seperti SMS.

Dalam menghadapi serangan algoritma, pertarungan di bidang verifikasi wajah sangat ketat, dengan banyak fitur dan alat yang bervariasi, sehingga tidak bisa hanya mengandalkan satu algoritma. Kita harus membangun sistem pertahanan wajah yang lengkap, seperti yang dilakukan oleh Alipay, dengan menggabungkan keamanan terminal, perlawanan algoritma yang terstruktur, dan merespons dengan cepat sesuai dengan situasi serangan dan pertahanan saat ini.

Jika individu mengalami serangan semacam ini dan kesulitan dalam menyelidiki, segera hubungi bursa untuk melaporkan keadaan akun yang dicuri, dan sebisa mungkin membekukan akun, mengubah informasi akses, dan mengaktifkan otentikasi dua faktor. Pada saat yang sama, simpan bukti terkait dan coba untuk memulihkan aset.

Teknologi deepfake memang canggih, tetapi selama proses pembuatan, mungkin terjadi bug, seperti distorsi fitur wajah. Saat ini, penerapan langkah-langkah verifikasi keamanan setara dengan Alipay seharusnya cukup untuk menangani masalah semacam ini. Namun, dari sudut pandang perlindungan pribadi, memberikan saran perlindungan yang spesifik sangat sulit.

Masalah seperti kebocoran informasi pribadi umum terjadi, dan pengguna pribadi sangat sulit untuk mencegahnya secara mandiri. Saya percaya, harus ada seruan kepada bursa dan institusi lainnya untuk meningkatkan keamanan dan standar sertifikasi pengenalan wajah, untuk menyelesaikan masalah ini dari akarnya, dan bukan membiarkan pengguna mencari cara untuk melindungi diri mereka sendiri. Kemampuan perlindungan pribadi terbatas, memerlukan kerjasama perusahaan keamanan dan dukungan teknologi profesional, inilah solusi terbaik.

Saya ingin berbicara tentang pandangan saya dari sudut pandang pengguna biasa. Meskipun memberi tahu bursa untuk membekukan akun yang mencurigakan adalah langkah yang efektif, metode ini tidak sempurna. Para peretas seringkali terorganisir, dan mereka memindahkan aset dengan sangat cepat. Saya pernah mengalami situasi seperti itu, ketika aset saya dicuri, peretas dengan cepat memindahkan aset, dan ketika saya menghubungi bursa untuk membekukan akun lawan, aset di akun tersebut sudah habis.

Ini menunjukkan bahwa kami kesulitan untuk mengejar kecepatan hacker dalam mengambil kembali aset yang dicuri. Proses perlindungan hak sangat sulit karena kami sering berada dalam posisi yang merugikan.

Mengenai peristiwa AI, saya berpendapat bahwa masalahnya terletak pada pengaturan keamanan bursa yang tidak memadai. Keamanan email relatif rendah, biasanya perubahan kata sandi memerlukan kode verifikasi email, kode verifikasi ponsel, atau otentikasi dua faktor. Namun, dalam peristiwa ini, hacker hanya dengan mengunggah identitas dan video AI berhasil melewati verifikasi keamanan lainnya, menunjukkan kurangnya langkah-langkah pengendalian risiko.

Setelah pengaturan keamanan direset, bursa harus membatasi operasi terkait setidaknya dalam waktu 24 jam dan memberi tahu pengguna tentang status reset, agar pengguna memiliki cukup waktu untuk bereaksi dan melindungi akun. Namun dalam kasus ini, peretas telah memindahkan aset dalam waktu 24 jam, yang tidak dapat diterima.

Saya juga pernah mengalami membeli stablecoin melalui C2C di suatu bursa dan tidak terkena batasan penarikan, ini memiliki risiko pencucian uang. Saat ini, tampaknya langkah-langkah pengendalian risiko bursa masih perlu diperkuat. Mengenai pelacakan aset yang dicuri, bursa merespons lambat atau meminta banyak dokumen sebelum membekukan akun, yang membuat pelacakan dan pemulihan aset yang dicuri menjadi sangat sulit. Meskipun kami sedang berusaha untuk bekerja sama dan berkomunikasi dengan bursa, saat ini ini masih menjadi masalah yang rumit.

Saya sangat setuju dengan pendapat yang diajukan oleh pembicara sebelumnya. Pertama, saya pikir bursa harus segera mengubah pengaturan keamanan, dengan membatasi operasi penarikan dalam 24 jam. Selain itu, menyimpan aset di bursa itu sendiri didasarkan pada asumsi keamanan. Jika ada orang di dalam bursa yang menjual informasi pengguna, sebenarnya sangat sulit untuk mencegahnya. Sebagai pengguna biasa, yang dapat kita lakukan adalah menyimpan bukti, mengajukan keluhan kepada bursa, dan memperjuangkan hak kita, berharap dapat mendapatkan kompensasi.

Selain itu, bagi pengguna biasa, termasuk diri saya sendiri, saya menyarankan untuk tidak memamerkan kekayaan di tempat umum atau media sosial agar tidak membocorkan informasi pribadi. Misalnya, saya mengetahui ada teman di dunia kripto yang saat berlibur di Bali, karena bermain ponsel di jalan, ponselnya dirampok oleh geng motor, dan di ponsel tersebut ada aplikasi dompet yang terbuka, sehingga asetnya dicuri. Oleh karena itu, kita harus menghindari mengekspos situasi keuangan kita di tempat umum.

Selain itu, sebelumnya pernah terjadi insiden di mana peretas menyebarkan program trojan melalui pengalaman proyek dengan memindai kode QR dalam acara offline. Jadi, kami mengingatkan semua orang untuk tetap waspada saat menghadiri berbagai acara, jangan sembarangan memindai atau mengunduh aplikasi dari sumber yang tidak jelas. Ini adalah hal-hal penting yang perlu diperhatikan dalam melindungi aset pribadi kita. Terima kasih.

Pertanyaan Tiga: Apakah lebih aman menyimpan aset pribadi pengguna di dompet atau di bursa?

Mengenai pilihan penyimpanan aset, saya percaya itu harus ditentukan berdasarkan preferensi risiko pribadi, ukuran aset, dan frekuensi transaksi. Dompet yang memegang kunci pribadi memiliki tingkat keamanan tertinggi, meskipun mungkin mengorbankan beberapa kenyamanan. Pada saat yang sama, pengelolaan kunci pribadi sangat penting dan perlu melindungi diri dari serangan rekayasa sosial seperti phishing.

Untuk pengguna dengan aset yang lebih besar dan transaksi yang tidak sering, menggunakan dompet mungkin lebih cocok. Sedangkan memilih untuk menyimpan di bursa berarti menyerahkan kunci pribadi kepada bursa, dan keamanan sepenuhnya bergantung pada sistem keamanan bursa. Saat ini, banyak bursa yang memiliki kekurangan dalam hal keamanan jaringan dan sistem manajemen risiko, serta kurangnya