Peretas mulai menargetkan NFT, harap simpan primer anti-pencurian NFT ini

Pelajari cara menyimpan aset NFT Anda dengan aman dan hindari penipuan.

Judul asli: "Panduan Anti-Pencurian NFT: Bagaimana Melindungi Aset?" "

Karena jumlah pengguna NFT, volume transaksi, dan nilai pasar terus meningkat, penjahat seperti phisher dan peretas juga mulai mengincar pasar ini, yang semakin mengancam keamanan ekosistem NFT.

Sebuah tabel yang disusun oleh PeckShield, sebuah perusahaan keamanan blockchain dan analisis data, menunjukkan bahwa dalam serangan phishing, 254 NFT dengan nilai total sekitar US$1,7 juta dicuri; NFT BAYC#3738 milik Jay Chou dicuri pada Hari April Mop. Ini adalah kasus tipikal di mana mint diinduksi oleh situs web phishing untuk mendapatkan hak operasi NFT pengguna; sebuah proyek bernama MoonManNFT mencuri hampir 400 NFT dengan nama mint gratis...

Secara umum, peretas akan mengunci kolektor melalui Discord dan Telegram, dan mencuri aset NFT pengguna dengan mendorong serangan mint dan phishing. Dengan perkembangan teknologi saat ini, investor dan kolektor NFT harus tetap mengikuti metode terbaru untuk melindungi aset mereka.

Harap diingat:

• NFT Anda tidak disimpan di komputer atau perangkat seluler Anda, tetapi di ruang terdesentralisasi seperti IPFS atau Arweave.

• Memiliki kunci privat memberi Anda akses penuh ke blockchain/aset Anda.

• Skema pemisahan kunci pribadi Shamir dapat memberikan perlindungan sekunder untuk kata-kata mnemonik.

1. Di mana NFT Anda disimpan?

NFT tidak disimpan di cold wallet, PC, atau hot wallet. NFT adalah token pada blockchain Ethereum , dibawa oleh lebih dari 2.400 node jaringan yang berjalan di seluruh dunia. NFT didukung oleh sistem terdesentralisasi penuh yang memastikan fungsi normal ekosistem NFT dan memverifikasi transaksi online. Saat Anda bertransaksi NFT, aktivitas sebenarnya yang terjadi adalah database membuat perubahan pada alamat NFT tersebut.

2. Di mana gambar, GIF, dan musik Anda?

URI (Pengidentifikasi Sumber Daya Seragam) dari NFT menandai lokasi gambar. NFT umumnya terletak di ruang penyimpanan terdesentralisasi seperti IPFS atau Arweave. Di Web2 juga terdapat penyimpanan terpusat seperti AWS.

3. dompet

Dompet adalah perangkat lunak yang menyimpan kunci pribadi dan mendukung aktivitas transaksional. Ada dua jenis dompet: dompet panas (dompet perangkat lunak) dan dompet dingin (dompet perangkat keras).

Dompet panas (dompet perangkat lunak): perangkat lunak yang dapat berjalan di perangkat serba guna, dapat terhubung ke Web3, dan dapat menerima aset hanya dengan mengklik mouse.

Dompet dingin (dompet perangkat keras): didedikasikan untuk perangkat perangkat keras, yang dapat terhubung dengan Web3 dan menerima aset. Perbedaan utama antara itu dan dompet panas adalah frasa mnemonik dari dompet dingin tidak pernah terhubung ke Internet, dan transaksi harus disetujui dengan cara fisik (seperti layar sentuh).

Setelah memilih dompet yang tepat, Anda perlu memahami fitur-fiturnya:

Pertama, dompet panas/dingin akan meminta Anda membuat kata sandi, yang unik pada perangkat tertentu. Akses ke dompet hanya dimungkinkan jika Anda mengetahui kata sandinya.

Anda bebas membagikan alamat publik dompet Anda, yang tidak berbeda dengan alamat email Web3, dan siapa pun yang mengetahui alamat Anda dapat mengirimi Anda NFT. Ini juga memunculkan vektor peretasan baru. Peretas mengirim orang NFT, dan ketika orang berinteraksi dengan NFT (seperti mengirimnya ke dompet lain, atau menjualnya), peretas mencuri aset di dompet orang itu. Harap diingat, jangan membuka NFT asing! Juga, orang dapat menggunakan tanda tangan palsu atau persetujuan untuk mendapatkan alamat IP Anda.

Email phishing juga merupakan bentuk penipuan yang umum. Tujuan dari email tersebut adalah untuk memikat Anda agar menghubungkan dompet Anda ke situs web palsu sehingga peretas dapat mencuri aset Anda. Jadi, jangan klik tautan asing! Selalu periksa nama situs web. Metode peretasan saat ini relatif sederhana, dan hanya dapat dimulai dari alamat publik dan email, asalkan diabaikan.

Anda perlu menyimpan kunci privat dengan baik. Ini adalah kata sandi untuk mengakses alamat publik Anda. Fungsi kunci privat adalah:

(1) Pindahkan NFT Anda dari alamat.

(2) Menandatangani kontrak untuk membuktikan bahwa Anda memiliki kunci pribadi dari alamat tersebut (serupa dengan memverifikasi bahwa Anda adalah pemilik alamat publik).

Perbedaan terbesar antara alamat publik dan kunci pribadi adalah Anda tidak akan pernah bisa mengungkapkan kunci pribadi Anda kepada siapa pun. Jika tidak, mereka dapat mengimpor kunci pribadi Anda ke dompet mereka dan mencuri semua aset Anda.

Setelah mengklarifikasi konsep kunci privat dan alamat publik, mari kita lihat kembali mnemoniknya. Mnemonik biasanya terdiri dari 12, 18 atau 24 kata dan digunakan untuk mengambil dompet. Jika Anda kehilangan kunci pribadi, Anda dapat menggunakan mnemonik untuk membuat yang baru. Seperti halnya kunci privat, frasa mnemonik tidak pernah dapat diketahui oleh orang kedua, juga tidak dapat disimpan dalam perangkat penyimpanan elektronik atau penyedia layanan (seperti google drive, icloud, album foto, catatan ponsel, dan salinan). Cara yang ideal adalah penyimpanan fisik, seperti menulis di atas kertas. Besi juga digunakan untuk menyimpan frase benih, karena lebih tahan api. Metode lain, seperti kata sandi, juga dapat meningkatkan keamanan dompet. Kata sandi adalah serangkaian simbol atau kata yang dapat digabungkan dengan mnemonik untuk membuat dompet baru berdasarkan dompet aslinya. Misalnya, untuk membuat dompet baru berdasarkan dompet yang sudah ada, cukup masukkan:

• Mnemonik + "NFTGo"

• mnemonik + nomor apa pun

• mnemonik + huruf apa saja

• mnemonik + frase apapun

Salah satu metode di atas dapat membuat dompet baru dengan alamat publik kunci pribadi yang berbeda, tetapi fungsi kata sandi hanya berlaku untuk dompet dingin.

4. Tambahkan lapisan perlindungan kedua

Membeli dompet dingin adalah cara yang efektif untuk meningkatkan keamanan. Trezor, Ledger, dan Keystone adalah beberapa dompet perangkat keras paling populer, tetapi masing-masing memiliki kelebihan dan kekurangan. Setiap cold wallet memiliki karakteristiknya masing-masing. Misalnya, Keystone menggunakan kode QR untuk transmisi data, yang menghindari risiko virus Trojan ditransmisikan ke dompet perangkat keras melalui antarmuka USB atau Bluetooth. Ini juga merupakan dompet perangkat keras pertama yang mendukung ENS ( Layanan Nama Ethereum ), menghilangkan kebutuhan untuk memeriksa alamat asli. . Selain itu, pengguna dapat menyesuaikan layar 4 inci mereka dengan NFT.

Kami mengambil Keystone sebagai contoh untuk disiapkan.

(1) Beli dompet Keystone dari situs web resmi.

(2) Instal paket Keystone.

(3) Mulai Keystone.

(4) Tetapkan PIN dompet Anda - kata sandi unik untuk perangkat ini.

(5) Jika digunakan oleh perusahaan, disarankan untuk menggunakan skema pemisahan kunci pribadi Shamir, bagi 2 set kata mnemonik menjadi 3 grup, atau bagi 3 set kata mnemonik menjadi 5 grup, Anda dapat menyimpan 3 set ini kunci pribadi di tempat yang berbeda. Jika Anda memiliki 3 dari 5 cadangan Shamir dan kehilangan 2 di antaranya, Anda masih dapat menggunakan 3 cadangan yang tersisa untuk memulihkan dompet Anda.

Mari ambil transfer BAYC sebagai contoh untuk melihat penggunaan dompet perangkat keras NFT. Di Keystone, pengguna dapat menggunakan file data ABI yang diunggah di kartu microSD untuk mengonfirmasi keaslian alamat dengan cepat, dan "Board Ape Yacht club" akan muncul dengan font biru di sebelah alamat. Juga diperlukan untuk mengonfirmasi apakah transaksi melibatkan perilaku jahat apa pun, agar tidak Menandatangani NFT Anda ke penipu atau peretas.

1. Pastikan untuk mengunduh aplikasi atau dompet Web3 dari situs web resmi

Penyebab utama peretasan crypto/NFT adalah kunjungan pengguna ke situs web tidak resmi. Sebagian besar situs semacam itu dibuat untuk scam dan terlihat sangat mirip dengan situs resmi. Jangan mengunduh aplikasi Web3 dari Google Play, mungkin tidak diperoleh dari sumber aslinya. Anda dapat merujuk ke saran berikut untuk mengidentifikasi situs web resmi:

(1) Fokus pada bilah URL. Hanya klik URL yang dimulai dengan https:// (jangan klik http://!), "s" adalah singkatan dari "safe", artinya data situs web ini dienkripsi dan dikirimkan, yang dapat mencegah serangan peretas.

(2) Periksa nama domain. Taktik favorit para peretas adalah membuat situs web palsu dengan nama domain yang sangat mirip dengan yang asli sehingga hanya dengan mengklik dua kali dapat membedakannya. Misalnya, versi palsu dari situs web https://wobble.com bisa menjadi https://w0oble.com. Ingatlah untuk mengklik dua kali semua huruf dari nama domain sesekali.

(3) Waspadai kesalahan ejaan. Sebagian besar situs web palsu dibuat dengan kasar, dengan kesalahan ejaan, pengucapan, kapitalisasi, dan tata bahasa.

2. Hanya telusuri saluran resmi, twitter resmi, dan tautan resmi

Seperti disebutkan sebelumnya, Anda hanya dapat mempercayai situs web resmi, akun twitter, dan perselisihan. Anda dapat merujuk ke saran berikut untuk memverifikasi:

(1) Periksa aktivitas akun.

(2) Periksa jumlah pengikut.

(3) Periksa riwayat akun.

(4) Periksa komentar dan keterlibatan.

3. Jangan berbagi kredensial masuk atau kunci pribadi dengan siapa pun

Ada pepatah yang sangat populer di kalangan enkripsi: "Jika tidak ada kunci, tidak ada koin, dan koin serta kuncinya adalah satu." Setelah kunci pribadi atau mnemonik Anda dibagikan, akun tersebut bukan lagi milik Anda. Cara terbaik adalah mencegah orang lain mendapatkan kunci privat.

4. Verifikasi NFT sebelum membeli

Uji tuntas selalu sangat penting dalam ekosistem NFT. Sebelum membeli atau mencetak NFT, penting untuk memeriksa reputasi tim yang terlibat dalam proyek, interaksi organik dalam komunitasnya, dan pendapat orang tentang proyek tersebut.

5. Mencetak NFT menggunakan banyak dompet

Misalnya, dompet Burner adalah dompet sekunder yang dibuat khusus untuk pencetakan NFT. Dompet ini dibuat dan didanai dengan jumlah gas yang dibutuhkan untuk mencetak koin. Setelah pencetakan selesai, NFT yang dicetak dikirim ke dompet lain, yang digunakan untuk menyimpan NFT. Ini mengurangi risiko dompet utama berinteraksi dengan situs web yang rentan. Anda dapat membuat beberapa dompet pembakar dan membuangnya segera setelah kerentanan ditemukan.

6. Berhati-hatilah saat mengklik tautan dari akun yang tidak dikenal

Trik umum untuk peretas adalah mengirim hadiah atau tautan daftar putih melalui akun Discord yang tidak dikenal atau email dingin. Pastikan untuk mengatur Telegram, Discord, dan email untuk tidak menerima pesan dari akun asing atau alamat tidak resmi, dan harap berhati-hati terhadap pengguna yang berpura-pura menjadi pemilik grup atau DM resmi Anda.

7. Periksa persetujuan token & cabut token yang tidak terpakai

Orang-orang berinteraksi dengan berbagai protokol dan tautan setiap hari, memberi mereka akses dan izin berdasarkan informasi tentang kontrak pintar. Penting untuk meninjau dan mencabut akses dari waktu ke waktu. Situs web https://revoke.cash/ dapat membantu Anda mencabut akses.

8. Sebelum melanjutkan ke langkah berikutnya, baca dengan cermat dan verifikasi ketentuan transaksi smart contract

Sebelum mengonfirmasi transaksi, pastikan Anda membaca dengan cermat setiap detail dalam kontrak pintar. Banyak peretas menggunakan kontrak pintar untuk memalsukan izin untuk mengakses dana di dompet Anda sesuka hati. Anda harus membaca dengan hati-hati untuk memastikan bahwa perincian dalam kontrak tidak menimbulkan ancaman, juga tidak mengandung celah.

9. Ikuti terus berita dan pelajari tentang kerentanan baru

Dengan meningkatnya minat di pasar NFT, penjahat juga mengintai di dalamnya, menggunakan trik untuk mencuri karya dan dana dari kolektor dan investor, pastikan aset, dompet, dan dana berharga Anda tidak jatuh ke tangan peretas.