OKX Web3 \u0026 WTF Academy: Sebelumnya berusaha keras, tapi kemudian diretas oleh Hacker "01928374656574839201"?

引言：Dompet Web3 OKX telah merencanakan khusus bagian “Edisi Khusus Keamanan” yang ditujukan untuk menjawab masalah keamanan berbagai jenis transaksi on-chain. Melalui contoh kasus nyata yang paling sering terjadi pada pengguna, kolaborasi dengan para ahli keamanan atau lembaga keamanan, kami akan berbagi dan menjawab dari sudut pandang yang berbeda, sehingga dapat merangkum aturan transaksi yang aman dari yang sederhana hingga kompleks. Tujuannya adalah untuk memperkuat pendidikan keamanan pengguna sekaligus membantu pengguna mulai belajar melindungi kunci pribadi dan aset dompet mereka sendiri.

Operasi rambut sama sengitnya dengan harimau, dan faktor keamanannya minus 5 ?

Sebagai pengguna berfrekuensi tinggi dalam interaksi on-chain, keamanan selalu menjadi prioritas utama bagi para pelaku pasar.

Hari ini, dua raja “menghindari jebakan” on-chain akan mengajari Anda cara melakukan strategi perlindungan keamanan

本期是安全特刊第 03 期，特邀行业知名安全专家0x AA 与 OKX Dompet Web3安全团队，从实操指南的角度出发，来讲解「撸毛人」常见的安全风险和防范措施。

Terima kasih banyak atas undangan OKX Web3. Saya adalah 0x AA dari WTF Academy. WTF Academy adalah universitas sumber terbuka Web3 yang membantu pengembang mempelajari pengembangan Web3. Tahun ini, kami telah mengembangkan proyek penyelamatan Web3 bernama RescuETH (Tim Penyelamat On-Chain), yang bertujuan untuk menyelamatkan aset tersisa dari dompet yang telah diretas oleh pengguna. Hingga saat ini, kami telah berhasil menyelamatkan lebih dari 3 juta RMB aset yang telah diretas di Ethereum, Solana, dan Cosmos.

Tim Keamanan Dompet Web3 OKX: Halo semua, kami sangat senang dapat berbagi kali ini. Tim Keamanan Dompet Web3 OKX bertanggung jawab atas pembangunan kemampuan keamanan berbagai jenis di bidang Web3, seperti pembangunan kemampuan keamanan dompet, audit keamanan smart contract, pemantauan keamanan proyek on-chain, dan lain-lain. Kami menyediakan layanan perlindungan ganda untuk keamanan produk, keamanan dana, dan keamanan transaksi bagi pengguna, serta berkontribusi dalam menjaga ekosistem keamanan blockchain secara keseluruhan.

Q1: Silakan berbagi beberapa contoh kasus risiko nyata yang dihadapi oleh penambang crypto.

WTF Academy: Kunci pribadi yang bocor adalah salah satu risiko keamanan besar yang dihadapi pengguna Gate.io. Secara mendasar, kunci pribadi adalah serangkaian karakter yang digunakan untuk mengendalikan aset kripto, dan siapa pun yang memiliki kunci pribadi dapat sepenuhnya mengendalikan aset kripto yang sesuai. Begitu kunci pribadi bocor, penyerang dapat mengakses, mentransfer, dan mengelola aset pengguna tanpa izin, menyebabkan kerugian ekonomi bagi pengguna. Oleh karena itu, saya akan berbagi beberapa kasus di mana kunci pribadi dicuri.

Alice (alias) tergoda oleh hacker untuk mengunduh malware melalui media sosial, dan setelah menjalankan malware tersebut, kunci pribadi dicuri. Saat ini, malware memiliki berbagai bentuk, termasuk namun tidak terbatas pada skrip penambangan, permainan, perangkat lunak rapat, skrip Dogecoin, dan bot jebakan lainnya. Pengguna perlu meningkatkan kesadaran keamanan.

Bob（化名）tidak sengaja mengunggah kunci pribadi ke GitHub, sehingga diketahui oleh orang lain, dan akhirnya asetnya dicuri.

Carl (alias) mempercayai layanan pelanggan palsu yang menghubunginya secara aktif saat dia mengajukan pertanyaan di grup Telegram resmi proyek. Dia kemudian membocorkan frasa pemulihan rahasianya, dan aset dompetnya kemudian dicuri.

Tim Keamanan Dompet Web3 OKX: Ada banyak kasus risiko semacam ini, kami telah memilih beberapa kasus klasik yang dialami oleh pengguna saat bermain-main.

Kategori pertama, akun palsu yang mengumumkan airdrop palsu. Pengguna A saat menelusuri Twitter proyek populer, menemukan pengumuman airdrop di bagian bawah Twitter terbaru, lalu mengklik tautan pengumuman tersebut untuk berpartisipasi dalam airdrop, akhirnya menjadi korban phishing. Saat ini, banyak penipu menggunakan akun resmi yang mirip dan mengirim pengumuman palsu di Twitter resmi untuk menggiring pengguna tertarik, pengguna harus berhati-hati dan tidak menganggap remeh.

Kategori kedua, akun resmi diretas. Akun Twitter dan Discord resmi suatu proyek diserang oleh hacker, kemudian hacker tersebut memposting tautan aktivitas airdrop palsu di akun resmi proyek tersebut. Karena tautan tersebut diposting melalui saluran resmi, pengguna B tidak meragukan keasliannya, dan setelah mengklik tautan tersebut untuk ikut serta dalam airdrop, malah menjadi korban phishing.

Kategori ketiga, menghadapi pihak proyek yang jahat. Pengguna C berpartisipasi dalam kegiatan penambangan proyek tertentu, untuk mendapatkan imbalan penghasilan yang lebih tinggi, ia menginvestasikan semua aset USDT ke dalam kontrak staking proyek tersebut. Namun, kontrak pintar tersebut tidak melalui audit yang ketat dan tidak bersifat sumber terbuka, akibatnya pihak proyek mencuri semua aset yang diinvestasikan oleh pengguna C melalui pintu belakang yang disisipkan dalam kontrak tersebut.

Bagi pengguna yang sering melakukan transaksi, memiliki puluhan atau ratusan dompet adalah hal yang umum. Bagaimana melindungi keamanan dompet dan aset merupakan topik yang sangat penting, dan perlu selalu waspada dan meningkatkan kesadaran dalam pencegahan keamanan.

Q2: Sebagai pengguna yang sering berinteraksi di atas rantai, berikut adalah beberapa jenis risiko keamanan umum dan tindakan pencegahan yang harus dilakukan oleh pengguna yang sering bertransaksi di dalamnya.

**WTF Academy: ** Bagi pengguna Web3, termasuk pengguna yang sering melakukan transaksi, ada dua jenis risiko keamanan yang umum terjadi saat ini: serangan phishing dan kebocoran kunci pribadi.

Jenis pertama adalah serangan phishing: Peretas biasanya menyamar sebagai situs web atau aplikasi resmi, mengelabui pengguna agar mengklik media sosial dan mesin pencari, lalu mengelabui pengguna agar melakukan transaksi atau tanda tangan di situs web phishing untuk mendapatkan otorisasi Token dan mencuri aset pengguna.

Pencegahan yang diambil: Pertama, disarankan kepada pengguna hanya masuk ke situs web dan aplikasi resmi melalui saluran resmi (misalnya tautan dalam profil Twitter resmi). Kedua, pengguna dapat menggunakan plugin keamanan untuk secara otomatis memblokir beberapa situs phishing. Ketiga, saat memasuki situs web yang mencurigakan, pengguna dapat berkonsultasi dengan profesional keamanan yang dapat membantu menentukan apakah itu situs phishing.

Kategori kedua adalah kebocoran kunci pribadi: telah dijelaskan dalam pertanyaan sebelumnya, jadi tidak akan dijelaskan lagi di sini.

Tindakan pencegahan: Pertama, jika dompet pengguna terpasang di komputer atau ponsel, hindari mengunduh perangkat lunak yang mencurigakan dari saluran non resmi. Kedua, pengguna perlu tahu bahwa layanan pelanggan resmi biasanya tidak akan mengirim pesan langsung kepada Anda, dan lebih tidak mungkin meminta Anda mengirim atau memasukkan kunci pribadi dan frase pemulihan di situs web palsu. Ketiga, jika proyek sumber terbuka pengguna memerlukan penggunaan kunci pribadi, harap konfigurasi file .gitignore terlebih dahulu untuk memastikan kunci pribadi tidak diunggah ke GitHub.

Tim Keamanan Dompet Web3 OKX: Kami merangkum 5 jenis risiko keamanan umum yang dihadapi pengguna saat berinteraksi on-chain, dan menyusun langkah-langkah perlindungan untuk setiap jenis risiko.

1. Airdrop penipuan

Bahaya: Beberapa pengguna sering menemukan banyak token yang tidak dikenal muncul di alamat dompet mereka. Token-token ini biasanya gagal dalam transaksi DEX yang umum, dan halaman akan menyarankan pengguna untuk menuju situs web resmi untuk menukar token tersebut. Namun, ketika pengguna melakukan transaksi otorisasi, seringkali mereka memberikan izin kepada smart contract untuk mentransfer aset dari akun mereka, yang pada akhirnya mengakibatkan pencurian aset. Misalnya, penipuan airdrop Zape, banyak pengguna tiba-tiba menerima sejumlah besar koin Zape di dompet mereka, dengan nilai yang tampaknya mencapai puluhan ribu dolar. Hal ini membuat banyak orang salah mengira bahwa mereka mendapatkan kekayaan yang tidak terduga. Namun, ini sebenarnya adalah perangkap yang dirancang dengan cermat. Karena token-token ini tidak dapat ditemukan di platform resmi, banyak pengguna yang ingin cepat menukarkan token tersebut akan mencari “situs web resmi” yang disebutkan berdasarkan nama token. Setelah menghubungkan dompet sesuai petunjuk, mereka mengira mereka dapat menjual token-token tersebut, tetapi begitu otorisasi diberikan, semua aset di dalam dompet akan langsung dicuri.

Langkah-langkah perlindungan: Untuk menghindari penipuan airdrop, pengguna perlu tetap waspada, memverifikasi sumber informasi, dan selalu mendapatkan informasi airdrop melalui saluran resmi (seperti situs web resmi proyek, akun media sosial resmi, dan pengumuman resmi). Lindungi kunci pribadi dan frasa seed, jangan membayar biaya apa pun, dan gunakan komunitas dan alat untuk memverifikasi dan mengidentifikasi potensi penipuan.

2. Smart Contract yang Berbahaya

Peringatan Risiko: Banyak kontrak pintar yang belum diaudit atau belum dipublikasikan dapat mengandung kerentanan atau pintu belakang, tidak dapat menjamin keamanan dana pengguna.

防护措施：Pengguna sebaiknya hanya berinteraksi dengan smart contract yang telah melewati audit ketat oleh perusahaan audit resmi, atau memeriksa laporan audit keamanan proyek. Selain itu, proyek-proyek yang biasanya memiliki bug bounty cenderung lebih aman.

3. Manajemen Otorisasi:

Pengantar Risiko: Memberikan otorisasi yang berlebihan kepada kontrak interaktif dapat mengakibatkan pencurian dana. Berikut adalah contohnya: 1) Kontrak yang dapat ditingkatkan. Jika kunci pribadi akun hak istimewa bocor, penyerang dapat menggunakan kunci pribadi tersebut untuk meningkatkan kontrak menjadi versi jahat dan mencuri aset yang telah diberi otorisasi oleh pengguna. 2) Jika kontrak memiliki celah yang belum teridentifikasi, otorisasi yang berlebihan dapat memungkinkan penyerang untuk menggunakan celah tersebut di masa depan dan mencuri dana.

Tindakan Perlindungan: Pada prinsipnya, hanya memberikan otorisasi yang diperlukan kepada kontrak interaktif, dan perlu secara berkala memeriksa dan mencabut otorisasi yang tidak diperlukan. Saat melakukan tanda tangan otorisasi permit di luar rangkaian, pastikan untuk memahami dengan jelas kontrak sasaran yang diotorisasi/jenis aset yang diotorisasi/batasan otorisasi, dan berpikir dua kali sebelum bertindak.

4. Otorisasi Pancingan

Keterangan Risiko: Klik tautan berbahaya dan memberikan izin kepada kontrak atau pengguna jahat.

“Lang”: “Indonesian” “Text”: “Langkah-langkah perlindungan: 1) Hindari tanda tangan buta: Sebelum menandatangani setiap transaksi, pastikan untuk memahami konten transaksi yang akan ditandatangani, pastikan setiap langkah operasi jelas dan diperlukan. 2) Waspadai target otorisasi dengan hati-hati: Jika target otorisasi adalah alamat EOA (Externally Owned Account) atau kontrak yang belum diverifikasi, harus meningkatkan kewaspadaan. Kontrak yang belum diverifikasi dapat mengandung kode jahat. 3) Gunakan dompet dengan plugin anti-phishing: Gunakan dompet dengan perlindungan anti-phishing, seperti dompet OKX Web3, yang dapat membantu mengidentifikasi dan mencegah tautan berbahaya. 4) Lindungi kata-kata pemulihan dan kunci pribadi: Semua situs web yang meminta kata-kata pemulihan atau kunci pribadi adalah tautan phishing, jangan pernah memasukkan informasi sensitif ini ke dalam situs web atau aplikasi mana pun.”

5. Skrip fluffing berbahaya

Resiko: Menjalankan skrip yang jahat dapat menyebabkan komputer terinfeksi Trojan, sehingga kunci pribadi dapat dicuri.

防护措施：谨慎运行未知的撸毛脚本或者撸毛软件。 -> Langkah Perlindungan: Hati-hati saat menjalankan skrip atau perangkat lunak yang tidak dikenal.

Singkatnya, kami berharap pengguna berhati-hati dan melindungi keamanan dompet dan aset mereka saat berinteraksi di atas rantai.

Q3: Merapikan jenis dan teknik memancing yang klasik, serta bagaimana mengidentifikasi dan menghindarinya?

WTF Academy: Saya ingin menjawab pertanyaan ini dari sudut pandang lain: bagaimana cara membedakan antara serangan phishing dan kebocoran kunci pribadi ketika pengguna menemukan bahwa asetnya telah dicuri? Pengguna biasanya dapat membedakan keduanya melalui ciri-ciri serangan ini:

Satu, karakteristik serangan phishing: Biasanya, hacker mendapatkan otorisasi aset tunggal atau beberapa aset di bawah satu dompet pengguna melalui situs phishing untuk mencuri aset. Umumnya, jenis aset yang dicuri sama dengan jumlah otorisasi yang diberikan pengguna di situs phishing.

私钥/助记词泄漏的特点：Hacker完全取得用户单一或long个钱包下的所有链的全部资产的控制权。因此，如果出现以下特征中的一个或long个，大概率判断为私钥泄漏：

1. Token asli dicuri (seperti ETH di jaringan ETH), karena token asli tidak dapat diotorisasi.

2. Aset multichain dicuri.

3. Pencurian aset long Dompet.

4）Dompet tunggal diretas dengan banyak aset yang jelas-jelas tidak pernah diotorisasi.

5. Tidak ada otorisasi sebelum mencuri Token atau dalam transaksi yang sama (peristiwa Persetujuan).

6. Gas yang masuk akan segera diambil oleh Hacker.

Jika tidak memenuhi karakteristik di atas, kemungkinan besar itu adalah serangan phishing.

Tim Keamanan Dompet OKX Web3: Untuk menghindari phishing sebisa mungkin, ada dua hal yang perlu diperhatikan: 1) Selalu ingat untuk tidak mengisi frase pemulihan/kunci pribadi di halaman web manapun; 2)

Pastikan tautan yang diakses adalah tautan resmi, dan hati-hati saat mengklik tombol konfirmasi di antarmuka dompet.

Selanjutnya, kami akan berbagi beberapa skenario memancing klasik untuk membantu pengguna memahaminya dengan lebih jelas.

1、Situs web palsu phishing: Meniru situs web resmi DApp, mengarahkan pengguna untuk memasukkan kunci pribadi atau frase pengingat. Oleh karena itu, prinsip utama pengguna adalah untuk tidak memberikan kunci pribadi dompet atau frase pengingat kepada siapa pun atau situs web manapun. Selanjutnya, periksa apakah URLnya benar, gunakan tautan favorit resmi untuk mengakses DApp yang sering digunakan dan gunakan dompet utama yang sah dan umum, seperti dompet OKX Web3 yang akan memberikan peringatan terhadap situs web phishing yang terdeteksi.

2. Mencuri Token Mainchain: Fungsi kontrak jahat diberi nama Claim, SeurityUpdate, AirDrop, dan sejenisnya dengan tujuan mengelabui, padahal logika fungsi sebenarnya kosong, hanya mengalihkan token mainchain pengguna.

3. Transfer alamat serupa: Penipu akan menggunakan tabrakan alamat untuk menghasilkan alamat dengan beberapa digit pertama dan terakhir yang sama dengan alamat terkait pengguna, menggunakan transferFrom untuk mentransfer jumlah 0 untuk mengkontaminasi, atau menggunakan USDT palsu untuk mentransfer jumlah tertentu, mencemari riwayat transaksi pengguna, dengan harapan pengguna akan menyalin alamat yang salah dari riwayat transaksi saat mentransfer di masa depan.

4. Pelayanan Palsu: Hacker menyamar sebagai layanan pelanggan dan menghubungi pengguna melalui media sosial atau email untuk meminta kunci pribadi atau frasa pemulihan. Layanan pelanggan resmi tidak akan meminta kunci pribadi, jadi silakan abaikan permintaan semacam ini.

Q4: Hal-hal Keamanan yang Perlu Diperhatikan oleh Pemilik Hewan Yang Ahli dalam Merawat Bulu Hewan dengan Alat-alat Tertentu

WTF Academy: Karena penggunaan berbagai jenis alat yang terlibat dalam melucuti bulu, maka perlu memperkuat perlindungan keamanan saat menggunakan alat-alat tersebut, misalnya.

1. Dompet Aman: Pastikan kunci pribadi atau frase pemulihan tidak bocor, jangan menyimpan kunci pribadi di tempat yang tidak aman, dan hindari memasukkan kunci pribadi di situs web yang tidak dikenal atau tidak dipercaya. Pengguna harus mencadangkan kunci pribadi atau frase pemulihan mereka di tempat yang aman, seperti perangkat penyimpanan offline atau penyimpanan awan yang dienkripsi. Selain itu, bagi pengguna dompet yang memiliki aset bernilai tinggi, menggunakan dompet multi-tandatangan dapat meningkatkan keamanan.

2. Mencegah serangan phishing: Saat mengakses situs web terkait, selalu periksa dengan teliti URL-nya agar tidak mengklik tautan yang berasal dari sumber yang tidak jelas. Sebaiknya dapatkan tautan unduhan dan informasi dari situs web resmi proyek atau media sosial resmi proyek, hindari menggunakan sumber pihak ketiga.

3、Keamanan Perangkat Lunak: Pengguna harus memastikan untuk menginstal dan memperbarui perangkat lunak antivirus pada perangkat mereka untuk mencegah serangan malware dan virus berbahaya. Selain itu, pengguna juga harus secara teratur memperbarui dompet dan alat-alat terkait blockchain lainnya untuk memastikan penggunaan patch keamanan terbaru. Karena banyak browser sidik jari dan desktop remote telah mengalami kerentanan keamanan sebelumnya, penggunaan tidak disarankan.

通过以上措施，用户可以进一步降低在使用各类工具时的安全风险。 -> Dengan langkah-langkah di atas, pengguna dapat lebih lanjut menurunkan risiko keamanan saat menggunakan berbagai alat.

Tim Keamanan Dompet Web3 OKX: Mari kita mulai dengan contoh kasus publik dalam industri ini.

Misalnya, browser sidik jari Bit menyediakan fitur login dengan banyak akun, mencegah asosiasi jendela, dan mensimulasikan informasi komputer independen, yang disukai oleh beberapa pengguna. Namun, serangkaian peristiwa keamanan pada Agustus 2023 mengungkapkan potensi risikonya. Secara khusus, fitur “sinkronisasi data plugin” dari browser Bit memungkinkan pengguna mengunggah data plugin ke server cloud, dan dengan memasukkan kata sandi, dapat dengan cepat bermigrasi ke perangkat baru. Meskipun fitur ini dirancang untuk kenyamanan pengguna, tetapi juga memiliki potensi masalah keamanan. Hacker memperoleh data dompet pengguna dengan menginvasi server. Dengan menggunakan metode serangan brute force, hacker berhasil membobol kata sandi dompet dari data tersebut dan mendapatkan akses ke dompet. Catatan server menunjukkan bahwa server yang menyimpan cache ekstensi telah diunduh secara ilegal pada awal Agustus (log tercatat paling lambat pada 2 Agustus). Peristiwa ini mengingatkan kita bahwa saat menikmati kenyamanan, kita juga harus waspada terhadap potensi risiko keamanan.

Jadi, memastikan alat yang digunakan aman dan dapat diandalkan sangat penting bagi pengguna untuk menghindari risiko serangan hacker dan kebocoran data. Secara umum, pengguna dapat meningkatkan tingkat keamanan dari berbagai aspek berikut.

Satu, penggunaan dompet hardware:

1. Selalu perbarui firmware secara berkala, dapat dibeli melalui saluran resmi.
2. Gunakan hanya pada komputer yang aman, hindari menghubungkannya di tempat umum.

二、Penggunaan Penyisip Browser: Harap berhati-hati saat menggunakan penyisip pihak ketiga dan alat, sebisa mungkin pilih produk yang terpercaya seperti Dompet Web3 OKX. 2) Hindari menggunakan penyisip dompet di situs web yang tidak dipercayai.

三、Penggunaan Alat Analisis Transaksi: 1) Melakukan transaksi dan interaksi kontrak menggunakan platform tepercaya. 2) Teliti memeriksa alamat kontrak dan metode pemanggilan untuk menghindari kesalahan operasi.

Keempat, penggunaan peralatan komputer: 1) Secara teratur memperbarui sistem peralatan komputer, memperbarui perangkat lunak, memperbaiki kerentanan keamanan. 2) Perangkat lunak antivirus yang aman, secara berkala memindai virus sistem komputer.

Q 5 : Dibandingkan dengan satu Dompet, bagaimana pemotong rambut dapat mengelola long Dompet dan akun dengan lebih aman?

WTF Academy: Karena pengguna yang sering berinteraksi di atas rantai memiliki frekuensi yang tinggi dan mengelola banyak dompet dan akun secara bersamaan, penting untuk memperhatikan keamanan aset.

Satu, menggunakan dompet hardware: dompet hardware memungkinkan pengguna untuk mengelola beberapa akun dompet pada perangkat yang sama, dengan setiap kunci pribadi akun disimpan pada perangkat hardware untuk keamanan yang lebih terjamin.

Pemisahan kebijakan keamanan & lingkungan operasi terpisah: Pertama, adalah pemisahan kebijakan keamanan, pengguna dapat mencapai tujuan membagi risiko dengan memisahkan dompet yang digunakan untuk tujuan yang berbeda. Misalnya, dompet airdrop, dompet perdagangan, dompet penyimpanan, dan sebagainya. Misalnya lagi, dompet panas digunakan untuk transaksi sehari-hari dan operasi penggembalaan, sedangkan dompet dingin digunakan untuk menyimpan aset penting dalam jangka panjang, sehingga jika satu dompet rusak, dompet lainnya tidak akan terpengaruh.

其次就是分离操作环境，用户可以使用不同设备（例如手机、平板、电脑等）管理不同Dompet，防止一个设备的安全问题影响所有Dompet。

三、管理密码：pengguna harus mengatur kata sandi yang kuat untuk setiap dompet akun, hindari menggunakan kata sandi yang sama atau mirip. Atau gunakan manajer kata sandi untuk mengelola kata sandi akun yang berbeda, pastikan setiap kata sandi independen dan aman.

Tim Keamanan Dompet Web3 OKX: Bagi pengguna yang sering bertransaksi, mengelola beberapa dompet dan akun dengan aman bukanlah hal yang mudah. Misalnya, dapat meningkatkan tingkat keamanan dompet dari berbagai aspek berikut:

1. Diversifikasi Risiko:

1. Jangan menyimpan semua aset Anda di satu dompet, sebarkan penyimpanannya untuk mengurangi risiko. Pilih jenis dompet yang berbeda-beda, seperti dompet hardware, dompet software, dompet dingin, dan dompet panas, berdasarkan jenis dan tujuan aset.
2. Gunakan dompet dengan tanda tangan ganda untuk mengelola aset besar, sehingga meningkatkan keamanan.

2、Backup dan Restore： 1）Secara berkala melakukan backup frase pemulihan dan kunci pribadi, simpan di beberapa lokasi yang aman. 2）Gunakan dompet hardware untuk penyimpanan dingin, hindari kebocoran kunci pribadi.

**3、避免重复密码：**untuk setiap Dompet dan akun, tetapkan kata sandi yang kuat secara terpisah untuk mengurangi risiko bahwa retas satu akun dapat mengancam akun lainnya.

4. Aktifkan verifikasi dua langkah: Di semua akun yang memungkinkan, aktifkan verifikasi dua langkah (2FA) untuk meningkatkan keamanan akun.

5. Alat Otomatisasi: Kurangi penggunaan alat otomatisasi, terutama yang dapat menyimpan informasi Anda di cloud atau server pihak ketiga, untuk mengurangi risiko kebocoran data.

6, Batasi Akses: Hanya beri akses kepada orang yang dipercayai untuk mengakses dompet dan akun Anda, dan batasi izin operasional mereka.

7、Secara teratur memeriksa status keamanan Dompet: Gunakan alat untuk memantau transaksi dompet, pastikan tidak ada transaksi yang mencurigakan, jika ditemukan bocornya kunci pribadi dompet, segera ganti semua dompet dan sebagainya.

Selain beberapa dimensi yang disebutkan di atas, masih ada banyak lagi, bagaimanapun juga, pengguna harus berusaha sebanyak mungkin melalui beberapa dimensi untuk memastikan keamanan dompet dan aset, jangan hanya bergantung pada satu dimensi saja.

Q 6: Apa saran perlindungan untuk slippage perdagangan yang berkaitan dengan pemotongan rambut, serangan MEV, dan sebagainya?

WTF Academy: Memahami dan mencegah slippage perdagangan dan serangan MEV sangat penting, risiko ini secara langsung mempengaruhi biaya transaksi dan keamanan aset.

拿 MEV 攻击来说，常见的类型有： 1）抢跑，即Penambang   atau robot perdagangan mengeksekusi transaksi yang sama sebelum transaksi pengguna untuk mendapatkan keuntungan. 2）Serangan sandwich, di mana penambang menyisipkan pesanan beli dan pesanan jual sebelum dan sesudah transaksi pengguna, sehingga mendapatkan keuntungan dari fluktuasi harga. 3）Arbitrase: memanfaatkan perbedaan harga di pasar yang berbeda di atas blok untuk melakukan arbitrase.

Pengguna dapat menggunakan alat perlindungan MEV untuk mengirimkan transaksi melalui saluran khusus ke penambang, menghindari penyiaran publik di blok rantai. Atau menurunkan waktu publikasi transaksi, yaitu mengurangi waktu transaksi di mempool dan menggunakan biaya Gas yang lebih tinggi untuk mempercepat kecepatan konfirmasi transaksi, serta menghindari tindakan risiko serangan dengan melakukan transaksi besar di satu platform DEX.

Tim Keamanan Dompet Web3 OKX: Slippage perdagangan merujuk pada perbedaan antara harga perdagangan yang diharapkan dan harga eksekusi aktual, biasanya terjadi saat fluktuasi pasar tinggi atau likuiditas rendah. Serangan MEV mengacu pada penyerang yang memanfaatkan asimetri informasi dan akses transaksi untuk memperoleh keuntungan berlebih. Berikut adalah beberapa langkah perlindungan umum untuk kedua skenario ini:

1. Setel toleransi slippage: karena adanya keterlambatan dalam transaksi pada rantai blok dan kemungkinan serangan MEV, pengguna perlu mengatur toleransi slippage yang wajar sebelum melakukan transaksi, untuk menghindari kegagalan transaksi atau kerugian dana akibat fluktuasi pasar atau serangan MEV.

2、分批交易：避免一次性大额交易，分批次进行交易，可以减少对市场价格的影响，降低滑点风险。

3、Pilih pasangan perdagangan dengan likuiditas tinggi saat melakukan perdagangan untuk mengurangi terjadinya slippage.

4. Gunakan alat anti-front running: Upaya transaksi yang penting sebaiknya tidak melalui Memepool, dapat dilindungi dari penangkapan oleh robot MEV melalui penggunaan alat anti-front running yang profesional.

用户可以使用监控工具或者专业方法，定期监控和检测到Dompetakun异常吗？

**WTF Academy: **Pengguna dapat menggunakan berbagai alat pemantauan dan metode profesional untuk secara teratur memantau dan mendeteksi aktivitas tidak biasa dalam akun dompet. Metode-metode ini membantu meningkatkan keamanan akun, mencegah akses tanpa izin, dan potensi tindakan penipuan. Berikut adalah beberapa metode pemantauan dan deteksi yang efektif:

1）Layanan pemantauan pihak ketiga: Saat ini banyak platform dapat memberikan laporan rinci dan peringatan waktu nyata untuk aktivitas dompet pengguna.

2）Menggunakan plugin keamanan: Beberapa alat keamanan dapat secara otomatis memblokir sebagian situs phishing.

3）Dompet fitur built-in: Dompet OKX Web3 dan lainnya dapat secara otomatis mendeteksi dan mengidentifikasi sebagian situs phishing dan kontrak mencurigakan, memberikan peringatan kepada pengguna.

Tim Keamanan Dompet Web3 OKX: Saat ini banyak perusahaan atau organisasi yang menyediakan banyak alat untuk memantau dan mendeteksi alamat dompet. Kami telah mengumpulkan sebagian informasi publik industri ini, misalnya:

1、Blok rantai alat pemantauan: Gunakan alat analisis blok rantai untuk memantau transaksi yang mencurigakan di alamat dompet, perubahan dana, dan atur notifikasi transaksi alamat.

2, Dompet Keamanan: Menggunakan dompet profesional seperti Dompet Web3 OKX, dapat mendukung eksekusi transaksi yang diantisipasi, mendeteksi transaksi mencurigakan dengan cepat; juga dapat mendeteksi dan mencegah interaksi dengan situs web dan kontrak jahat secara tepat waktu.

3. Sistem Peringatan: Dapat mengirimkan peringatan tentang transaksi atau perubahan saldo berdasarkan kondisi yang ditetapkan oleh pengguna, termasuk melalui pesan singkat (SMS), surel, atau pemberitahuan aplikasi lainnya.

4, Pemeriksaan Otorisasi Token OKLink: Periksa otorisasi dompet terhadap DApps, cabut otorisasi yang tidak diperlukan secara tepat waktu untuk mencegah penyalahgunaan kontrak jahat.

Q 8: Bagaimana cara melindungi keamanan privasi on-chain?

**WTF Academy：**Meskipun fitur transparansi publik dari Blockchain membawa banyak manfaat, namun juga berarti aktivitas transaksi pengguna dan informasi aset bisa disalahgunakan, perlindungan privasi on-chain juga menjadi semakin penting. Namun, pengguna dapat melindungi privasi identitas pribadi dengan membuat dan menggunakan beberapa alamat. Tidak disarankan untuk menggunakan browser sidik jari, karena sebelumnya telah muncul banyak kerentanan keamanan.

Tim Keamanan Dompet Web3 OKX: Semakin banyak pengguna yang mulai memperhatikan perlindungan privasi dan keamanan. Salah satu cara yang umum adalah

1. Manajemen Dompet yang Beragam: Membagi aset pengguna secara terdesentralisasi, menurunkan risiko pelacakan atau serangan terhadap satu dompet tunggal.

2、使用多签钱包：需要多方签名才能执行交易，增加了安全性和隐私保护。

3. Dompet Dingin: Menyimpan aset yang dipegang dalam jangka panjang di dompet hardware atau penyimpanan offline untuk mencegah serangan online.

4. Jangan mempublikasikan alamat: Hindari membagikan alamat dompet Anda di media sosial atau platform publik, untuk menghindari penelusuran oleh orang lain.

5、Menggunakan alamat email sementara: Saat berpartisipasi dalam airdrop atau kegiatan lainnya, gunakan alamat email sementara untuk melindungi informasi pribadi agar tidak terungkap.

Q 9: Jika dompet akun Anda diretas, bagaimana cara menghadapinya? Apakah ada upaya atau mekanisme yang dilakukan untuk membantu pengguna yang menjadi korban pencurian dan melindungi aset pengguna?

**Akademi WTF：**Kami fokus pada serangan phishing dan kebocoran kunci pribadi/seed phrase secara terpisah.

Pertama, ketika serangan phishing terjadi, aset yang pengguna berikan izin kepada hacker akan ditransfer ke dompet hacker, dan ini hampir tidak mungkin dapat dipulihkan; namun, sisa aset di dompet pengguna relatif aman. Tim RescuETH menyarankan pengguna untuk mengambil tindakan berikut:

1. Mencabut otorisasi aset untuk Hacker.

2）Hubungi perusahaan keamanan untuk melacak aset yang dicuri dan alamat hacker.

Selain itu, ketika kunci pribadi/frasa pemulihan bocor, semua aset berharga dalam dompet pengguna akan dialihkan ke dompet hacker, yang hampir tidak mungkin untuk dikembalikan. Namun, aset yang tidak dapat dialihkan dari dompet pengguna saat ini masih dapat diselamatkan, seperti aset yang masih dalam penahanan dan airdrop yang belum diberikan. Ini juga merupakan tujuan utama kami dalam penyelamatan. Tim RescuETH menyarankan pengguna untuk mengambil langkah-langkah berikut ini:

首先，检查Dompet中是否有未被Hacker转移的资产，如果有，请立即转移到安全的Dompet。有时Hacker会漏掉一些冷门链的资产。

2. Jika ada aset staking yang belum terkunci dan airdrop yang belum diberikan di dalam dompet, Anda dapat menghubungi tim ahli untuk mendapatkan bantuan.

3. Jika Anda mencurigai telah menginstal malware, segera lakukan pemindaian virus pada komputer dan hapus malware tersebut. Jika diperlukan, Anda dapat melakukan instal ulang sistem.

Saat ini, kami telah mencoba banyak upaya dalam menyelamatkan aset pengguna yang dicuri.

Pertama, kami adalah tim pertama yang menyelamatkan aset dari dompet yang dicuri secara massal. Pada acara airdrop Arbitrum bulan Maret 2023, saya mengumpulkan lebih dari 40 kunci pribadi dompet yang bocor dari hampir 20 penggemar dan berhasil mengalahkan para hacker untuk airdrop $ARB. Akhirnya, kami berhasil menyelamatkan lebih dari $40.000 nilai token ARB, dengan tingkat keberhasilan 80%.

Ketika dompet pengguna diretas, aset yang memiliki nilai ekonomi akan dicuri oleh hacker, sementara NFT atau ENS yang memiliki nilai kenangan bagi pengguna tetap berada di dalam dompet. Tetapi karena dompet tersebut sedang dimonitor oleh hacker, gas yang masuk akan segera dicuri, sehingga pengguna tidak dapat mentransfer aset ini. Untuk mengatasi masalah ini, kami telah membuat sebuah aplikasi penyelamatan mandiri: RescuETH App, yang didasarkan pada teknologi MEV bundle Flashbots, dapat menggabungkan transaksi gas yang masuk dengan transaksi NFT/ENS yang keluar untuk mencegah script pemantauan hacker mencuri gas, sehingga aset dapat diselamatkan dengan sukses. Saat ini, RescuETH App sedang dalam tahap pengujian internal dan diperkirakan akan memulai tahap beta publik pada bulan Juni.

Ketiga, untuk aset yang dapat diselamatkan dari dompet yang dibobol pengguna (stake yang belum terkunci dan airdrop yang belum diterbitkan), kami menyediakan layanan penyelamatan penyerang berbayar yang dapat disesuaikan. Saat ini, tim penyerang putih kami terdiri dari hampir 20 ahli keamanan/MEV dan telah berhasil menyelamatkan lebih dari 3 juta yuan aset dari dompet yang dibobol di jaringan ETH, Solana, Cosmos, dan lainnya.

Tim Keamanan Dompet Web3 OKX: Kami melihat dari dua sudut pandang: tindakan pengguna dan mekanisme keamanan Dompet Web3 OKX.

Satu, Tindakan Pengguna

Pengguna disarankan untuk segera mengambil langkah-langkah berikut ketika mereka menemukan bahwa dompet mereka telah dicuri:

1. Tindakan tanggap darurat

立即转移资金：如果钱包中还有资金，需立即将其转移至安全的新地址。 -> Segera transfer dana: Jika masih ada dana di dompet, segera transfer ke alamat baru yang aman.

2）Membatalkan otorisasi: segera batalkan semua otorisasi melalui alat manajemen untuk mencegah kerugian lebih lanjut.

3）Melacak arus dana: Melacak dengan cepat arus dana yang dicuri, mengumpulkan informasi rinci tentang proses pencurian untuk meminta bantuan eksternal.

2, Dukungan Komunitas dan Pihak Proyek

1）Mencari bantuan dari tim proyek dan komunitas: Melaporkan insiden kepada tim proyek dan komunitas, terkadang tim proyek dapat membekukan atau mengembalikan aset yang dicuri. Misalnya, USDC memiliki mekanisme daftar hitam yang dapat menghentikan transfer dana.

2） Bergabung dengan Organisasi Keamanan Blockchain: Bergabung dengan organisasi atau kelompok keamanan blockchain terkait, dan menggunakan kekuatan kolektif untuk memecahkan masalah.

3. Hubungi dukungan layanan pelanggan Dompet: Segera hubungi tim dukungan pelanggan Dompet untuk mendapatkan bantuan dan panduan profesional.

二、OKX Dompet Web3 mekanisme keamanan

OKX Dompet Web3 sangat memperhatikan keamanan aset pengguna dan terus berinvestasi dalam perlindungan aset pengguna, menyediakan mekanisme keamanan ganda untuk memastikan keamanan aset digital pengguna.

1. Perpustakaan Label Alamat Hitam: Dompet Web3 OKX telah membangun perpustakaan label alamat hitam yang lengkap untuk mencegah pengguna berinteraksi dengan alamat yang diketahui sebagai berbahaya. Perpustakaan label ini terus diperbarui untuk menghadapi ancaman keamanan yang terus berubah, dan memastikan keamanan aset pengguna.

2）Plugin keamanan: Dompet Web3 OKX menyediakan fitur perlindungan anti-phishing yang terintegrasi, membantu pengguna mengenali dan mencegah tautan berbahaya dan permintaan transaksi potensial, meningkatkan keamanan akun pengguna.

3）24 jam dukungan online: Dompet Web3 OKX menyediakan dukungan online 24 jam bagi pelanggan, mengikuti kejadian kehilangan atau penipuan aset pelanggan dengan cepat, memastikan pelanggan dapat segera mendapatkan bantuan dan panduan.

4. Pendidikan Pengguna: Dompet Web3 OKX secara teratur merilis tips keamanan dan materi edukasi untuk membantu pengguna meningkatkan kesadaran keamanan, memahami bagaimana menghadapi risiko keamanan umum, dan melindungi aset mereka.

Q1 0: Dapatkah Anda berbagi teknologi keamanan terkini, seperti apakah mungkin untuk memperkuat perlindungan keamanan dengan menggunakan AI?

**WTF Academy: **Keamanan dalam bidang blockchain dan Web3 adalah bidang yang terus berkembang, dengan berbagai teknologi dan metode keamanan terbaru terus muncul. Saat ini, beberapa yang paling populer adalah:

1）audit smart contract: menggunakan kecerdasan buatan dan pembelajaran mesin untuk otomatisasi audit keamanan kontrak cerdas, dapat mendeteksi bug dan risiko potensial dalam kontrak cerdas, memberikan analisis yang lebih cepat dan komprehensif daripada audit manual tradisional.

2. Deteksi Perilaku Abnormal: Menggunakan algoritma pembelajaran mesin untuk menganalisis transaksi dan pola perilaku on-chain, mendeteksi aktivitas yang tidak normal dan ancaman keamanan potensial. AI dapat mengenali pola serangan umum (seperti serangan MEV, serangan phishing) dan perilaku transaksi yang tidak normal, serta memberikan peringatan real-time.

3. Deteksi Penipuan: AI dapat menganalisis riwayat transaksi dan perilaku pengguna, mengidentifikasi dan menandai aktivitas penipuan yang mungkin.

Tim Keamanan Dompet Web3 OKX: Saat ini, AI telah banyak diterapkan dalam bidang Web3 dengan beberapa contoh penggunaan yang bertujuan meningkatkan perlindungan keamanan Web3.

首先，deteksi anomali dan deteksi intrusi: menggunakan model AI dan machine learning, menganalisis pola perilaku pengguna, mendeteksi aktivitas yang tidak normal. Misalnya, dapat menggunakan model pembelajaran mendalam untuk menganalisis perilaku transaksi dan aktivitas dompet, mengidentifikasi perilaku jahat atau aktivitas yang tidak normal yang berpotensi.

第二，identifikasi situs phishing: AI dapat mendeteksi dan mencegah situs phishing dengan menganalisis konten halaman web dan fitur tautan, melindungi pengguna dari ancaman serangan phishing.

Pada tahap ketiga, AI dapat mendeteksi perangkat lunak jahat dengan menganalisis perilaku dan fitur file untuk mencegah pengguna mengunduh dan menjalankan program berbahaya yang baru dan tidak diketahui.

Keempat, tanggapan ancaman otomatis: AI dapat merespons secara otomatis, misalnya dengan mengunci akun atau melakukan tindakan perlindungan lainnya setelah mendeteksi aktivitas yang tidak normal.

Terima kasih telah membaca Edisi Ke-03 dari “Spesial Keamanan” Dompet Web3 OKX. Saat ini kami sedang mempersiapkan konten Edisi Ke-04 yang akan datang dengan kasus nyata, pengenalan risiko, dan tips keamanan yang berharga. Tetap disini dan tunggu informasinya!

Pernyataan Penyangkalan

Hanya untuk referensi, artikel ini tidak bermaksud memberikan (i) saran investasi atau rekomendasi investasi; (ii) penawaran atau ajakan untuk membeli, menjual, atau memiliki aset digital; atau (iii) saran keuangan, akuntansi, hukum, atau pajak. Memiliki aset digital (termasuk stablecoin dan NFT) melibatkan risiko tinggi dan dapat mengalami fluktuasi yang signifikan, bahkan menjadi tidak berharga. Anda harus mempertimbangkan dengan cermat apakah bertransaksi atau memiliki aset digital sesuai dengan kondisi keuangan Anda sendiri. Anda bertanggung jawab untuk memahami dan mematuhi hukum dan peraturan yang berlaku di wilayah Anda.