Protect Your Crypto From Hacks
Protect Your Crypto From Hacks

Bagaimana Cara Melindungi Investor Crypto Dari Peretasan

Posted on

Terdapat 3 langkah yang dapat diambil oleh para investor kripto untuk menghindari serangan peretasan. Dalam artikel ini, akan dijelaskan tiga pedoman sederhana yang dapat secara signifikan meningkatkan keamanan dana Anda. Namun sebelum membahas hal tersebut, penting untuk memahami jenis ancaman yang ada saat ini.

FBI memiliki bukti yang jelas mengenai kelompok Lazarus. Kelompok Lazarus adalah kelompok peretasan yang disponsori oleh negara Korea Utara, dikenal karena serangan canggih yang terkait dengan berbagai serangan siber dan kegiatan kriminal, termasuk serangan ransomware WannaCry.

WannaCry mengganggu layanan kritis di berbagai organisasi, termasuk lembaga kesehatan dan lembaga pemerintah, dengan mengenkripsi file pada komputer yang terinfeksi dan menuntut pembayaran tebusan dalam bentuk Bitcoin (BTC).

Salah satu serangan kripto awal yang dilakukan oleh kelompok ini adalah peretasan bursa kripto Korea Selatan, Yapizon (kemudian berganti nama menjadi Youbit), pada bulan April 2017, yang mengakibatkan pencurian 3.831 Bitcoin senilai lebih dari $4,5 juta pada saat itu.

Aktivitas kelompok Lazarus di ruang kripto telah menimbulkan kekhawatiran tentang kemampuannya untuk menghasilkan dana bagi rezim Korea Utara dan menghindari sanksi internasional. Misalnya, pada tahun 2022, kelompok ini terkait dengan sejumlah serangan kripto terkenal, termasuk pencurian $620 juta dari jembatan Axie Infinity Ronin.

Berdasarkan Federal Bureau of Investigation (FBI), kelompok Lazarus Group bertanggung jawab atas serangan hack terhadap Alphapo, CoinsPaid, dan Atomic Wallet. FBI menyatakan bahwa kerugian dari serangkaian hack ini mencapai lebih dari $200 juta yang berhasil dicuri oleh kelompok tersebut pada tahun 2023.

Bulan ini, FBI mengaitkan kelompok Lazarus Group dengan serangan hack senilai $41 juta terhadap situs perjudian kripto Stake. Serangan ini dilakukan melalui kampanye spear-phishing yang menargetkan beberapa karyawan Stake.

Terakhir, menurut perusahaan keamanan blockchain SlowMist, serangan hack senilai $55 juta terhadap bursa kripto CoinEx dilakukan oleh para hacker yang didukung oleh negara Korea Utara.

Sebagian besar serangan hack melibatkan rekayasa sosial dan memanfaatkan kesalahan manusia. Berbeda dengan apa yang sering ditampilkan dalam film, di mana para hacker entah mendapatkan akses fisik ke perangkat atau memaksa masuk dengan menebak kata sandi, sebagian besar serangan hack sebenarnya terjadi melalui phishing dan rekayasa sosial. Para penyerang mengandalkan rasa ingin tahu atau keserakahan manusia untuk memikat korban.

Para hacker tersebut dapat menyamar sebagai perwakilan layanan pelanggan atau tokoh terpercaya lainnya untuk memperdaya korban agar memberikan informasi pribadi mereka.

Sebagai contoh, seorang hacker dapat menyamar sebagai dukungan IT perusahaan dan menelepon seorang karyawan, mengklaim bahwa mereka perlu memverifikasi kredensial login mereka untuk pembaruan sistem. Untuk membangun kepercayaan, penyerang dapat menggunakan informasi publik tentang perusahaan dan peran target.

Serangan phishing melibatkan pengiriman email atau pesan yang menipu untuk memancing penerima agar melakukan tindakan berbahaya. Penyerang dapat menyamar sebagai organisasi terpercaya, seperti bank, dan mengirim email kepada pengguna, meminta mereka untuk mengklik tautan untuk memverifikasi akun mereka. Tautan tersebut membawa mereka ke situs web palsu di mana kredensial login mereka dicuri.

Serangan baiting menawarkan sesuatu yang menarik bagi korban, seperti perangkat lunak gratis atau kesempatan kerja. Penyerang menyamar sebagai perekrut dan membuat postingan pekerjaan yang meyakinkan di situs web pencarian kerja terpercaya. Untuk memperkuat kepercayaan, mereka bahkan dapat melakukan wawancara video palsu, dan kemudian memberi tahu kandidat bahwa mereka telah terpilih. Para peretas melanjutkan dengan mengirimkan file yang tampak tidak berbahaya, seperti PDF atau dokumen Word, yang berisi malware.

Bagaimana investor kripto dapat menghindari serangan dan eksploitasi

Untungnya, meskipun semakin canggih dan kemampuan hacker saat ini, ada tiga langkah sederhana yang dapat Anda lakukan untuk menjaga keamanan dana Anda. Yaitu:

  1. Gunakan dompet hardware untuk penyimpanan jangka panjang aset kripto Anda. Dompet hardware tidak terhubung langsung ke internet, sehingga sangat aman dari ancaman online seperti serangan phishing atau malware. Mereka memberikan lapisan perlindungan tambahan dengan menyimpan kunci pribadi Anda secara offline dan menjauhkannya dari hacker potensial.
  2. Aktifkan Otentikasi Dua Faktor, atau 2FA, pada semua akun pertukaran kripto dan dompet Anda. Ini menambah langkah keamanan tambahan dengan meminta Anda untuk memberikan kode sekali pakai yang dihasilkan oleh aplikasi seperti Google Authenticator atau Authy. Bahkan jika seorang penyerang berhasil mencuri kata sandi Anda, mereka tidak akan dapat mengakses akun Anda.
  3. Bersikap sangat berhati-hati saat mengklik tautan di email dan media sosial. Penipu sering menggunakan tawaran menarik atau hadiah untuk memikat korban. Gunakan akun atau dompet “burner” terpisah untuk bereksperimen dengan aplikasi terdesentralisasi baru dan untuk airdrop guna mengurangi risiko kehilangan dana Anda.

Taktik-taktik Hacker yang Perlu Diwaspadai

Keamanan kripto adalah salah satu topik terpanas bagi para investor dan perusahaan yang aktif dalam menciptakan solusi keamanan yang lebih baik untuk industri Web3. Web3 Antivirus dibuat dalam upaya untuk membuat keamanan dompet lebih mudah diakses oleh semua pengguna di ruang tersebut. Perusahaan ini menawarkan ekstensi browser yang membantu pengguna memantau interaksi dompet dan mendeteksi potensi penipuan serta aktivitas jahat sebelum investor menjadi korban.

Berikut adalah penipuan kripto dan taktik jahat yang paling umum, serta cara melindungi diri dari mereka berdasarkan pengalaman pengembangan Web3 Antivirus.

Transaksi jahat

Taktik hacker: Saat berada di situs jahat, pengguna dapat menandatangani transaksi yang memberikan akses ke semua aset mereka daripada melakukan transaksi pembelian NFT. Penipu kemudian dapat mengosongkan dompet pengguna, mencuri aset yang izin aksesnya telah diberikan.

Taktik pengguna: Pengguna harus memperhatikan dengan seksama transaksi yang mereka lakukan dan situs-situs yang mereka interaksikan. Mereka harus dengan jelas memahami apa hasil dari transaksi tersebut. Alat seperti Web3 Antivirus dapat mensimulasikan transaksi dalam lingkungan yang aman dan dengan jelas menunjukkan apa yang akan terjadi jika pengguna melanjutkannya.

Pesan-pesan jahat.

Taktik-taktik Hacker: Sebagai contoh, sebuah situs phishing meminta pengguna untuk menandatangani pesan (dapat disamarkan sebagai wallet connect) untuk mencantumkan NFT yang dimiliki pengguna untuk dijual di OpenSea. Karena ini bukan transaksi melainkan hanya pesan, pengguna dapat dengan mudah mengabaikan apa yang dikatakan pesan tersebut, menandatanganinya, dan kehilangan token mereka sebagai hasilnya.

Jika pengguna sebelumnya pernah melakukan perdagangan di OpenSea, penipu hanya perlu membuat pengguna menandatangani pesan untuk menempatkan NFT mereka untuk dijual dengan nilai hampir nol. Jika pengguna belum pernah melakukan perdagangan di OpenSea sebelumnya atau akses ke NFT mereka tidak disetujui untuk kontrak OpenSea, skema ini menjadi lebih sulit untuk dilakukan. Dalam hal ini, penipu harus pertama-tama membuat pengguna memberikan akses ke NFT mereka dan kemudian menandatangani pesan untuk menempatkan NFT mereka untuk dijual.

Skema ini mengeksploitasi mekanisme yang biasanya digunakan oleh pasar. Ketika seorang pengguna ingin menempatkan NFT untuk dijual, pasar meminta akses ke seluruh koleksi sekaligus. Hal ini dilakukan agar pengguna dapat menghemat gas (biaya transaksi).

Taktik pengguna untuk melawan: Untuk melindungi diri dari skema seperti ini, pengguna perlu memeriksa dua kali apa yang akan mereka tandatangani. Alat keamanan seperti Web3 Antivirus dapat menampilkan informasi terperinci tentang permintaan izin dan aset spesifik yang pengguna berikan akses kepadanya. Selain itu, pengguna akan mendapatkan pesan yang jelas menjelaskan apa yang akan mereka terima dan apa yang akan mereka berikan sebagai hasil dari transaksi tersebut.

Pesan berbahaya – eth_sign.

Taktik Hacker: Ini adalah skema berbahaya yang mudah untuk jatuh ke dalamnya, dan yang telah kami jelaskan sebelumnya. Pengguna diminta untuk hanya menandatangani pesan, tetapi karena ini bukan transaksi dan tidak ada biaya gas, banyak pengguna melakukannya tanpa berpikir dua kali. Setelah itu, sangat mungkin bahwa aset mereka akan segera menghilang dari dompet mereka.

Taktik pengguna untuk melawannya: Pengguna harus memperhatikan dengan seksama peringatan dari dompet mereka (misalnya, MetaMask memberi tahu pengguna ketika mereka diminta untuk menandatangani pesan “eth_sign”) atau menggunakan alat keamanan seperti Web3 Antivirus.

Honeypot NFTs

Taktik Hacker: Ini adalah skema yang berbahaya dan sulit dideteksi. Pengguna membeli NFT dengan harapan menjualnya nanti untuk mendapatkan keuntungan, tetapi kontrak pintar mencegah NFT tersebut untuk ditransfer atau dijual setelahnya. Pengguna terjebak dengan NFT yang tidak memiliki nilai dan mengalami kerugian finansial.

Taktik pengguna untuk melawannya: Sangat penting untuk menggunakan pasar yang terpercaya dan memeriksa NFT dengan cermat sebelum membelinya. Pengguna harus memperhatikan data seperti tanggal koleksi/pembuatan kontrak, jumlah transaksi, jumlah pemilik aset, dan pasar di mana token tersebut terdaftar.

Token palsu

Taktik Hacker: Skema umum yang cukup mudah dihindari dengan melakukan riset. Penipu membuat NFT dengan nama yang sama dengan token dari koleksi populer dan menjual token palsu tersebut sebagai asli.

Taktik pengguna untuk melawannya: Lakukan riset sendiri. Kami merekomendasikan menggunakan pasar yang terverifikasi dan mempelajari NFT dengan cermat sebelum membelinya. Fokus pada data seperti tanggal koleksi/pembuatan kontrak, jumlah transaksi, jumlah pemilik aset, dan pasar di mana token tersebut terdaftar.

Taktik Palsu

Taktik Hacker: Salah satu skema paling umum. Penipu menyamar sebagai situs resmi, menyalin antarmuka dan/atau URL-nya dengan perubahan kecil.

Taktik Pengguna: Untuk melindungi diri, pengguna dapat menggunakan alat keamanan seperti Web3 Antivirus, yang memeriksa nama domain dengan database-nya dan memberi peringatan jika pengguna menuju ke situs yang mencurigakan. Selain itu, beberapa dompet (seperti MetaMask) mendeteksi beberapa situs yang mencurigakan dan memblokirnya.

Kontrak Pintar Berbahaya

Taktik Hacker: Kode kontrak dapat ditulis dengan logika apa pun, termasuk memiliki fungsi dan metode yang berbahaya. Pilihan yang tersedia cukup banyak, sehingga mendeteksinya menjadi tantangan.

Taktik Pengguna: Untuk mendeteksi masalah ini, seseorang perlu mempelajari kode kontrak dengan ahli, yang membutuhkan keterampilan tertentu. Bagi pengguna biasa, disarankan untuk melakukan penelitian sendiri, memeriksa verifikasi kontrak di EtherScan serta jumlah transaksi dan tanggal pembuatan. Pendekatan yang lebih cepat dan komprehensif adalah menggunakan alat keamanan seperti Web3 Antivirus yang mengaudit kode kontrak untuk fitur dan logika berbahaya serta memberi peringatan kepada pengguna tentangnya.

Serangan Pencemaran

Taktik Hacker: Hacker membuat alamat dompet palsu yang memiliki karakter pertama dan terakhir yang sama dengan dompet yang sering digunakan target untuk bertransaksi. Tujuannya adalah menipu pengguna agar dengan sukarela mengirimkan dana, dengan mengira mereka mengirimkan aset ke alamat dompet yang dikenal. Skema ini memiliki mekanisme yang cukup sederhana. Variasi dari taktik ini juga mencakup tiruan transaksi nol-sum yang berasal dari alamat dompet korban. Anda dapat menemukan informasi lebih lanjut di sini.

Taktik Pengguna: Sebelum mengirimkan aset Anda ke alamat mana pun, lakukan verifikasi secara menyeluruh. Pastikan untuk memeriksa karakter pertama dan terakhir dari alamat dompet yang dituju dan pastikan bahwa mereka cocok dengan yang seharusnya.

Selain itu, periksa juga alamat dompet yang sering digunakan target untuk bertransaksi dan pastikan tidak ada karakter yang berbeda.

Jika ada keraguan, lebih baik menghubungi pihak yang terkait untuk memverifikasi keaslian alamat dompet tersebut. Selain itu, menggunakan alat keamanan seperti Web3 Antivirus dapat membantu mendeteksi alamat dompet palsu dan memberi peringatan kepada pengguna.

Menjaga aset kripto tetap aman dengan Web3 Antivirus

Sementara para peretas terus mengembangkan taktik baru dan inovatif untuk mendapatkan dana investor kripto, ruang Web3 juga aktif dalam mengembangkan langkah-langkah pencegahan. Di Web3 Antivirus, tim ahli dan pengembang blockchain yang berdedikasi terus bekerja untuk mencegah skema yang disebutkan di atas.

Sebagai plugin browser yang ramah pengguna, Web3 Antivirus menawarkan berbagai alat analisis dan laporan yang dapat membantu investor memantau platform Web3 yang mereka interaksikan. Mulai dari simulasi transaksi hingga analisis kontrak pintar, ekstensi ini memberikan lapisan keamanan tambahan bagi ruang kripto. Tetap ingat taktik peretas yang dijelaskan di sini, dan tetap aman dalam dunia kripto.

Gravatar Image
I am a professional writer who has long worked in the field of information technology.

Leave a Reply

Your email address will not be published. Required fields are marked *