Panduan Keamanan Dompet Hardware: Hindari Perangkap Umum, Lindungi Aset Enkripsi

Baru-baru ini, seorang pengguna membeli dompet dingin yang telah dimanipulasi di sebuah platform video pendek, yang menyebabkan pencurian aset enkripsi senilai sekitar 50 juta yuan. Artikel ini akan fokus pada dompet hardware, sebuah alat yang umumnya dipercaya tetapi memiliki banyak kesalahan dalam penggunaannya. Kami akan membahas tiga tahap utama: pembelian, penggunaan, dan penyimpanan, merangkum risiko umum, menganalisis penipuan tipikal, dan memberikan saran perlindungan yang praktis.

Risiko dalam Sesi Pembelian

Ada dua jenis penipuan utama dalam pembelian:

1. Dompet palsu: Penampilan normal, tetapi firmware telah dimanipulasi, yang dapat menyebabkan kebocoran kunci pribadi.
2. Dompet nyata + pengarah jahat: Penyerang memanfaatkan kurangnya pengetahuan pengguna, menjual perangkat "yang telah diinisialisasi" melalui saluran tidak resmi, atau mengarahkan untuk mengunduh aplikasi palsu.

Kasus khas: Seorang pengguna membeli dompet hardware dari platform e-commerce, menemukan bahwa buku petunjuknya mirip dengan kartu gores. Penyerang mengaktifkan perangkat sebelumnya untuk mendapatkan frase pemulihan, mengemas ulang dan menjualnya dengan buku petunjuk palsu. Pengguna mengaktifkan sesuai petunjuk dan mentransfer aset, dana segera dipindahkan.

Serangan yang lebih tersembunyi adalah manipulasi pada tingkat firmware. Penampilan perangkat tampak normal, tetapi firmware internal telah ditanamkan pintu belakang. Pengguna sulit menyadarinya, dan setelah aset disimpan, penyerang dapat mengekstrak kunci pribadi dan menandatangani transaksi dari jarak jauh.

Saran: Pastikan untuk membeli melalui situs resmi merek atau saluran resmi yang diotorisasi, hindari memilih platform yang tidak resmi, terutama waspadai perangkat bekas atau produk baru yang tidak jelas asalnya.

Titik serangan dalam proses penggunaan

perangkap phishing dalam otorisasi tanda tangan

"Tanda Tangan Buta" adalah risiko besar, pengguna mengonfirmasi permintaan tanda tangan yang sulit dikenali tanpa memahami konten transaksi. Bahkan dengan menggunakan dompet hardware, masih mungkin secara tidak sengaja memberikan izin untuk mentransfer ke alamat yang tidak dikenal atau menjalankan kontrak pintar berbahaya.

Cara mengatasi: Pilih dompet hardware yang mendukung "what you see is what you sign", pastikan informasi transaksi ditampilkan dengan jelas di layar perangkat dan dikonfirmasi secara item.

penipuan phishing yang menyamar sebagai resmi

Penyerang sering menyamar sebagai resmi untuk melakukan penipuan. Pada bulan April 2022, seorang pengguna dompet hardware terkenal menerima email phishing yang diduga berasal dari domain resmi. Penyerang memanfaatkan nama domain yang mirip dan Punycode untuk menyamar, meningkatkan tingkat penipuan.

Kasus lainnya adalah peminjaman dari insiden kebocoran data merek tertentu pada tahun 2020, di mana penyerang menyamar sebagai departemen keamanan untuk mengirimkan email phishing kepada pengguna, mengklaim perlu melakukan pembaruan atau verifikasi keamanan. Beberapa pengguna bahkan menerima paket penggantian "perangkat baru" yang dipalsukan, yang sebenarnya adalah perangkat yang telah dimodifikasi dengan program berbahaya.

serangan man-in-the-middle

Dompet hardware meskipun dapat mengisolasi kunci pribadi, tetapi transaksi tetap perlu diselesaikan melalui aplikasi ponsel atau komputer dan jalur transmisi. Jika salah satu tahap dikendalikan, penyerang mungkin dapat memanipulasi alamat penerimaan atau memalsukan informasi tanda tangan.

Sebuah tim pernah melaporkan sebuah kerentanan: perangkat lunak Dompet tertentu yang menghubungkan ke perangkat hardware, akan langsung membaca kunci publik internal dan menghitung alamat, kurangnya konfirmasi hardware, memberikan kesempatan bagi serangan man-in-the-middle.

Penyimpanan dan Cadangan

Jangan menyimpan atau mentransfer mnemonic di perangkat dan platform yang terhubung ke internet. Cadangan kertas relatif aman, tetapi perlu waspada terhadap kebakaran, kebanjiran, dan kejadian tak terduga lainnya.

Saran:

• Tuliskan frasa pemulihan di atas kertas fisik, simpan di beberapa lokasi aman yang terpisah.
• Aset bernilai tinggi dapat menggunakan pelat logam tahan api dan tahan air
• Periksa secara berkala lingkungan penyimpanan frasa pemulihan, pastikan aman dan dapat digunakan

Kesimpulan

Keamanan dompet hardware sangat bergantung pada cara pengguna menggunakannya. Banyak penipuan bukanlah langsung menyerang perangkat, tetapi menggoda pengguna untuk menyerahkan kontrol atas aset mereka. Saran kunci adalah sebagai berikut:

1. Membeli dompet hardware melalui saluran resmi
2. Pastikan perangkat dalam keadaan tidak aktif
3. Operasi kunci harus dilakukan oleh diri sendiri, termasuk aktivasi perangkat, pengaturan PIN, pembuatan alamat, dan cadangan frasa pemulihan

Saat digunakan secara normal, setidaknya harus membuat dompet baru secara berurutan tiga kali pertama, mencatat frase pemulihan yang dihasilkan dan alamat yang sesuai, memastikan setiap hasil tidak terduplikasi. Dengan melakukan operasi yang hati-hati dan pemeriksaan secara berkala, risiko pencurian aset dapat secara efektif dikurangi.