Panduan Penggunaan Aman Dompet Hardware: Risiko Umum dan Saran Perlindungan

Belakangan ini, sebuah kasus pencurian aset kripto senilai sekitar 50 juta yuan menarik perhatian. Korban mengklaim telah membeli dompet dingin yang telah dimanipulasi, yang mengakibatkan kerugian aset yang signifikan. Peristiwa ini kembali menyoroti risiko potensial dalam penggunaan dompet hardware. Artikel ini akan mengupas tiga tahapan kunci dalam pembelian, penggunaan, dan penyimpanan dompet hardware, menganalisis jebakan umum, dan memberikan saran perlindungan yang praktis.

Risiko dalam Proses Pembelian

Dalam pembelian dompet hardware, terdapat dua jenis risiko utama:

1. Perangkat palsu: Penampilannya sama dengan produk asli, tetapi firmware di dalamnya telah disusupi pintu belakang.
2. Perangkat nyata dipasangkan dengan pengalihan jahat: Penyerang memanfaatkan kekosongan pengetahuan pengguna, dengan menjual perangkat "yang telah diinisialisasi sebelumnya" melalui saluran yang tidak resmi, atau mengelabui untuk mengunduh aplikasi pendukung palsu.

Salah satu contoh khas adalah: pengguna membeli dompet hardware dari platform e-commerce, dan menemukan bahwa buku petunjuknya mirip dengan kartu gores. Sebenarnya, penyerang telah mengaktifkan perangkat tersebut sebelumnya dan mendapatkan frase pemulihan, lalu mengemas ulang dan menjualnya dengan buku petunjuk palsu. Setelah pengguna mengaktifkan dan mentransfer aset sesuai petunjuk, dana segera dipindahkan.

Metode serangan yang lebih tersembunyi adalah perubahan pada level firmware. Perangkat yang tampak normal di dalamnya mungkin telah ditanamkan pintu belakang, dan begitu pengguna menyimpan aset, program jahat yang tersembunyi akan secara diam-diam diaktifkan, menarik kunci privat dari jarak jauh atau menandatangani transaksi, memindahkan aset.

Titik Risiko dalam Penggunaan

jebakan phishing dalam otorisasi tanda tangan

Meskipun dompet hardware dapat mengisolasi kunci pribadi, namun tidak dapat sepenuhnya menghindari risiko phishing yang disebabkan oleh "blind signing". Pengguna mungkin tanpa disadari memberikan otorisasi untuk transfer ke alamat asing atau mengeksekusi kontrak pintar yang memiliki logika jahat.

Strategi yang diambil adalah memilih dompet hardware yang mendukung fungsi "what you see is what you sign", memastikan bahwa informasi transaksi dapat ditampilkan dengan jelas di layar perangkat dan dikonfirmasi satu per satu.

Penipuan phishing yang menyamar sebagai "resmi"

Penyerang sering menyamar sebagai identitas resmi untuk melakukan penipuan. Misalnya, ada pengguna yang menerima email phishing yang diduga berasal dari merek dompet hardware terkenal, menggunakan nama domain yang sangat mirip dengan yang resmi. Email tersebut mungkin mengklaim perlu melakukan upgrade atau verifikasi keamanan, yang memicu pengguna untuk memindai kode QR yang mengarah ke situs phishing.

Lebih parah lagi, beberapa pengguna menerima paket pengiriman palsu, yang berisi dompet hardware yang telah dimodifikasi dan surat palsu dari pihak resmi, mengklaim bahwa mereka mengganti "perangkat baru yang lebih aman" sebagai respons terhadap insiden kebocoran data sebelumnya. Perangkat ini sebenarnya telah disisipkan dengan program jahat yang bertujuan mencuri frase pemulihan pengguna.

serangan man-in-the-middle

Meskipun dompet hardware dapat melindungi kunci pribadi, transaksi masih perlu dilakukan melalui aplikasi dompet di ponsel atau komputer, serta saluran komunikasi seperti USB, Bluetooth, dan kode QR. Jika tahap-tahap ini dikendalikan, penyerang dapat dengan diam-diam memodifikasi alamat penerimaan atau memalsukan informasi tanda tangan.

Sebuah tim keamanan pernah menemukan bahwa ketika dompet perangkat lunak tertentu terhubung ke dompet hardware tertentu, ia akan segera membaca kunci publik internal perangkat dan menghitung alamat, proses ini kurang memiliki konfirmasi atau pemberitahuan dari perangkat keras, menciptakan kondisi untuk serangan man-in-the-middle.

Saran Penyimpanan dan Cadangan

Penting untuk menjaga kata sandi pemulihan dengan baik. Jangan simpan atau kirim di perangkat dan platform yang terhubung ke internet, termasuk catatan, album, email, catatan cloud, dan sebagainya.

Disarankan untuk menulis kata sandi pemulihan di atas kertas fisik, dan menyimpannya di beberapa lokasi aman yang terpisah. Untuk aset bernilai tinggi, pertimbangkan untuk menggunakan papan logam yang tahan api dan air. Selain itu, secara berkala periksa lingkungan penyimpanan kata sandi pemulihan untuk memastikan keamanannya dan ketersediaannya.

Ringkasan

Dompet hardware sebagai alat penting untuk perlindungan aset, tingkat keamanannya sangat bergantung pada cara penggunaan pengguna. Banyak penipuan tidak secara langsung membobol perangkat, tetapi melalui teknik rekayasa sosial yang menggoda pengguna untuk secara aktif menyerahkan kendali aset. Untuk risiko di atas, kami menyarankan:

1. Hanya membeli dompet hardware melalui saluran resmi.
2. Pastikan perangkat yang dibeli dalam keadaan tidak diaktifkan. Jika ada kelainan, segera hentikan penggunaan dan hubungi resmi.
3. Operasi kunci harus dilakukan oleh pengguna itu sendiri, termasuk mengatur kode PIN, menghasilkan kode ikatan, membuat alamat, dan mencadangkan frasa pemulihan.
4. Pada penggunaan pertama, disarankan untuk membuat dompet baru secara berturut-turut tiga kali, mencatat frase pemulihan yang dihasilkan dan alamat yang sesuai, memastikan bahwa hasilnya tidak duplikat setiap kali.

Dengan mematuhi pedoman keamanan ini secara ketat, pengguna dapat meminimalkan risiko potensial saat menggunakan dompet hardware, serta melindungi keamanan aset kripto mereka dengan lebih baik.