Ahli keamanan Blockchain mengungkapkan: Melindungi Kunci Pribadi, waspada terhadap phishing, dan memahami mekanisme otorisasi adalah tiga kunci utama dalam keamanan enkripsi.
Pembicara: Zhou Yajin, CEO perusahaan keamanan blockchain
Waktu perekaman: 2025.3.28
Layanan dan target pelanggan BlockSec
**Alex:**Pada episode ini, kita akan membahas keamanan dunia enkripsi. Bagaimana membangun firewall untuk aset kita, sehingga kita dapat berinvestasi dalam lingkungan yang aman, adalah topik yang harus kita pelajari sebelum memulai perjalanan enkripsi kita. Pada podcast kali ini, kami mengundang Zhou Yajin dari perusahaan keamanan blockchain, untuk berbagi tentang topik keamanan enkripsi ini. Silakan, Pak Zhou, sapa kami.
Zhou Yajin: Halo semuanya, saya Zhou Yajin, saat ini saya menjabat sebagai CEO di sebuah perusahaan keamanan blockchain, sekaligus saya juga seorang peneliti di bidang keamanan siber di Universitas Zhejiang, sangat senang bertemu dengan kalian.
**Alex:**Baiklah, mari kita masuk ke topik utama hari ini. Saya percaya banyak pendengar mungkin tidak begitu paham tentang perusahaan keamanan blockchain dan layanan keamanan. Silakan, Guru Zhou, perkenalkan kepada kami, apa saja layanan yang kalian tawarkan, orang atau lembaga seperti apa yang akan menjadi pelanggan kalian.
Zhou Yajing: Baik, kami adalah perusahaan keamanan Web3 yang didirikan pada tahun 2021. Ketika membahas keamanan Web3, orang mungkin langsung berpikir tentang audit keamanan. Sebenarnya, cakupan bisnis kami tidak hanya audit keamanan, kami juga menyediakan serangkaian produk dan layanan keamanan lainnya. Secara spesifik, layanan kami dapat dibagi menjadi tiga bagian besar. Bagian pertama kami sebut sebagai keamanan untuk protokol on-chain. Protokol on-chain adalah kontrak pintar yang kami sebutkan yang diterapkan di blockchain untuk beberapa DeFi atau NFT, atau aktivitas lainnya. Bagaimana keamanan kontrak-kontrak ini dapat dijamin? Kami menyediakan layanan audit keamanan dan produk pemantauan keamanan. Bagian kedua yang kami perhatikan adalah keamanan aset. Apa yang dimaksud dengan keamanan aset adalah aset yang dimiliki pengguna, misalnya, aset ini ada di dompet kontrak mereka sendiri, atau diinvestasikan dalam beberapa protokol di blockchain, bagaimana untuk menjamin keamanan aset pengguna ini juga merupakan salah satu cakupan layanan kami. Bagian ketiga adalah kepatuhan dan regulasi. Kami menemukan semakin banyak lembaga keuangan tradisional yang masuk ke dalam industri Crypto. Termasuk berita terbaru yang dapat kita lihat, bank-bank tradisional di AS mengeluarkan beberapa aset stablecoin di blockchain, termasuk Crypto yang masuk ke dalam industri pembayaran lintas batas. Sebenarnya, setelah lembaga keuangan tradisional ini masuk ke industri ini, mereka membawa tantangan bagi regulasi, karena badan regulasi tidak tahu bagaimana mengatur, sementara lembaga ini juga tidak tahu bagaimana untuk mematuhi peraturan. Jadi kami juga membantu badan regulasi untuk mengawasi pemain yang masuk ke industri Crypto ini, atau membantu lembaga tradisional yang masuk ke industri Crypto dalam hal kepatuhan. Inilah tiga cakupan bisnis kami.
Kami memiliki jangkauan klien yang cukup luas. Yang bisa dibayangkan adalah pihak proyek yang melakukan keuangan terdesentralisasi di blockchain atau layanan lainnya, misalnya platform yang menyediakan pinjaman di blockchain, platform perdagangan terdesentralisasi, pihak-pihak proyek ini adalah klien kami. Kami dapat membantu mereka melakukan audit keamanan sebelum penyebaran kontrak pintar di blockchain, dengan meninjau dari sudut pandang keamanan apakah kontrak pintar yang mereka kembangkan memiliki kerentanan keamanan. Jika ada kerentanan keamanan, perlu diperbaiki segera. Selain itu, ketika protokol mereka disebarkan ke blockchain, kami juga akan memiliki platform pemantauan 24 jam untuk memantau risiko keamanan protokol mereka. Jika terjadi risiko keamanan, platform kami dapat memberi tahu protokol dengan cepat, dan dapat secara otomatis memblokir risiko dan serangan. Jadi, para pengembang dan pihak proyek yang menyebarkan kontrak pintar di blockchain adalah salah satu jenis klien khas kami. Jenis klien khas kedua adalah orang-orang yang memiliki aset, mungkin beberapa klien bernilai tinggi, mereka memiliki beberapa aset di dompet kontrak, atau klien bernilai tinggi ini akan berinvestasi di beberapa protokol di blockchain. Layanan dan produk kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan dengan lebih baik. Seperti sisi depan dan belakang koin, dari sudut pandang pihak proyek protokol, kami dapat membantu mereka meningkatkan keamanan protokol. Dari sudut pandang klien bernilai tinggi yang berinvestasi di protokol mereka, kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan. Begitu protokol yang mereka investasikan memiliki risiko keamanan, misalnya jika diserang, mereka perlu dapat menarik kembali dana mereka secepat mungkin. Jenis klien ketiga adalah yang saya sebutkan sebelumnya terkait dengan regulasi dan kepatuhan, jenis klien ini terutama adalah beberapa lembaga pengawas, misalnya Komisi Sekuritas Hong Kong sebenarnya juga adalah klien kami, serta beberapa lembaga penegak hukum luar negeri, yang perlu menyelidiki kejahatan terkait mata uang digital, mereka perlu menggunakan alat dan platform kami untuk memudahkan pengambilan bukti, penelusuran dana, dan kegiatan investigasi lainnya. Ini pada dasarnya adalah keseluruhan bisnis kami serta jangkauan klien kami.
Tentang tiga saran keamanan enkripsi
**Alex:**Mengerti, baru saja Pak Zhou membahas tentang jenis klien, apa kebutuhan mereka, serta gambaran umum situasi industri. Jadi pertanyaan kedua mungkin lebih berkaitan dengan investor pribadi, terutama karena banyak pendengar kami adalah orang-orang yang baru mulai terjun ke Web3 untuk belajar dan mencoba berinvestasi. Jika Anda memiliki seorang teman yang baru saja memasuki bidang investasi enkripsi, dan dia tahu bahwa Anda bekerja di layanan keamanan enkripsi, tolong berikan tiga saran tentang keamanan enkripsi kepadanya, apa tiga saran yang akan Anda berikan?
Zhou Yajin: Itu pertanyaan yang sangat bagus. Teman-teman saya juga sering meminta saran keselamatan kepada saya, dan mereka juga ingin memasuki industri ini, tetapi saya telah mendengar bahwa banyak orang tampaknya menghadapi beberapa risiko. Kami biasa bercanda bahwa jika Anda memasuki dunia kripto dan tidak terkena phishing atau penipuan, Anda tidak akan menjadi pemain veteran di lapangan. Tentu saja, ini lelucon, tetapi Anda juga dapat melihat bahwa ada banyak risiko di industri ini. Jika saya harus membuat tiga saran, yang pertama pasti akan terlintas di benak semua orang adalah tentang perlindungan kunci pribadi. Di bidang Crypto, cara membuktikan bahwa Anda memiliki dana tersebut sebenarnya adalah dengan menggunakan kunci pribadi yang Anda miliki untuk membuktikan kepemilikan akun tersebut. Kunci pribadi adalah serangkaian angka, yang tidak terkait dengan identitas pribadi Anda. Setelah rangkaian angka ini hilang atau bocor, orang lain dapat memiliki kendali yang sama atas dana Anda sendiri seperti yang Anda lakukan. Ini sangat berbeda dari dunia nyata kita. Di dunia nyata, jika kata sandi bank Anda disusupi, Anda dapat menelepon bank dan meminta rekening dibekukan, dan tidak ada orang lain yang memiliki cara untuk menarik uang. Namun di dunia kripto, jika kunci pribadi Anda disusupi, maka orang yang memiliki kunci pribadi Anda dapat mentransfer dana Anda dari akun Anda tanpa batasan. Secara umum, ada beberapa cara untuk melindungi kunci pribadi, seperti kami memiliki dompet perangkat keras, dompet kontrak, atau aplikasi ponsel untuk melindungi kunci pribadi. Setiap metode memiliki kelebihan dan kekurangannya masing-masing. Melalui pengalaman saya sendiri dan pengalaman keseluruhan dari beberapa teman keamanan kami, prinsip dasarnya adalah frasa mnemonik dari kunci pribadi, tuliskan dan taruh di brankas, apakah brankas itu rumah Anda sendiri atau bank, simpan, jangan menyentuhnya, pada dasarnya Anda tidak dapat menggunakannya. Kemudian gunakan perangkat yang dapat Anda percayai dengan relatif baik, baik itu dompet perangkat keras atau ponsel, untuk menyimpan kunci pribadi Anda. Ponsel ini harus menjadi perangkat khusus, bukan untuk melakukan aktivitas operasional lainnya, hanya untuk mengelola aset digital Anda sendiri. Ini adalah saran pertama. Saran kedua adalah menyadari keamanan dan risiko saat bertransaksi on-chain. Pada dasarnya, Anda hanya perlu mengingat satu kalimat: tidak ada kue di langit. Kami telah menemukan bahwa saat bertransaksi on-chain, pengguna dihadapkan pada risiko phishing yang sangat tinggi. Banyak KOL dan OG, termasuk yang ada di dunia kripto yang kita kenal, telah mengalami serangan phishing dan kehilangan banyak uang. Jika situs web yang tidak dapat dijelaskan meminta Anda untuk menghubungkan dompet Anda untuk mendapatkan apa yang disebut hadiah airdrop, Anda harus lebih berhati-hati saat ini dan menyadari keamanan. Saran ketiga adalah Anda perlu tahu sedikit tentang dasar-dasar aset kripto. Pengetahuan dasar mengacu pada fakta bahwa dalam aset kripto, kita biasanya memiliki konsep otorisasi. Ini berbeda dengan keuangan tradisional. Katakanlah Anda memiliki jenis aset digital, USDT atau USDC, dan melalui tanda tangan on-chain, Anda dapat mengotorisasi aset tersebut ke kontrak atau pengguna lain untuk menggunakannya, dan otorisasi ini dapat dicapai dengan menandatangani banyak hal aneh yang tidak dapat Anda pahami melalui dompet Anda. Jadi ketika Anda menandatangani tanda tangan dompet, karena Anda tidak begitu mengerti atau tertipu, Anda menandatangani transaksi yang diotorisasi, maka orang lain dapat menggunakan semua aset digital Anda. Oleh karena itu, Anda perlu memiliki sedikit pemahaman dasar tentang otorisasi, sehingga Anda tidak akan menandatangani transaksi seperti itu secara tidak sengaja saat menandatangani tanda tangan dompet. Singkatnya, saran dasarnya adalah: yang pertama adalah melindungi kunci pribadi Anda sendiri dan memberikan beberapa metode operasional; Yang kedua adalah Anda harus berhati-hati setiap saat saat melakukan transaksi on-chain, dan Anda harus memiliki rasa aman dan tidak di-phished; Yang ketiga adalah memiliki pemahaman dasar tentang mekanisme otorisasi Crypto, sehingga Anda tidak akan salah menandatangani beberapa transaksi resmi.
**Alex:**Sebenarnya ada banyak teman saya yang memiliki kekayaan tinggi, mereka juga merupakan OG atau ahli di industri ini, seharusnya mereka memiliki sedikit kesadaran tentang keamanan yang Anda sebutkan, tetapi setiap tahun saya mendengar tentang beberapa orang kaya di sekitar saya yang dicuri. Ada sebuah ungkapan di industri ini, yang mengatakan bahwa jika seorang hacker profesional sudah mengawasi Anda, dan dia tahu dompet Anda memiliki uang, jika dia menggunakan semua sumber daya yang dapat digunakan, Anda sering kali sulit untuk lolos. Apakah Anda merasa ungkapan ini ada benarnya? Apakah benar seperti itu?
Zhou Yajin: Pertanyaan kamu sangat bagus. Sebenarnya, masalah keamanan, terutama yang terkait dengan keamanan enkripsi, pada dasarnya adalah sebuah pertempuran yang tidak seimbang. Jika dompet kamu memiliki cukup banyak aset, kamu akan sangat mudah menjadi target serangan terarah oleh orang lain. Dan setelah kamu menjadi target serangan terarah, orang lain akan menggunakan banyak sumber daya, baik itu sumber daya sosial, sumber daya teknis, atau sumber daya lainnya, untuk merancang metode serangan yang ditargetkan berdasarkan pola perilaku sehari-hari dan kebiasaan hidup kamu. Dalam situasi ini, tidak bisa dikatakan seratus persen, tetapi tingkat kesulitan untuk bertahan sangat tinggi, karena orang lain telah menggunakan banyak sumber daya untuk melawan kamu, sementara kamu hanya memiliki diri kamu sendiri. Jadi ini adalah pertempuran yang sangat tidak simetris. Dalam situasi ini, saya merasa prinsip dasar yang pertama adalah kita orang China memiliki sebuah pepatah yang mengatakan kekayaan tidak boleh dipamerkan, artinya kamu tidak boleh mengungkapkan aset yang kamu miliki, dan harus menghindari mengungkapkan hubungan antara identitas offline pribadi kamu dan identitas aset di blockchain. Poin kedua adalah meskipun kamu adalah pengguna dengan kekayaan tinggi, mungkin sudah bocor ke orang lain, maka kamu perlu melakukan pemisahan aset sebaik mungkin. Artinya, aset yang kamu operasikan sehari-hari, di dompet khusus mungkin paling banyak hanya 100 ribu, jika orang lain menargetkan kamu, mereka paling banyak hanya bisa mencuri 100 ribu itu. Sementara itu, aset besar lainnya seharusnya ditempatkan di dompet yang biasanya tidak perlu digunakan. Jika kamu perlu menggunakan aset tersebut, kamu harus mencari ahli keamanan untuk membantu kamu meninjau proses dan standar operasi yang baik, sehingga dapat menghindari risiko yang sangat besar.
Tiga peristiwa keamanan yang paling mengesankan
**Alex:**Saya mengerti, saran ini memang sangat penting. Bisakah Anda berbagi dengan kami tiga peristiwa keamanan yang paling mengesankan selama Anda berkarir? Bisa jadi pengalaman pribadi Anda, atau pengalaman teman-teman di sekitar Anda, atau beberapa pengamatan yang Anda miliki.
Zhou Yajin: Saya bisa berbagi dengan semua orang tentang insiden keamanan yang pernah kami tangani secara langsung dan yang sangat mengesankan. Contoh pertama yang saya ingat adalah pada sekitar 10 Februari 2023, ada sebuah protokol di blockchain yang disebut Protokol Bebek yang diserang. Ini adalah platform yang menggabungkan pinjaman dengan fungsi lainnya. Protokol ini memiliki kerentanan keamanan, dan hacker melalui celah ini, mencuri hampir 9 juta USD aset. Hal ini mengesankan saya karena hacker membuat kesalahan saat menyerang Protokol Bebek. Ketika dia menyerang kontrak pintar, dia perlu mengembangkan sendiri.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
10
Posting ulang
Bagikan
Komentar
0/400
NFTFreezer
· 08-16 13:21
Ini adalah kursus yang wajib bagi para pemula.
Lihat AsliBalas0
RegenRestorer
· 08-16 06:08
Kalau tidak mengerti pengetahuan keamanan ini, lebih baik jangan bermain koin.
Lihat AsliBalas0
ForkLibertarian
· 08-15 22:38
Suckers kembali memberikan pengetahuan.
Lihat AsliBalas0
SelfRugger
· 08-13 23:47
Wah, ternyata itu adalah Lao Zhou, seorang ahli keamanan!
Lihat AsliBalas0
FundingMartyr
· 08-13 23:47
Apakah keamanan blockchain benar-benar begitu penting? Dompet tetap dicuri, baik mati lebih awal atau lebih lambat.
Lihat AsliBalas0
ConsensusBot
· 08-13 23:47
Apakah kamu yakin ini tahun 2025? Sangat mengagumkan kamu bisa melakukan perjalanan waktu.
Lihat AsliBalas0
gas_fee_trauma
· 08-13 23:45
Rugi sampai bodoh Setiap kali gasnya begitu tinggi
Lihat AsliBalas0
SignatureVerifier
· 08-13 23:43
mmh... *pembicaraan* keamanan lainnya tetapi tidak ada penyebutan tentang penyimpanan dingin atau bukti zk? secara teknis tidak mencukupi sejujurnya
Lihat AsliBalas0
MetaDreamer
· 08-13 23:32
Satu lagi artikel keamanan yang menggunakan bahasa yang sangat sederhana... sangat membosankan.
Ahli keamanan Blockchain mengungkapkan: Melindungi Kunci Pribadi, waspada terhadap phishing, dan memahami mekanisme otorisasi adalah tiga kunci utama dalam keamanan enkripsi.
Tentang percakapan kedalaman enkripsi yang aman
Pembawa Acara: Alex, Peneliti
Pembicara: Zhou Yajin, CEO perusahaan keamanan blockchain
Waktu perekaman: 2025.3.28
Layanan dan target pelanggan BlockSec
**Alex:**Pada episode ini, kita akan membahas keamanan dunia enkripsi. Bagaimana membangun firewall untuk aset kita, sehingga kita dapat berinvestasi dalam lingkungan yang aman, adalah topik yang harus kita pelajari sebelum memulai perjalanan enkripsi kita. Pada podcast kali ini, kami mengundang Zhou Yajin dari perusahaan keamanan blockchain, untuk berbagi tentang topik keamanan enkripsi ini. Silakan, Pak Zhou, sapa kami.
Zhou Yajin: Halo semuanya, saya Zhou Yajin, saat ini saya menjabat sebagai CEO di sebuah perusahaan keamanan blockchain, sekaligus saya juga seorang peneliti di bidang keamanan siber di Universitas Zhejiang, sangat senang bertemu dengan kalian.
**Alex:**Baiklah, mari kita masuk ke topik utama hari ini. Saya percaya banyak pendengar mungkin tidak begitu paham tentang perusahaan keamanan blockchain dan layanan keamanan. Silakan, Guru Zhou, perkenalkan kepada kami, apa saja layanan yang kalian tawarkan, orang atau lembaga seperti apa yang akan menjadi pelanggan kalian.
Zhou Yajing: Baik, kami adalah perusahaan keamanan Web3 yang didirikan pada tahun 2021. Ketika membahas keamanan Web3, orang mungkin langsung berpikir tentang audit keamanan. Sebenarnya, cakupan bisnis kami tidak hanya audit keamanan, kami juga menyediakan serangkaian produk dan layanan keamanan lainnya. Secara spesifik, layanan kami dapat dibagi menjadi tiga bagian besar. Bagian pertama kami sebut sebagai keamanan untuk protokol on-chain. Protokol on-chain adalah kontrak pintar yang kami sebutkan yang diterapkan di blockchain untuk beberapa DeFi atau NFT, atau aktivitas lainnya. Bagaimana keamanan kontrak-kontrak ini dapat dijamin? Kami menyediakan layanan audit keamanan dan produk pemantauan keamanan. Bagian kedua yang kami perhatikan adalah keamanan aset. Apa yang dimaksud dengan keamanan aset adalah aset yang dimiliki pengguna, misalnya, aset ini ada di dompet kontrak mereka sendiri, atau diinvestasikan dalam beberapa protokol di blockchain, bagaimana untuk menjamin keamanan aset pengguna ini juga merupakan salah satu cakupan layanan kami. Bagian ketiga adalah kepatuhan dan regulasi. Kami menemukan semakin banyak lembaga keuangan tradisional yang masuk ke dalam industri Crypto. Termasuk berita terbaru yang dapat kita lihat, bank-bank tradisional di AS mengeluarkan beberapa aset stablecoin di blockchain, termasuk Crypto yang masuk ke dalam industri pembayaran lintas batas. Sebenarnya, setelah lembaga keuangan tradisional ini masuk ke industri ini, mereka membawa tantangan bagi regulasi, karena badan regulasi tidak tahu bagaimana mengatur, sementara lembaga ini juga tidak tahu bagaimana untuk mematuhi peraturan. Jadi kami juga membantu badan regulasi untuk mengawasi pemain yang masuk ke industri Crypto ini, atau membantu lembaga tradisional yang masuk ke industri Crypto dalam hal kepatuhan. Inilah tiga cakupan bisnis kami.
Kami memiliki jangkauan klien yang cukup luas. Yang bisa dibayangkan adalah pihak proyek yang melakukan keuangan terdesentralisasi di blockchain atau layanan lainnya, misalnya platform yang menyediakan pinjaman di blockchain, platform perdagangan terdesentralisasi, pihak-pihak proyek ini adalah klien kami. Kami dapat membantu mereka melakukan audit keamanan sebelum penyebaran kontrak pintar di blockchain, dengan meninjau dari sudut pandang keamanan apakah kontrak pintar yang mereka kembangkan memiliki kerentanan keamanan. Jika ada kerentanan keamanan, perlu diperbaiki segera. Selain itu, ketika protokol mereka disebarkan ke blockchain, kami juga akan memiliki platform pemantauan 24 jam untuk memantau risiko keamanan protokol mereka. Jika terjadi risiko keamanan, platform kami dapat memberi tahu protokol dengan cepat, dan dapat secara otomatis memblokir risiko dan serangan. Jadi, para pengembang dan pihak proyek yang menyebarkan kontrak pintar di blockchain adalah salah satu jenis klien khas kami. Jenis klien khas kedua adalah orang-orang yang memiliki aset, mungkin beberapa klien bernilai tinggi, mereka memiliki beberapa aset di dompet kontrak, atau klien bernilai tinggi ini akan berinvestasi di beberapa protokol di blockchain. Layanan dan produk kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan dengan lebih baik. Seperti sisi depan dan belakang koin, dari sudut pandang pihak proyek protokol, kami dapat membantu mereka meningkatkan keamanan protokol. Dari sudut pandang klien bernilai tinggi yang berinvestasi di protokol mereka, kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan. Begitu protokol yang mereka investasikan memiliki risiko keamanan, misalnya jika diserang, mereka perlu dapat menarik kembali dana mereka secepat mungkin. Jenis klien ketiga adalah yang saya sebutkan sebelumnya terkait dengan regulasi dan kepatuhan, jenis klien ini terutama adalah beberapa lembaga pengawas, misalnya Komisi Sekuritas Hong Kong sebenarnya juga adalah klien kami, serta beberapa lembaga penegak hukum luar negeri, yang perlu menyelidiki kejahatan terkait mata uang digital, mereka perlu menggunakan alat dan platform kami untuk memudahkan pengambilan bukti, penelusuran dana, dan kegiatan investigasi lainnya. Ini pada dasarnya adalah keseluruhan bisnis kami serta jangkauan klien kami.
Tentang tiga saran keamanan enkripsi
**Alex:**Mengerti, baru saja Pak Zhou membahas tentang jenis klien, apa kebutuhan mereka, serta gambaran umum situasi industri. Jadi pertanyaan kedua mungkin lebih berkaitan dengan investor pribadi, terutama karena banyak pendengar kami adalah orang-orang yang baru mulai terjun ke Web3 untuk belajar dan mencoba berinvestasi. Jika Anda memiliki seorang teman yang baru saja memasuki bidang investasi enkripsi, dan dia tahu bahwa Anda bekerja di layanan keamanan enkripsi, tolong berikan tiga saran tentang keamanan enkripsi kepadanya, apa tiga saran yang akan Anda berikan?
Zhou Yajin: Itu pertanyaan yang sangat bagus. Teman-teman saya juga sering meminta saran keselamatan kepada saya, dan mereka juga ingin memasuki industri ini, tetapi saya telah mendengar bahwa banyak orang tampaknya menghadapi beberapa risiko. Kami biasa bercanda bahwa jika Anda memasuki dunia kripto dan tidak terkena phishing atau penipuan, Anda tidak akan menjadi pemain veteran di lapangan. Tentu saja, ini lelucon, tetapi Anda juga dapat melihat bahwa ada banyak risiko di industri ini. Jika saya harus membuat tiga saran, yang pertama pasti akan terlintas di benak semua orang adalah tentang perlindungan kunci pribadi. Di bidang Crypto, cara membuktikan bahwa Anda memiliki dana tersebut sebenarnya adalah dengan menggunakan kunci pribadi yang Anda miliki untuk membuktikan kepemilikan akun tersebut. Kunci pribadi adalah serangkaian angka, yang tidak terkait dengan identitas pribadi Anda. Setelah rangkaian angka ini hilang atau bocor, orang lain dapat memiliki kendali yang sama atas dana Anda sendiri seperti yang Anda lakukan. Ini sangat berbeda dari dunia nyata kita. Di dunia nyata, jika kata sandi bank Anda disusupi, Anda dapat menelepon bank dan meminta rekening dibekukan, dan tidak ada orang lain yang memiliki cara untuk menarik uang. Namun di dunia kripto, jika kunci pribadi Anda disusupi, maka orang yang memiliki kunci pribadi Anda dapat mentransfer dana Anda dari akun Anda tanpa batasan. Secara umum, ada beberapa cara untuk melindungi kunci pribadi, seperti kami memiliki dompet perangkat keras, dompet kontrak, atau aplikasi ponsel untuk melindungi kunci pribadi. Setiap metode memiliki kelebihan dan kekurangannya masing-masing. Melalui pengalaman saya sendiri dan pengalaman keseluruhan dari beberapa teman keamanan kami, prinsip dasarnya adalah frasa mnemonik dari kunci pribadi, tuliskan dan taruh di brankas, apakah brankas itu rumah Anda sendiri atau bank, simpan, jangan menyentuhnya, pada dasarnya Anda tidak dapat menggunakannya. Kemudian gunakan perangkat yang dapat Anda percayai dengan relatif baik, baik itu dompet perangkat keras atau ponsel, untuk menyimpan kunci pribadi Anda. Ponsel ini harus menjadi perangkat khusus, bukan untuk melakukan aktivitas operasional lainnya, hanya untuk mengelola aset digital Anda sendiri. Ini adalah saran pertama. Saran kedua adalah menyadari keamanan dan risiko saat bertransaksi on-chain. Pada dasarnya, Anda hanya perlu mengingat satu kalimat: tidak ada kue di langit. Kami telah menemukan bahwa saat bertransaksi on-chain, pengguna dihadapkan pada risiko phishing yang sangat tinggi. Banyak KOL dan OG, termasuk yang ada di dunia kripto yang kita kenal, telah mengalami serangan phishing dan kehilangan banyak uang. Jika situs web yang tidak dapat dijelaskan meminta Anda untuk menghubungkan dompet Anda untuk mendapatkan apa yang disebut hadiah airdrop, Anda harus lebih berhati-hati saat ini dan menyadari keamanan. Saran ketiga adalah Anda perlu tahu sedikit tentang dasar-dasar aset kripto. Pengetahuan dasar mengacu pada fakta bahwa dalam aset kripto, kita biasanya memiliki konsep otorisasi. Ini berbeda dengan keuangan tradisional. Katakanlah Anda memiliki jenis aset digital, USDT atau USDC, dan melalui tanda tangan on-chain, Anda dapat mengotorisasi aset tersebut ke kontrak atau pengguna lain untuk menggunakannya, dan otorisasi ini dapat dicapai dengan menandatangani banyak hal aneh yang tidak dapat Anda pahami melalui dompet Anda. Jadi ketika Anda menandatangani tanda tangan dompet, karena Anda tidak begitu mengerti atau tertipu, Anda menandatangani transaksi yang diotorisasi, maka orang lain dapat menggunakan semua aset digital Anda. Oleh karena itu, Anda perlu memiliki sedikit pemahaman dasar tentang otorisasi, sehingga Anda tidak akan menandatangani transaksi seperti itu secara tidak sengaja saat menandatangani tanda tangan dompet. Singkatnya, saran dasarnya adalah: yang pertama adalah melindungi kunci pribadi Anda sendiri dan memberikan beberapa metode operasional; Yang kedua adalah Anda harus berhati-hati setiap saat saat melakukan transaksi on-chain, dan Anda harus memiliki rasa aman dan tidak di-phished; Yang ketiga adalah memiliki pemahaman dasar tentang mekanisme otorisasi Crypto, sehingga Anda tidak akan salah menandatangani beberapa transaksi resmi.
**Alex:**Sebenarnya ada banyak teman saya yang memiliki kekayaan tinggi, mereka juga merupakan OG atau ahli di industri ini, seharusnya mereka memiliki sedikit kesadaran tentang keamanan yang Anda sebutkan, tetapi setiap tahun saya mendengar tentang beberapa orang kaya di sekitar saya yang dicuri. Ada sebuah ungkapan di industri ini, yang mengatakan bahwa jika seorang hacker profesional sudah mengawasi Anda, dan dia tahu dompet Anda memiliki uang, jika dia menggunakan semua sumber daya yang dapat digunakan, Anda sering kali sulit untuk lolos. Apakah Anda merasa ungkapan ini ada benarnya? Apakah benar seperti itu?
Zhou Yajin: Pertanyaan kamu sangat bagus. Sebenarnya, masalah keamanan, terutama yang terkait dengan keamanan enkripsi, pada dasarnya adalah sebuah pertempuran yang tidak seimbang. Jika dompet kamu memiliki cukup banyak aset, kamu akan sangat mudah menjadi target serangan terarah oleh orang lain. Dan setelah kamu menjadi target serangan terarah, orang lain akan menggunakan banyak sumber daya, baik itu sumber daya sosial, sumber daya teknis, atau sumber daya lainnya, untuk merancang metode serangan yang ditargetkan berdasarkan pola perilaku sehari-hari dan kebiasaan hidup kamu. Dalam situasi ini, tidak bisa dikatakan seratus persen, tetapi tingkat kesulitan untuk bertahan sangat tinggi, karena orang lain telah menggunakan banyak sumber daya untuk melawan kamu, sementara kamu hanya memiliki diri kamu sendiri. Jadi ini adalah pertempuran yang sangat tidak simetris. Dalam situasi ini, saya merasa prinsip dasar yang pertama adalah kita orang China memiliki sebuah pepatah yang mengatakan kekayaan tidak boleh dipamerkan, artinya kamu tidak boleh mengungkapkan aset yang kamu miliki, dan harus menghindari mengungkapkan hubungan antara identitas offline pribadi kamu dan identitas aset di blockchain. Poin kedua adalah meskipun kamu adalah pengguna dengan kekayaan tinggi, mungkin sudah bocor ke orang lain, maka kamu perlu melakukan pemisahan aset sebaik mungkin. Artinya, aset yang kamu operasikan sehari-hari, di dompet khusus mungkin paling banyak hanya 100 ribu, jika orang lain menargetkan kamu, mereka paling banyak hanya bisa mencuri 100 ribu itu. Sementara itu, aset besar lainnya seharusnya ditempatkan di dompet yang biasanya tidak perlu digunakan. Jika kamu perlu menggunakan aset tersebut, kamu harus mencari ahli keamanan untuk membantu kamu meninjau proses dan standar operasi yang baik, sehingga dapat menghindari risiko yang sangat besar.
Tiga peristiwa keamanan yang paling mengesankan
**Alex:**Saya mengerti, saran ini memang sangat penting. Bisakah Anda berbagi dengan kami tiga peristiwa keamanan yang paling mengesankan selama Anda berkarir? Bisa jadi pengalaman pribadi Anda, atau pengalaman teman-teman di sekitar Anda, atau beberapa pengamatan yang Anda miliki.
Zhou Yajin: Saya bisa berbagi dengan semua orang tentang insiden keamanan yang pernah kami tangani secara langsung dan yang sangat mengesankan. Contoh pertama yang saya ingat adalah pada sekitar 10 Februari 2023, ada sebuah protokol di blockchain yang disebut Protokol Bebek yang diserang. Ini adalah platform yang menggabungkan pinjaman dengan fungsi lainnya. Protokol ini memiliki kerentanan keamanan, dan hacker melalui celah ini, mencuri hampir 9 juta USD aset. Hal ini mengesankan saya karena hacker membuat kesalahan saat menyerang Protokol Bebek. Ketika dia menyerang kontrak pintar, dia perlu mengembangkan sendiri.