2025-12-26 08:23:06

Pulih dari perjalanan dinas dan membuka dompet—saldo sudah kosong. Ini bukan cerita film, melainkan mimpi buruk yang benar-benar terjadi. Seorang pengguna meminta istrinya membantu mentransfer 3 juta USDT, tetapi setelah pesawat mendarat, saldo menjadi defisit astronomis. Polisi awalnya mengira ini kesalahan operasional, tetapi penjelasan dari istri sangat mencurigakan: "Saya hanya menempelkan frase pengingat, sama sekali tidak mengubah apa pun saat mentransfer." Setelah kebenaran terungkap, malah makin membuat merinding—tindakan menempel yang tampaknya tidak berbahaya, ternyata menyembunyikan pengintaian diam-diam oleh hacker selama berbulan-bulan.

Dalam bidang keamanan blockchain yang sudah saya geluti selama bertahun-tahun, banyak pelajaran pahit serupa yang saya lihat. Hari ini saya akan membongkar kasus ini secara lengkap, dan membahas garis pertahanan yang harus Anda ketahui.

**Mengapa pertahanan bisa ditembus?**

Pelaku utama bukanlah celah zero-day yang rumit, melainkan kebiasaan operasi dasar yang buruk. Frase pengingat disimpan langsung di chat WeChat—ini sama saja seperti mengirim kunci rumah ke media sosial. Cache WeChat, album ponsel, sinkronisasi cloud semuanya meninggalkan jejak. Hacker menggunakan sebuah plugin browser berbahaya bernama "Asisten Keuangan" untuk secara real-time menangkap isi clipboard. Plugin ini tampaknya tidak berbahaya, tetapi sebenarnya memiliki izin membaca clipboard—seketika Anda menempelkan frase pengingat, data langsung dikirim ke server hacker.

Ada juga dalang lain: ponsel Android lama + password WiFi yang sudah tiga tahun tidak diubah. Sistem lama penuh celah, WiFi dengan password lemah menjadi basis penginapan jangka panjang bagi hacker. Kombinasi "mematikan" ini benar-benar menembus semua pertahanan.

Kasus seperti ini sering muncul di industri. Seorang pemain di Wenzhou, Zhejiang, karena memindai QR code dompet palsu, kehilangan puluhan ribu dalam 30 menit; seorang pengguna di Rudong, Nantong, diretas kunci privatnya, aset virtual senilai lebih dari 4 juta hilang dalam semalam. Cerita yang sama, korban berbeda.

**Bagaimana melindungi diri sendiri?** Ingat tiga poin ini: Pertama, frase pengingat jangan pernah online, simpan secara dingin (cold storage); kedua, perbarui sistem perangkat secara rutin, ganti password WiFi setiap enam bulan; ketiga, periksa izin setiap plugin browser yang diinstal, tolak akses clipboard jika bisa. Hati-hati dan waspada, ini bukan lelucon—ini nasihat berharga yang diperoleh dengan uang dan risiko nyata.

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

18 Suka

Hadiah
18
8
Posting ulang
Bagikan

Komentar

0/400

DaoResearcher

· 12-26 08:52

Menurut model keamanan dalam buku putih, kerentanan dari rantai serangan ini terletak pada ketidakseimbangan dalam desain mekanisme insentif—biaya perlindungan di sisi pengguna terlalu tinggi sehingga menyebabkan kegagalan kepatuhan. Perlu dicatat bahwa pengelolaan izin clipboard saat ini belum membentuk standar kesepakatan protokol. --- Menyimpan mnemonic di WeChat itu benar-benar aneh... Dari sudut pandang data di blockchain, ini sudah menjadi risiko sistematis yang dapat diprediksi. --- Masalah asimetri informasi yang khas, sudah ditulis di dalam buku putih. Dari sudut pandang ekonomi Token, ini adalah contoh kegagalan pelaksanaan proposal pengelolaan. --- Peretas sebenarnya hanya menjalankan arbitrase, kerentanan clipboard ini seharusnya sudah memiliki standar perlindungan tingkat DAO. --- Menurut kalian, operasi yang dianggap aman sebenarnya penuh celah—pertama, kurangnya insentif yang sesuai, kedua, desain sistem tidak mempertimbangkan kelemahan manusia. --- Kasus ini digunakan untuk membuktikan mengapa self-custody membutuhkan persyaratan edukasi wajib, saya bisa menulis proposal pengelolaan.

Lihat AsliBalas0