Хакът на Ян Балина за 2 милиона долара: 4 ключови решения за износ и напомняния

Ако не сте чували най-новите вести в криптосферата през последната седмица, тогава вероятно живеете под камък, защото (за съжаление) всички хора са се фокусирали върху това. Около 4 часа сутринта EST на 16 април 2018 г., по средата на живо, инвеститор в криптовалута, съветник и самопровъзгласен „евангелист“, Ян Балина току-що се срамува от 2 милиона щатски долара, откраднати от портфейла му ETH.

Той внезапно завърши потока си на живо, като излъчи следното съобщение –

Ian Balina Hack Tweet

Трудно е да се разбере как някой с милионни притежания го съхранява толкова безразсъдно. И най-страшната част – това е по-често, отколкото си мислите. В вече изтрития масаж на Telegram Балина обясни как смята, че е бил хакнат:

Ето как мисля, че ме хакнаха. Имейлът ми в колежа беше посочен като имейл за възстановяване на моя Gmail. Спомням си, че получих имейл за това, че беше компрометиран, и се опитах да проследя защитата на колежа, за да го разреша, но не успях да го обработя бързо [sic] и се отказах от него, мислейки, че това е просто старо електронна поща.

Поддържам текстови версии на личните си ключове, съхранявани в моя Evernote, като криптирани текстови файлове с пароли. Мисля, че са хакнали имейла ми, използвайки колежския ми имейл, и след това са ми хакнали Evernote.

За тези, които не са съвсем сигурни кой е Ян Балина, той започна да прави видеоклипове в YouTube в началото на 2017 г., обучавайки инвеститорите как да „хакват системата“ и печелете шестцифрен доход. Той стана известен едва през последните шест месеца след разкритието си, че говори $ 90 000 инвестиция в $ 4 милиона за по-малко от 12 месеца – изявление, което той потвърди със своето Снимки на блокфолио, публикувани в Twitter.

Подобно на него или не, хакът на Ian Balina е скъп урок за това колко е важно да запазите крипто сигурността си. Ето 4 основни заглавия и напомняния за сигурността, които HODLers трябва да се запознаят и внедрят в своето крипто сърфиране, инвестиране и съхранение, за да минимизират шансовете да бъдат хакнати (или да бъдат обезсърчени в социалните медии).

1. Не се парадирайте само защото сте го разбрали

Точно както обикновеният човек не се разхожда, извиквайки данните за банковата си сметка и колко пари има в портфейла си в затънтен квартал в 2 часа сутринта, крипто инвеститорите не трябва да публикуват своето крипто портфолио и притежания онлайн – или лично.

Дори когато участвате в популярни онлайн форуми, като BitcoinTalk или Reddit, дискретността е от ключово значение – просто попитайте този Redditor които всъщност публикуваха своите частни семена за Siacoin онлайн и получиха урок по сигурност от щастлив приятел Redditor.

Въздържането от излъчване на финансова информация онлайн изглежда очевиден съвет, но продължава да се повтаря.

Ето само няколко от последиците и рисковете за сигурността, които отваря инвеститорите:

  1. Насочени фишинг измами
  2. Ransomware
  3. Социално инженерство
  4. Обир

Точно така, грабеж. Вземете го от този тайвански човек който показа доказателство за своите биткойни на 3 измамници и в крайна сметка беше нападнат и ограбен. Измамниците прехвърлиха 18 биткойни – оценени на над 170 000 щатски долара – от неговата сметка (по телефона).

Дори премиерът на Исландия се оказа като неволен наблюдател на бягството на човек заподозрян в кражба на около 600 компютъра с биткойн, в това, което се смята за най-големия обир в Исландия досега.

Може да не искате да бъдете пренебрегвани, но също така не искате да бъдете преглеждани твърде много. Не правете себе си.

2. Използвайте студено съхранение, ако съхранявате повече от 1-месечна заплата онлайн

Когато решават дали да поничат и да похарчат $ 60 – $ 150 за хардуерен портфейл, HODLers трябва да се запитат доколко са съгласни да загубят, ако техните пароли или информация за вход станат компрометирани.

Съхраняването на частни ключове онлайн и използването на горещи портфейли е управляемо и подходящо за инвеститорите, съхраняващи малки суми онлайн, докато хладилното съхранение – съхранението на средства в офлайн устройство – и хардуерните портфейли трябва да се използват от инвеститорите, които имат над едномесечна заплата на борса.

Ако обаче загубата на седмична заплата от хак би ви засегнала драстично – финансово или емоционално – тогава си струва да похарчите раздела на лентата на този уикенд или част от парите, спестени за изненадата на 90-годишнината на вашата нана.

Когато Balina сгреши в хранилището и / или частните си ключове, беше чрез използването на обща и безплатна програма за съхранение в облак и компрометирана колежска електронна поща, което позволи на хакерите да хакнат текущия му имейл и да получат достъп до Evernote.

Съхраняването на частен ключ или семена онлайн не се счита за студено съхранение – тогава се счита за горещ портфейл, тъй като е свързан с интернет – и се доставя множество проблеми и уязвимости в сигурността, свързани с горещите портфейли.

Ако се съмнявате, отидете студени.

И двете Трезор и Ledger Nano са два популярни и уважавани хардуерни портфейла за съхранение на средства. Само не забравяйте, малка инвестиция в сигурността сега може да попречи Чарли Шрем – член-основател на Биткойн фондацията – от това, че ще ви даде отново в бъдеще.

Чарли Шрем Ян Балина хак туит

И ако търсите мобилност, смесена със студено съхранение, помислете дали да не използвате CoolWallet S, мобилен хардуерен портфейл, който поддържа Bitcoin, Ethereum, Ripple, Litecoin и Bitcoin Cash (предстоят ERC-20 токени).

Освен това хартиените портфейли са ефективно средство за съхранение на студено, при условие че не го правите поставете хартията с вашето семе за възстановяване и ПИН под възглавницата на дъщеря си преди полет и наемете екип за почистване, който да подреди.

За цялостен поглед върху портфейлите за криптовалута, вижте нашето ръководство за начинаещи за портфейли за криптовалута.

3. Пазете се от Punycode

Откакто метеоритният възход на крипто през последните няколко години, фишингът се превърна в предпочитан метод за измамници, които искат да се възползват от небрежните HODLers и тези, които бързо се качат на безплатни крипто подаръци – благодаря @VitarikBooterun от Русия, който има 2 последователи и няма снимка на профила ( това е фалшива и напълно измислена дръжка на Twitter, но влезте в Twitter, намерете a @VitalikButerin Чуруликане и си вземете бележка).

Най-тревожният въпрос, свързан с днешните фишинг атаки, е тяхната сложност и естетическа автентичност. Особено за хора като мен, някой, който технически трябва да носи очила за четене, но не е убеден от това, че майка му му казва, че изглежда по-красив с тях – и вместо това избира да присвива очи и да държи компютъра близо до лицето си.

И не съм единственият, който преди е бил заблуден.

По-рано тази година стана ясно това фалшив акаунт на Tron е проверен от Twitter. Акаунтът е натрупал над 140 000 последователи, докато туитва раздавания за измами, при които потребителите изпращат малки количества ETH на публикуван адрес с обещание да получат 10 пъти повече в замяна.  

Не спира дотук. Фишинг атаките стават все по-креативни. Въпреки че не се използва в хакването на Balina, този метод за фишинг си струва да се следи: не търсете повече от „punycode“.

фалшив binance фишинг punycode

Просто казано, punycode е специално представяне на Unicode, позволявайки на хакерите да конвертират символи в ASCII, по-малък и ограничен набор от знаци – помислете за немския език. Например, немското име за Мюнхен е „München“.

И така, как да различите законните уебсайтове от злонамерени?

  • За начало потърсете зеленото „https“ и думата „Secure“ вляво от URL адреса на уебсайта. Зеленото означава, че уебсайтът е получил необходимите SSL сертификати и е легитимен.
  • На второ място, маркирането на често посещавана уеб страница е ефективно средство за минимизиране на грешки или правописна грешка.
  • Проверете още веднъж, за да сте сигурни, че URL адресът е въведен правилно, и се доверете на червата си. Уебсайт, показващ изскачащи прозорци при незабавно кацане на страницата, вероятно не е правилният сайт за търговия и съхраняване на крипто на стойност хиляди долари.

4. Двуфакторното удостоверяване е ключово – един метод царува

Архивирането на крипто акаунти и входни данни с двуфакторно удостоверяване – известно също като 2FA – е съществена стъпка за подобряване на сигурността на портфолиото. 2FA изисква от потребителите да въведат еднократна парола (OTP), предоставена им чрез смартфон или приложение, за да завършат процеса на влизане.

Потребителите, които се отнасят сериозно към сигурността, трябва да се откажат от използването на SMS удостоверяване за 2FA и вместо това да използват приложения като Google Удостоверител, или по-малко популярни Authy.

Изследователи и експертите по сигурността отдавна предупреждават срещу използването на текстови съобщения като валидираща мярка за сигурност при влизане онлайн, като отбелязва, че хакерите са организирали преди това мащабни атаки, при които са използвали известни недостатъци в различни клетъчни мрежи, за да прихващат текстови съобщения, изпратени до потребителите.  

Предимството на Google Authenticator е, че разчита на силата да не се налага да взаимодейства с мобилен оператор, като запазва ограничените във времето кодове за удостоверяване в приложението (обикновено за 30 секунди) и телефона. Дори ако хакер бързо премести телефонния номер на потребителя в нов телефон, кодът не се влияе.     

Когато използвате Google Authenticator или други 2FA приложения, от съществено значение е да архивирате частни ключове и да ги съхранявате безопасно – само в случай, че счупите или загубите телефона си.

Финални мисли

Докато някои от крипто общността не са убедени, че Балина е била истински хакната – посочвайки няколко подозрителни обстоятелства и причини, поради които Балина може да е имала пряка ръка в това – оттогава Балина опровергава подобни твърдения, заявявайки, че хакът е сега официално под наказателно разследване.

Независимо от това, което всъщност се е случило, ясно е, че дори „опитни“ притежатели на криптовалути извършват груби и очевидни грешки в сигурността.

Надяваме се, че тази статия служи за напомняне на всички, че е важно да отделите малко време, за да преоцените дали предприемате правилните предпазни мерки – независимо колко прости и основни изглеждат – за сигурна транзакция и съхраняване на криптовалута.

Свързани: Как да защитите криптовалутите си