Hacking Iana Baliny v hodnotě 2 milionů dolarů: 4 klíčová řešení a připomenutí zabezpečení

Pokud jste za poslední týden neslyšeli poslední rozruch v kryptoféře, pak pravděpodobně žijete pod skálou, protože (bohužel) se na ni všichni lidé zaměřují. Kolem 4:00 EST 16. dubna 2018 se střední živý přenos, investor v oblasti kryptoměn, poradce a samozvaný „evangelista“ Ian Balina právě styděl, že mu z peněženky ETH ukradly 2 miliony USD.

Náhle ukončil svůj přímý přenos a tweetoval následující zprávu –

Ian Balina Hack Tweet

Je těžké pochopit, jak to někdo s podíly v milionech tak bezohledně uložil. A ta nejděsivější část – je to častější, než si myslíte. Při nyní odstraněné Telegramové masáži Balina vysvětlil, jak si myslí, že byl hacknut:

Takto si myslím, že jsem byl hacknut. Můj univerzitní e-mail byl uveden jako e-mail pro obnovení do mého Gmailu. Vzpomínám si, že jsem dostal e-mail o tom, že to bylo kompromitováno, a pokusil jsem se navázat na svou univerzitní bezpečnost, abych to vyřešil, ale nedokázal jsem to rychle zvládnout [sic] způsobem a vzdal jsem to v domnění, že je to jen starý e-mailem.

Textové verze mých soukromých klíčů uchovávám v Evernote jako šifrované textové soubory s hesly. Myslím, že hackli můj e-mail pomocí mého univerzitního e-mailu a poté hackli můj Evernote.

Pro ty, kteří si nejsou úplně jisti, kdo je Ian Balina, začal na začátku roku 2017 natáčet videa z YouTube a učil investory, jak „hacknout systém“ a vydělejte šestimístný příjem. Do popředí se dostal až v posledních šesti měsících po svém odhalení, že předvedl a Investice 90 000 USD do 4 milionů USD za méně než 12 měsíců – prohlášení, které potvrdil svým Blockfolio snímky zveřejněné na Twitteru.

Ať se vám líbí nebo ne, hack Iana Baliny je drahou lekcí o tom, jak důležité je udržet vaši kryptoměnu v bezpečí. Zde jsou 4 základní bezpečnostní kroky a připomenutí, kterým by se HODLers měli seznámit a implementovat do svého procházení kryptoměn, investování a ukládání, aby minimalizovali možnost hackerství (nebo zneužití na sociálních médiích).

1. Neohrožujte to jen proto, že jste to dostali

Stejně jako průměrný člověk nechodí kolem 2:00 a nekřičí na podrobnosti svého bankovního účtu a kolik peněz má ve své peněžence v utěšené čtvrti, neměli by investoři do kryptoměny zveřejňovat své kryptoměnové portfolio a podíly online – ani osobně.

I při účasti na populárních online fórech, jako je BitcoinTalk nebo Reddit, je diskrétnost klíčová – zeptejte se tohoto Redditora kteří ve skutečnosti zveřejnili své soukromé semeno Siacoin online a dostal lekci bezpečnosti od šťastného kolegy Redditora.

Upustit od online vysílání finančních informací se jeví jako zřejmý tip, ale stále se to opakuje.

Zde je jen několik důsledků a bezpečnostních rizik, které otevírají investorům:

  1. Cílené phishingové podvody
  2. Ransomware
  3. Sociální inženýrství
  4. Loupež

To je pravda, loupež. Vezměte to od tento tchajwanský muž který prokázal důkaz svých bitcoinů 3 podvodníkům a byl nakonec napaden a okraden. Podvodníci převedli ze svého účtu (prostřednictvím telefonu) 18 bitcoinů – odhaduje se na více než 170 000 USD..

Dokonce i předseda vlády Islandu skončil jako nevědomý přihlížející k útěku člověka podezřelý z krádeže asi 600 počítačů s bitcoiny, což je považováno za vůbec největší loupež Islandu.

Možná nebudete chtít být přehlédnuti, ale také se vám nebude chtít příliš dívat. Nedělejte si starosti.

2. Pokud skladujete online plat více než 1 měsíc, použijte chladírenský sklad

Při rozhodování o tom, zda se zapojit a utratit 60 až 150 $ na hardwarovou peněženku, by se HODLers měli ptát sami sebe, jak moc jsou v pořádku se ztrátou, pokud by byla ohrožena jejich hesla nebo přihlašovací údaje.

Ukládání soukromých klíčů online a používání horkých peněženek je zvládnutelné a vhodné pro investory, kteří ukládají malé částky online, zatímco chladicí úložiště – ukládání finančních prostředků v offline zařízení – a hardwarové peněženky by měli používat investoři, kteří mají na burze více než měsíční plat.

Pokud by vás však i ztráta týdenního platu hackerem drasticky ovlivnila – finančně i emocionálně -, pak stojí za to strávit víkendovou lištu nebo část peněz naspořených na 90. narozeniny vaší nany.

Tam, kde Balina chyboval ve svém úložišti a / nebo soukromých klíčích, bylo použití obecného a bezplatného cloudového úložného programu a kompromitovaného e-mailu na vysoké škole, což hackerům umožnilo hacknout jeho aktuální e-mail a získat přístup k Evernote.

Uložení soukromého klíče nebo semene online se nepovažuje za úložiště typu cold storage – poté se považuje za horkou peněženku, protože je připojeno k internetu – a dodává se s četné problémy a chyby zabezpečení spojené s horkými peněženkami.

Při pochybnostech, zchladnout.

Oba Trezor a Ledger Nano jsou dvě populární a renomované hardwarové peněženky pro ukládání finančních prostředků. Jen si pamatujte, že malé investici do bezpečnosti by nyní mohlo zabránit Charlie Shrem – zakládající člen nadace Bitcoin Foundation – z toho, že vám dá v budoucnu příležitost.

charlie shrem ian balina hack tweet

A pokud hledáte mobilitu kombinovanou se studeným úložištěm, zvažte použití CoolWallet S, mobilní hardwarová peněženka, která podporuje bitcoiny, etherea, zvlnění, litecoiny a bitcoinové hotovosti (připravované tokeny ERC-20).

Papírové peněženky jsou navíc účinným prostředkem skladování v chladu, pokud tak neučiníte vložte kousek papíru s obnovovacím semínkem a PIN pod polštářem své dcery před letem a najmete si uklízecí tým, který vám uklidí.

Pro komplexní pohled na kryptoměnové peněženky, podívejte se na našeho průvodce pro začátečníky v oblasti kryptoměnových peněženek.

3. Dejte si pozor na Punycode

Od meteorického vzestupu kryptoměny v posledních několika letech se phishing stal preferovanou metodou pro podvodníky, kteří chtějí využít výhod neopatrných HODLerů a těch, kteří rychle skočí na bezplatné kryptoměny – díky @VitarikBooterun z Ruska, který má 2 následovníky a žádný profilový obrázek ( toto je falešný a kompletně vytvořený popisovač Twitteru, ale přihlaste se na Twitter, najděte a @VitalikButerin Tweet a vzít na vědomí).

Nejznepokojivějším problémem současných phishingových útoků je jejich složitost a estetická autenticita. Zvláště pro lidi jako já, někdo, kdo má technicky nosit brýle na čtení, ale nepřesvědčí ho jeho matka, která mu řekla, že s nimi vypadá hezčí – a místo toho se rozhodne přimhouřit a držet počítač u obličeje.

A nejsem jediný, kdo byl předtím oklamán.

Začátkem letošního roku to vyšlo najevo falešný účet Tron byl ověřen Twitterem. Účet nashromáždil více než 140 000 sledujících, zatímco tweetoval z podvodných dárků, kde uživatelé posílali malé částky ETH na zveřejněnou adresu se slibem, že na oplátku dostanou 10krát.  

Tím to nekončí. Phishingové útoky jsou stále kreativnější. Ačkoli se tato metoda phishingu nepoužívá v hacku Balina, stojí za to ji sledovat: nehledejte nic jiného než „punycode“.

falešný binance phishing punycode

Jednoduše řečeno, punycode je speciální reprezentace Unicode, umožnění hackerům převádět znaky na ASCII, menší a omezenou znakovou sadu – myslete na německý jazyk. Například německý název Mnichova je „München“.

Jak tedy poznáte legitimní webové stránky od škodlivých?

  • Pro začátečníky hledejte zelené „https“ a slovo „Zabezpečené“ nalevo od adresy URL webu. Zelená označuje, že web získal potřebné certifikáty SSL a je legitimní.
  • Zadruhé, přidávání záložek na často navštěvované webové stránky je účinným prostředkem k minimalizaci chyb nebo překlepů.
  • Znovu zkontrolujte, zda byla adresa URL zadána správně, a důvěřujte svému nitru. Web zobrazující vyskakovací okna po okamžitém přistání na stránce pravděpodobně není správný web, který by obchodoval a ukládal kryptoměny v hodnotě tisíců dolarů.

4. Dvoufaktorové ověřování je klíčové – jedna metoda vládne nejvyšší

Zálohování krypto účtů a přihlášení pomocí dvoufaktorové autentizace – známé také jako 2FA – je zásadním krokem ke zvýšení zabezpečení portfolia. 2FA vyžaduje, aby uživatelé za účelem dokončení procesu přihlášení zadali jednorázové heslo (OTP), které jim bylo poskytnuto prostřednictvím smartphonu nebo aplikace..

Uživatelé, kteří berou zabezpečení vážně, by však měli upustit od používání ověřování pomocí SMS pro 2FA a místo toho používat aplikace, jako je Google Authenticator, nebo méně populární Authy.

Výzkumní pracovníci a bezpečnostní experti dlouho varovali před používáním textových zpráv jako ověřovací bezpečnostní opatření při přihlašování online s tím, že hackeři již dříve zorganizovali rozsáhlé útoky, kde využili známé chyby v různých mobilních sítích za účelem zachycení textových zpráv zasílaných uživatelům.  

Výhodou aplikace Google Authenticator je, že se spoléhá na sílu, že není třeba komunikovat s mobilním operátorem, udržovat časově omezené ověřovací kódy v aplikaci (obvykle po dobu 30 sekund) a telefonu. I když hacker rychle přesune telefonní číslo uživatele na nový telefon, kód nebude ovlivněn.     

Pokud používáte Google Authenticator nebo jiné aplikace 2FA, je nutné soukromé klíče zálohovat a bezpečně je uložit – pro případ, že byste telefon rozbili nebo ztratili.

Závěrečné myšlenky

Zatímco někteří v krypto komunitě nejsou přesvědčeni, že Balina byl skutečně hacknutý – poukazuje na několik podezřelých okolností a důvodů, proč Balina mohla mít ve skutečnosti přímou ruku – Balina od té doby vyvrátila taková tvrzení, uvádí, že hack je nyní oficiálně v trestním vyšetřování.

Bez ohledu na to, co se skutečně stalo, je jasné, že i „ostřílení“ držitelé kryptoměn se dopouštějí závažných a zjevných bezpečnostních chyb.

Doufejme, že tento článek všem připomene, že je důležité věnovat chvíli přehodnocení, zda přijímáte náležitá preventivní opatření – bez ohledu na to, jak jednoduché a základní se zdají – pro bezpečnou transakci a ukládání kryptoměny.

Příbuzný: Jak zabezpečit své kryptoměny