Hvis du ikke har hørt den siste summen i kryptosfæren den siste uken, så bor du sannsynligvis under en stein, for det er (dessverre) alle mennesker har fokusert på. Rundt klokka 4 EST 16. april 2018 hadde mid livestream, kryptovalutainvestor, rådgiver og selvutnevnt “evangelist”, Ian Balina bare sjenert for 2 millioner dollar stjålet fra ETH-lommeboken sin..

Han avsluttet brått sin livestream og tvitret følgende melding –

Ian Balina Hack Tweet

Det er vanskelig å forstå hvordan noen med millioner i kapital lagret det så hensynsløst. Og den skumleste delen – det er mer vanlig enn du tror. I en nå slettet Telegram-massasje forklarte Balina hvordan han tror han ble hacket:

Slik tror jeg at jeg ble hacket. Min college-e-post ble oppført som en gjenopprettings-e-post til Gmail. Jeg husker at jeg fikk en e-post om at det var kompromittert, og prøvde å følge opp min høyskolesikkerhet for å få det løst, men klarte ikke å få det håndtert på [sic] rask måte og ga opp det og trodde det bare var en gammel e-post.

Jeg lagrer tekstversjoner av de private nøklene mine i Evernote, som krypterte tekstfiler med passord. Jeg tror de hacket e-posten min ved hjelp av college-e-posten min og deretter hacket Evernote-en.

For de som ikke er helt sikre på hvem Ian Balina er, begynte han å lage YouTube-videoer i begynnelsen av 2017 og lærte investorer hvordan de skulle “hacke systemet” og tjene en seks-sifret inntekt. Han steg bare frem i løpet av de siste seks månedene etter avsløringen om at han parlayed a $ 90.000 investering i $ 4 millioner på mindre enn 12 måneder – en uttalelse som han bekreftet med sin Blockfolio øyeblikksbilder lagt ut på Twitter.

Som ham eller ikke, er Ian Balina-hacket en dyr leksjon om hvor viktig det er å holde kryptoen din sikker. Her er fire grunnleggende sikkerhetsopptak og påminnelser HODLere bør gjøre seg kjent med og implementere i kryptosurfing, investering og lagring for å minimere sjansene for å bli hacket (eller bli lam på sosiale medier).

1. Ikke flagre det bare fordi du har det

Akkurat som den gjennomsnittlige personen ikke går rundt og roper ut bankkontoopplysningene sine og hvor mye penger de har i lommeboken i et seedy nabolag klokken 02.00, bør ikke kryptoinvestorer offentliggjøre kryptoporteføljen og beholdningen online – eller personlig.

Selv når du deltar i populære nettfora, for eksempel BitcoinTalk eller Reddit, er skjønn nøkkelen – bare spør denne Redditor som faktisk la ut sitt private frø fra Siacoin på nettet og fikk en leksjon i sikkerhet av en heldigvis vennlig redditor.

Å avstå fra å kringkaste økonomisk informasjon på nettet virker som et opplagt tips, men det gjentar fortsatt.

Her er bare noen få av konsekvensene og sikkerhetsrisikoen det åpner investorer for:

  1. Målrettede phishing-svindel
  2. Ransomware
  3. Sosial ingeniørfag
  4. Ran

Det stemmer, ran. Ta det fra denne taiwanske mannen som viste bevis på sine bitcoins til 3 svindlere, og til slutt ble overfalt og ranet. Svindlerne overførte 18 bitcoins – estimert til over 170 000 dollar – ut av kontoen hans (via telefon).

Selv Islands statsminister endte opp som en uvitende tilskuer til flukten til en mann mistenkt for å ha stjålet rundt 600 datamaskiner med Bitcoin, i det som regnes som Islands største røveri noensinne.

Du vil kanskje ikke bli oversett, men du vil heller ikke bli sett over for mye. Ikke dox deg selv.

2. Bruk fryselager hvis du lagrer mer enn 1 måneds lønn online

Når de bestemmer seg for om de skal ponniere og bruke $ 60 – $ 150 på en maskinvareboklate, bør HODLere spørre seg selv hvor mye de har det bra med å miste, hvis passordene eller påloggingsinformasjonen deres kompromitteres.

Lagring av private nøkler på nettet og bruk av varme lommebøker er håndterbar og hensiktsmessig for investorer som lagrer små summer på nettet, mens fryselager – lagring av midler i en offline enhet – og hardware-lommebøker bør brukes av investorer som har over en måneds lønn på en børs.

Hvis til og med å miste en ukes lønn til et hack ville påvirke deg drastisk – økonomisk eller følelsesmessig – så er det verdt å bruke helgens barfane eller noen av pengene du har spart til nanas overraskelse 90-årsdag.

Der Balina gjorde feil i lagrings- og / eller private nøkler, var han ved hjelp av et generisk og gratis skylagringsprogram og kompromittert college-e-post, som gjorde det mulig for hackere å hacke hans nåværende e-post og få tilgang til Evernote.

Lagring av en privat nøkkel eller frø på nettet regnes ikke som fryselager – det regnes da som en varm lommebok, siden den er koblet til internett – og følger med mange problemer og sikkerhetsproblemer knyttet til hot lommebøker.

Hvis i tvil, bli kald.

Både Trezor og Ledger Nano er to populære og anerkjente hardware-lommebøker for lagring av midler. Bare husk, en liten investering i sikkerhet nå kan forhindre Charlie Shrem – et av stifterne i Bitcoin Foundation – fra å gi deg en gang i fremtiden.

charlie shrem ian balina hack tweet

Og hvis du leter etter mobilitet blandet med kjølerom, bør du vurdere å bruke CoolWallet S, en mobil maskinvare lommebok som støtter Bitcoin, Ethereum, Ripple, Litecoin og Bitcoin Cash (ERC-20 tokens kommer).

I tillegg er papirlommebøker et effektivt middel til fryselagring, forutsatt at du ikke gjør det legg papiret med gjenopprettingsfrøet og PIN-koden under datterens pute før en flytur, og ansett et rengjøringsteam for å rydde opp.

For en omfattende titt på lommebøker for kryptovaluta, sjekk ut vår nybegynnerveiledning for lommebøker for kryptovaluta.

3. Vokt dere for Punycode

Helt siden cryptos meteoriske økning de siste årene har phishing blitt den foretrukne metoden for svindlere som ønsker å dra nytte av uforsiktige HODLere og de som er raske til å hoppe på gratis kryptotillegg – takk @VitarikBooterun fra Russland som har 2 følgere og ikke har noe profilbilde ( dette er et falskt og fullstendig sammensatt Twitter-håndtak, men logg inn på Twitter, finn en @VitalikButerin Tweet og merk deg).

Det mest bekymringsfulle problemet rundt dagens phishing-angrep er deres kompleksitet og estetiske ekthet. Spesielt for folk som meg, noen som teknisk sett skal bruke lesebriller, men som ikke er overbevist om at moren sier at han ser penere ut med dem – og i stedet velger å kaste og holde datamaskinen nær ansiktet.

Og jeg er ikke den eneste som har blitt lurt før.

Tidligere i år kom det frem en falsk Tron-konto hadde blitt bekreftet av Twitter. Kontoen hadde samlet over 140 000 følgere mens de twitret ut svindeloppgaver hvor brukere sendte små mengder ETH til en postert adresse med løfte om å motta 10 ganger i retur.  

Det stopper ikke der. Phishing-angrep blir mer kreative. Selv om denne phishing-metoden ikke brukes i Balina-hacket, er det verdt å holde øye med: se ikke lenger enn “punycode.”

falsk binance phishing punycode

Enkelt sagt, punycode er en spesiell representasjon av Unicode, slik at hackere kan konvertere tegn til ASCII, et mindre og begrenset tegnsett – tenk på det tyske språket. For eksempel er det tyske navnet på München ‘München’.

Så hvordan forteller du legitime nettsteder fra ondsinnede?

  • For det første, se etter det grønne ‘https’ og ordet ‘Secure’ direkte til venstre for nettsteds URL-adresse. Grønt indikerer at nettstedet har fått de nødvendige SSL-sertifikatene og er legitimt.
  • For det andre er bokmerke for en ofte besøkt webside et effektivt middel for å minimere feil eller feilstaving.
  • Dobbeltsjekk for å sikre at nettadressen ble angitt riktig, og stol på tarmen din. Et nettsted som viser popup-vinduer ved umiddelbart landing på siden, er sannsynligvis ikke det riktige nettstedet for å handle og lagre tusenvis av dollar i krypto.

4. Tofaktorautentisering er nøkkelen – En metode regjerer høyest

Sikkerhetskopiering av kryptokontoer og pålogginger med tofaktorautentisering – også kjent som 2FA – er et viktig skritt for å forbedre porteføljesikkerheten. 2FA krever at brukerne oppgir et engangspassord (OTP) gitt til dem via smarttelefon eller applikasjon, for å fullføre påloggingsprosessen.

Imidlertid bør brukere som tar sikkerhet på alvor, avstå fra å bruke SMS-godkjenning for 2FA og i stedet bruke apper som Google Authenticator, eller de mindre populære Authy.

Forskere og sikkerhetseksperter har lenge advart mot bruk av tekstmeldinger som et validerende sikkerhetstiltak når du logger på online, og bemerker at hackere tidligere har orkestrert store angrep der de utnyttet kjente feil i forskjellige mobilnettverk for å avskjære tekstmeldinger sendt til brukere.  

Fordelen med Google Authenticator er at den er avhengig av styrken i å ikke trenge å samhandle med en mobiloperatør, og holder de tidsbegrensede autentiseringskodene på appen (vanligvis i 30 sekunder) og telefonen. Selv om en hacker raskt flytter brukerens telefonnummer til en ny telefon, påvirkes ikke koden.     

Når du bruker Google Authenticator eller andre 2FA-apper, er det viktig å sikkerhetskopiere private nøkler og lagre dem trygt – bare i tilfelle du knekker eller mister telefonen.

Siste tanker

Mens noen i kryptosamfunnet ikke er overbevist om at Balina virkelig ble hacket – påpekte flere mistenkelige omstendigheter og grunner til at Balina faktisk har hatt en direkte hånd i det – har Balina siden tilbakevist slike påstander og sa at hacket er nå offisielt under kriminell etterforskning.

Uansett hva som faktisk skjedde, er det klart at selv “erfarne” kryptoholdere begår alvorlige og åpenbare sikkerhetsfeil.

Forhåpentligvis fungerer denne artikkelen som en påminnelse til alle der ute om at det er viktig å ta et øyeblikk for å revurdere om du tar de riktige forholdsregler – uansett hvor enkle og grunnleggende de ser ut – for å sikre transaksjoner og lagre kryptovaluta..

I slekt: Hvordan sikre kryptovalutaene dine