Ahli Keamanan Blockchain Zhou Yajin: Strategi Kunci untuk Perlindungan Aset Enkripsi dan Tren Perkembangan Industri
Pembawa acara: Alex, investor profesional
Tamu: Zhou Yajin, CEO perusahaan keamanan Blockchain BlockSec
Waktu perekaman: 2025.3.28
Layanan dan Target Pelanggan BlockSec
**Alex:**Di episode kali ini, kita akan membahas topik yang sangat relevan bagi semua orang, yaitu keamanan di dunia enkripsi. Sebelum kita menghadapi risiko yang nyata, kita sering kali berpikir bahwa kita tidak akan menjadi korban dari peristiwa keamanan yang ada di berita. Bagaimana cara membangun firewall untuk aset kita, agar kita dapat berinvestasi dalam lingkungan yang aman, adalah topik yang harus kita pelajari sebelum memulai perjalanan enkripsi kita. Di podcast kali ini, kami mengundang Zhou Yajin dari perusahaan keamanan blockchain BlockSec, untuk berbicara dengan kami tentang topik keamanan enkripsi. Silakan, Pak Zhou, sapa kami.
Zhou Yajin: Halo semuanya, saya Zhou Yajin, saat ini menjabat sebagai CEO di BlockSec, dan saya juga seorang peneliti di Universitas Zhejiang yang bergerak di bidang keamanan siber. Sangat senang bertemu dengan kalian.
**Alex:**Baiklah, mari kita masuk ke topik utama hari ini. Saya percaya banyak pendengar mungkin tidak begitu memahami perusahaan keamanan blockchain dan layanan keamanan. Silakan, Guru Zhou perkenalkan kepada kami tentang BlockSec, apa saja layanan yang kalian tawarkan, dan jenis orang atau lembaga apa yang akan menjadi pelanggan kalian.
Zhou Yajin: BlockSec adalah perusahaan keamanan Web3 yang didirikan pada tahun 2021. Ketika berbicara tentang keamanan Web3, hal pertama yang mungkin terlintas di pikiran adalah audit keamanan. Namun, sebenarnya ruang lingkup bisnis BlockSec tidak hanya terbatas pada audit keamanan, kami juga menyediakan serangkaian produk dan layanan keamanan lainnya. Secara khusus, layanan kami dapat dibagi menjadi tiga bagian besar. Bagian pertama kami sebut sebagai keamanan untuk protokol di on-chain. Protokol di on-chain adalah kontrak pintar yang kami bicarakan yang dikerahkan di Blockchain untuk melakukan beberapa kegiatan DeFi atau NFT, atau aktivitas lainnya. Bagaimana keamanan kontrak-kontrak ini harus dijamin? BlockSec menyediakan layanan audit keamanan dan produk pemantauan keamanan. Bagian kedua yang kami perhatikan adalah keamanan aset. Yang dimaksud dengan keamanan aset adalah aset yang dimiliki pengguna, misalnya aset tersebut ada di dompet kontrak mereka sendiri, atau diinvestasikan di beberapa protokol di on-chain, bagaimana cara menjamin keamanan aset pengguna tersebut juga termasuk dalam ruang lingkup layanan kami. Bagian ketiga adalah kepatuhan dan regulasi. Kami menemukan semakin banyak lembaga keuangan tradisional masuk ke dalam industri Crypto. Termasuk berita terbaru yang kami lihat, bank-bank tradisional di AS mengeluarkan beberapa aset stablecoin di on-chain, termasuk Crypto yang masuk ke industri pembayaran lintas batas. Sebenarnya, setelah lembaga keuangan tradisional ini memasuki industri ini, hal ini menimbulkan tantangan bagi regulasi, di mana regulator tidak tahu bagaimana cara mengatur, dan lembaga-lembaga ini juga tidak tahu bagaimana cara mematuhi kepatuhan. Jadi, kami juga membantu lembaga-lembaga regulasi untuk mengawasi pemain yang masuk ke dalam industri Crypto ini, atau membantu lembaga-lembaga tradisional yang masuk ke dalam industri Crypto untuk mematuhi regulasi. Inilah tiga ruang lingkup bisnis kami.
Jangkauan pelanggan kami cukup luas. Siapa pun dapat memikirkan pihak proyek yang melakukan keuangan terdesentralisasi di blockchain atau layanan lainnya, seperti platform Lending yang menyediakan layanan di blockchain, atau platform perdagangan terdesentralisasi. Pihak proyek ini adalah pelanggan kami. Kami dapat membantu mereka melakukan audit keamanan sebelum menerapkan kontrak pintar ke blockchain, dengan meninjau dari sudut pandang keamanan apakah kontrak pintar yang mereka kembangkan memiliki celah keamanan. Jika ada celah keamanan, perlu segera diperbaiki. Selain itu, ketika protokol mereka diterapkan di blockchain, kami juga akan memiliki platform pemantauan 7×24 jam untuk memantau risiko keamanan protokol mereka. Jika terjadi risiko keamanan, platform kami dapat segera memberi tahu protokol dan dapat secara otomatis menghentikan risiko dan serangan. Oleh karena itu, pengembang dan pihak proyek yang menerapkan kontrak pintar di blockchain adalah salah satu jenis pelanggan kami yang khas. Jenis pelanggan khas kedua adalah orang-orang yang memiliki aset, mungkin beberapa pelanggan bernilai tinggi, yang memiliki beberapa aset di dompet kontrak, atau pelanggan bernilai tinggi ini akan berinvestasi dalam beberapa protokol di blockchain. Layanan dan produk kami dapat membantu mereka lebih baik dalam memantau keamanan protokol yang mereka investasikan. Seperti dua sisi koin, dari sudut pandang pihak proyek protokol, kami dapat membantu mereka meningkatkan keamanan protokol. Dari sudut pandang pelanggan bernilai tinggi yang berinvestasi dalam protokol mereka, kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan. Jika protokol yang mereka investasikan memiliki risiko keamanan, seperti diserang, mereka perlu dapat menarik kembali dana mereka dengan cepat. Jenis pelanggan ketiga adalah yang saya sebutkan sebelumnya, yaitu regulasi dan kepatuhan, kelompok pelanggan ini sebagian besar adalah lembaga pengawas, seperti Komisi Sekuritas dan Futures Hong Kong yang juga merupakan pelanggan kami, serta beberapa lembaga penegak hukum luar negeri yang perlu menyelidiki kejahatan terkait mata uang digital, mereka perlu menggunakan alat dan platform kami untuk memudahkan pengambilan bukti, pelacakan dana, dan kegiatan investigasi lainnya. Ini pada dasarnya adalah keseluruhan bisnis kami serta jangkauan pelanggan kami.
Tiga Saran Mengenai Keamanan Enkripsi
**Alex:**Mengerti, baru saja Pak Zhou membicarakan tentang jenis pelanggan, apa kebutuhan mereka, serta situasi industri secara umum. Jadi, pertanyaan kedua mungkin lebih berkaitan dengan investor pribadi, terutama karena banyak pendengar kita adalah orang-orang yang baru mulai memasuki Web3 untuk belajar dan mencoba berinvestasi. Jika Anda memiliki seorang teman yang baru saja memasuki bidang investasi enkripsi, dan dia tahu bahwa Anda bergerak di layanan keamanan enkripsi, tolong berikan tiga saran tentang keamanan enkripsi, saran apa yang akan Anda berikan kepadanya?
Zhou Yajin: Pertanyaan ini sangat baik. Teman-teman di sekitar saya juga sering bertanya kepada saya beberapa saran keamanan, mereka juga ingin masuk ke industri ini, tetapi mereka mendengar sepertinya banyak orang akan menghadapi beberapa risiko. Kami pernah memiliki lelucon: jika Anda masuk ke dalam lingkaran Crypto dan tidak pernah mengalami phishing atau penipuan, Anda tidak akan menjadi pemain senior di bidang ini. Tentu saja, ini hanya lelucon, tetapi Anda memang bisa menemukan banyak risiko di industri ini. Jika harus memberikan tiga saran, saran pertama pasti adalah yang akan dipikirkan semua orang, yaitu tentang perlindungan kunci pribadi. Di bidang Crypto, bagaimana cara membuktikan Anda memiliki dana ini, sebenarnya adalah dengan menggunakan kunci pribadi yang Anda miliki untuk membuktikan kepemilikan akun ini. Kunci pribadi adalah serangkaian angka, dan ini juga tidak terikat pada identitas pribadi Anda. Jika serangkaian angka ini hilang atau bocor, orang lain dapat memiliki kendali atas dana Anda seperti yang Anda miliki. Ini sangat berbeda dengan dunia nyata. Di dunia nyata, jika kata sandi bank Anda bocor, Anda dapat menelepon bank untuk meminta membekukan akun, orang lain tidak dapat mengambil uang. Namun, di dunia Crypto, jika kunci pribadi Anda bocor, maka orang yang memiliki kunci pribadi Anda dapat mentransfer dana Anda dari akun Anda tanpa batas. Secara umum, ada beberapa cara untuk melindungi kunci pribadi, misalnya, kita memiliki dompet perangkat keras, menggunakan dompet kontrak, atau menggunakan aplikasi ponsel untuk melindungi kunci pribadi. Setiap metode sebenarnya memiliki kelebihan dan kekurangan masing-masing. Berdasarkan pengalaman pribadi saya dan pengalaman keseluruhan beberapa teman keamanan di sekitar kita, prinsip dasarnya adalah menyimpan frasa pemulihan kunci pribadi, simpan di brankas, baik itu brankas di rumah Anda sendiri atau di bank, simpan dengan baik, jangan sering diganggu, pada dasarnya Anda juga tidak membutuhkannya. Kemudian gunakan perangkat yang relatif dapat dipercaya, baik itu dompet perangkat keras atau ponsel, untuk menyimpan kunci pribadi Anda. Ponsel ini harus menjadi perangkat khusus, jangan melakukan aktivitas lain, hanya digunakan untuk mengelola aset digital Anda sendiri. Ini adalah saran pertama. Saran kedua adalah saat melakukan transaksi di blockchain, Anda harus selalu memiliki kesadaran akan keamanan dan risiko. Pada dasarnya, Anda hanya perlu mengingat satu kalimat: tidak ada yang namanya keuntungan instan. Kami menemukan bahwa saat melakukan transaksi di blockchain, risiko phishing yang dihadapi pengguna sangat besar. Termasuk banyak KOL dan OG yang kita kenal di lingkaran Crypto telah mengalami serangan phishing dan kehilangan banyak dana. Jika sebuah situs yang tidak dikenal meminta Anda untuk menghubungkan dompet untuk mendapatkan hadiah airdrop yang disebut, saat itu Anda perlu berhati-hati, selalu harus memiliki kesadaran akan keamanan. Saran ketiga adalah Anda perlu sedikit memahami pengetahuan dasar aset kripto. Pengetahuan dasar yang dimaksud adalah dalam aset kripto, kita biasanya memiliki konsep otorisasi. Ini berbeda dengan dunia keuangan tradisional. Misalnya, jika Anda memiliki jenis aset digital, USDT atau USDC, melalui tanda tangan di blockchain, Anda dapat memberikan otorisasi untuk menggunakan aset itu kepada kontrak atau pengguna lain, dan otorisasi ini hanya perlu ditandatangani melalui dompet Anda yang menandatangani sekumpulan hal aneh yang tidak Anda pahami. Jadi saat menandatangani tanda tangan dompet, karena Anda tidak terlalu mengerti atau tertipu, Anda menandatangani transaksi otorisasi, maka orang lain dapat menggunakan semua aset digital Anda. Jadi Anda sedikit perlu memiliki pemahaman dasar tentang otorisasi ini, agar tidak salah menandatangani transaksi otorisasi saat menandatangani tanda tangan dompet. Singkatnya, saran dasarnya adalah: pertama, lindungi kunci pribadi Anda dengan memberikan beberapa metode yang dapat dioperasikan; kedua, saat melakukan transaksi di blockchain, selalu berhati-hati, harus memiliki kesadaran akan keamanan agar tidak terjebak phishing; ketiga, Anda harus memiliki pemahaman dasar tentang mekanisme otorisasi Crypto, sehingga Anda tidak salah menandatangani beberapa transaksi otorisasi.
**Alex:**Saya sebenarnya memiliki banyak teman dengan kekayaan tinggi di sekitar saya, mereka juga merupakan OG atau ahli di industri ini. Seharusnya, kesadaran keamanan yang Anda sebutkan itu mereka miliki, tetapi setiap tahun saya mendengar tentang beberapa orang kaya di sekitar saya yang dicuri. Di industri ini ada sebuah pernyataan, jika seorang peretas profesional mengincar Anda, dia tahu dompet Anda memiliki uang, jika dia menggunakan semua sumber daya yang dapat digunakan, Anda sering kali sulit untuk lolos. Apakah Anda merasa pernyataan semacam ini ada benarnya? Apakah memang seperti itu?
Zhou Yajin: Pertanyaan Anda sangat bagus. Sebenarnya masalah keamanan, terutama yang berkaitan dengan keamanan Crypto, pada dasarnya adalah sebuah perlawanan yang tidak seimbang. Jika dompet Anda memiliki cukup banyak aset, Anda akan sangat mudah menjadi target serangan terarah. Dan setelah Anda menjadi target serangan terarah, orang lain akan menggunakan banyak sumber daya, baik itu sumber daya sosial engineering, sumber daya teknis, atau sumber daya lainnya, untuk merancang metode serangan yang ditargetkan pada Anda berdasarkan pola perilaku sehari-hari Anda, kebiasaan hidup, dan lain-lain. Dalam situasi seperti ini, tidak bisa dikatakan seratus persen, tetapi tingkat kesulitan untuk bertahan sangat tinggi, karena pihak lain menggunakan banyak sumber daya untuk melawan Anda, sementara Anda hanya memiliki diri Anda sendiri. Jadi ini adalah sebuah perlawanan yang sangat tidak simetris. Dalam situasi seperti ini, saya rasa prinsip dasar yang pertama adalah, kita orang Cina memiliki pepatah yang mengatakan 'kekayaan tidak boleh terlihat', yang berarti Anda tidak boleh mengungkapkan aset yang Anda miliki, dan harus menghindari mengungkapkan hubungan antara identitas offline pribadi Anda dan identitas aset di blockchain. Poin kedua adalah, meskipun Anda adalah pengguna dengan kekayaan tinggi, mungkin sudah terungkap oleh orang lain, maka Anda perlu sebisa mungkin melakukan isolasi aset. Artinya, aset yang Anda operasikan sehari-hari, di dompet khusus mungkin paling banyak hanya 100.000, sehingga jika seseorang menargetkan Anda, maksimal mereka hanya bisa mencuri 100.000 itu. Sedangkan aset Anda yang lainnya yang jumlahnya banyak sebaiknya diletakkan di dompet yang biasanya tidak perlu digunakan. Jika Anda perlu menggunakan aset tersebut, Anda harus mencari ahli keamanan untuk membantu Anda meninjau satu set proses operasi dan norma yang cukup baik, sehingga Anda dapat menghindari risiko yang sangat besar.
Tiga Peristiwa Keamanan yang Paling Mengesankan
**Alex:**Mengerti, saran ini memang sangat penting. Bisakah Anda berbagi dengan kami tiga peristiwa keamanan yang paling mengesankan sejak Anda mulai bekerja di bidang ini? Bisa jadi pengalaman pribadi Anda, atau cerita dari teman-teman Anda, atau beberapa pengamatan yang Anda miliki.
Zhou Yajin: Saya bisa berbagi dengan semua orang tentang insiden keamanan yang pernah kami tangani secara langsung dan yang cukup mengesankan. Contoh pertama yang saya ingat adalah sekitar pertengahan Februari 2023, ada sebuah protokol di blockchain yang diserang. Itu adalah platform yang menggabungkan pinjaman dengan fungsi lainnya. Protokol ini memiliki celah keamanan, dan hacker memanfaatkan celah ini untuk mencuri sekitar...
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
4
Bagikan
Komentar
0/400
OnchainDetective
· 12jam yang lalu
Lagi-lagi seorang kepala keamanan dijadikan ahli? Kunci multisig untuk dompet itu sebenarnya disimpan di mana tidak dikatakan.
Blockchain keamanan ahli Zhou Yajin mengungkapkan: tiga strategi untuk melindungi keamanan aset enkripsi
Ahli Keamanan Blockchain Zhou Yajin: Strategi Kunci untuk Perlindungan Aset Enkripsi dan Tren Perkembangan Industri
Pembawa acara: Alex, investor profesional
Tamu: Zhou Yajin, CEO perusahaan keamanan Blockchain BlockSec
Waktu perekaman: 2025.3.28
Layanan dan Target Pelanggan BlockSec
**Alex:**Di episode kali ini, kita akan membahas topik yang sangat relevan bagi semua orang, yaitu keamanan di dunia enkripsi. Sebelum kita menghadapi risiko yang nyata, kita sering kali berpikir bahwa kita tidak akan menjadi korban dari peristiwa keamanan yang ada di berita. Bagaimana cara membangun firewall untuk aset kita, agar kita dapat berinvestasi dalam lingkungan yang aman, adalah topik yang harus kita pelajari sebelum memulai perjalanan enkripsi kita. Di podcast kali ini, kami mengundang Zhou Yajin dari perusahaan keamanan blockchain BlockSec, untuk berbicara dengan kami tentang topik keamanan enkripsi. Silakan, Pak Zhou, sapa kami.
Zhou Yajin: Halo semuanya, saya Zhou Yajin, saat ini menjabat sebagai CEO di BlockSec, dan saya juga seorang peneliti di Universitas Zhejiang yang bergerak di bidang keamanan siber. Sangat senang bertemu dengan kalian.
**Alex:**Baiklah, mari kita masuk ke topik utama hari ini. Saya percaya banyak pendengar mungkin tidak begitu memahami perusahaan keamanan blockchain dan layanan keamanan. Silakan, Guru Zhou perkenalkan kepada kami tentang BlockSec, apa saja layanan yang kalian tawarkan, dan jenis orang atau lembaga apa yang akan menjadi pelanggan kalian.
Zhou Yajin: BlockSec adalah perusahaan keamanan Web3 yang didirikan pada tahun 2021. Ketika berbicara tentang keamanan Web3, hal pertama yang mungkin terlintas di pikiran adalah audit keamanan. Namun, sebenarnya ruang lingkup bisnis BlockSec tidak hanya terbatas pada audit keamanan, kami juga menyediakan serangkaian produk dan layanan keamanan lainnya. Secara khusus, layanan kami dapat dibagi menjadi tiga bagian besar. Bagian pertama kami sebut sebagai keamanan untuk protokol di on-chain. Protokol di on-chain adalah kontrak pintar yang kami bicarakan yang dikerahkan di Blockchain untuk melakukan beberapa kegiatan DeFi atau NFT, atau aktivitas lainnya. Bagaimana keamanan kontrak-kontrak ini harus dijamin? BlockSec menyediakan layanan audit keamanan dan produk pemantauan keamanan. Bagian kedua yang kami perhatikan adalah keamanan aset. Yang dimaksud dengan keamanan aset adalah aset yang dimiliki pengguna, misalnya aset tersebut ada di dompet kontrak mereka sendiri, atau diinvestasikan di beberapa protokol di on-chain, bagaimana cara menjamin keamanan aset pengguna tersebut juga termasuk dalam ruang lingkup layanan kami. Bagian ketiga adalah kepatuhan dan regulasi. Kami menemukan semakin banyak lembaga keuangan tradisional masuk ke dalam industri Crypto. Termasuk berita terbaru yang kami lihat, bank-bank tradisional di AS mengeluarkan beberapa aset stablecoin di on-chain, termasuk Crypto yang masuk ke industri pembayaran lintas batas. Sebenarnya, setelah lembaga keuangan tradisional ini memasuki industri ini, hal ini menimbulkan tantangan bagi regulasi, di mana regulator tidak tahu bagaimana cara mengatur, dan lembaga-lembaga ini juga tidak tahu bagaimana cara mematuhi kepatuhan. Jadi, kami juga membantu lembaga-lembaga regulasi untuk mengawasi pemain yang masuk ke dalam industri Crypto ini, atau membantu lembaga-lembaga tradisional yang masuk ke dalam industri Crypto untuk mematuhi regulasi. Inilah tiga ruang lingkup bisnis kami.
Jangkauan pelanggan kami cukup luas. Siapa pun dapat memikirkan pihak proyek yang melakukan keuangan terdesentralisasi di blockchain atau layanan lainnya, seperti platform Lending yang menyediakan layanan di blockchain, atau platform perdagangan terdesentralisasi. Pihak proyek ini adalah pelanggan kami. Kami dapat membantu mereka melakukan audit keamanan sebelum menerapkan kontrak pintar ke blockchain, dengan meninjau dari sudut pandang keamanan apakah kontrak pintar yang mereka kembangkan memiliki celah keamanan. Jika ada celah keamanan, perlu segera diperbaiki. Selain itu, ketika protokol mereka diterapkan di blockchain, kami juga akan memiliki platform pemantauan 7×24 jam untuk memantau risiko keamanan protokol mereka. Jika terjadi risiko keamanan, platform kami dapat segera memberi tahu protokol dan dapat secara otomatis menghentikan risiko dan serangan. Oleh karena itu, pengembang dan pihak proyek yang menerapkan kontrak pintar di blockchain adalah salah satu jenis pelanggan kami yang khas. Jenis pelanggan khas kedua adalah orang-orang yang memiliki aset, mungkin beberapa pelanggan bernilai tinggi, yang memiliki beberapa aset di dompet kontrak, atau pelanggan bernilai tinggi ini akan berinvestasi dalam beberapa protokol di blockchain. Layanan dan produk kami dapat membantu mereka lebih baik dalam memantau keamanan protokol yang mereka investasikan. Seperti dua sisi koin, dari sudut pandang pihak proyek protokol, kami dapat membantu mereka meningkatkan keamanan protokol. Dari sudut pandang pelanggan bernilai tinggi yang berinvestasi dalam protokol mereka, kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan. Jika protokol yang mereka investasikan memiliki risiko keamanan, seperti diserang, mereka perlu dapat menarik kembali dana mereka dengan cepat. Jenis pelanggan ketiga adalah yang saya sebutkan sebelumnya, yaitu regulasi dan kepatuhan, kelompok pelanggan ini sebagian besar adalah lembaga pengawas, seperti Komisi Sekuritas dan Futures Hong Kong yang juga merupakan pelanggan kami, serta beberapa lembaga penegak hukum luar negeri yang perlu menyelidiki kejahatan terkait mata uang digital, mereka perlu menggunakan alat dan platform kami untuk memudahkan pengambilan bukti, pelacakan dana, dan kegiatan investigasi lainnya. Ini pada dasarnya adalah keseluruhan bisnis kami serta jangkauan pelanggan kami.
Tiga Saran Mengenai Keamanan Enkripsi
**Alex:**Mengerti, baru saja Pak Zhou membicarakan tentang jenis pelanggan, apa kebutuhan mereka, serta situasi industri secara umum. Jadi, pertanyaan kedua mungkin lebih berkaitan dengan investor pribadi, terutama karena banyak pendengar kita adalah orang-orang yang baru mulai memasuki Web3 untuk belajar dan mencoba berinvestasi. Jika Anda memiliki seorang teman yang baru saja memasuki bidang investasi enkripsi, dan dia tahu bahwa Anda bergerak di layanan keamanan enkripsi, tolong berikan tiga saran tentang keamanan enkripsi, saran apa yang akan Anda berikan kepadanya?
Zhou Yajin: Pertanyaan ini sangat baik. Teman-teman di sekitar saya juga sering bertanya kepada saya beberapa saran keamanan, mereka juga ingin masuk ke industri ini, tetapi mereka mendengar sepertinya banyak orang akan menghadapi beberapa risiko. Kami pernah memiliki lelucon: jika Anda masuk ke dalam lingkaran Crypto dan tidak pernah mengalami phishing atau penipuan, Anda tidak akan menjadi pemain senior di bidang ini. Tentu saja, ini hanya lelucon, tetapi Anda memang bisa menemukan banyak risiko di industri ini. Jika harus memberikan tiga saran, saran pertama pasti adalah yang akan dipikirkan semua orang, yaitu tentang perlindungan kunci pribadi. Di bidang Crypto, bagaimana cara membuktikan Anda memiliki dana ini, sebenarnya adalah dengan menggunakan kunci pribadi yang Anda miliki untuk membuktikan kepemilikan akun ini. Kunci pribadi adalah serangkaian angka, dan ini juga tidak terikat pada identitas pribadi Anda. Jika serangkaian angka ini hilang atau bocor, orang lain dapat memiliki kendali atas dana Anda seperti yang Anda miliki. Ini sangat berbeda dengan dunia nyata. Di dunia nyata, jika kata sandi bank Anda bocor, Anda dapat menelepon bank untuk meminta membekukan akun, orang lain tidak dapat mengambil uang. Namun, di dunia Crypto, jika kunci pribadi Anda bocor, maka orang yang memiliki kunci pribadi Anda dapat mentransfer dana Anda dari akun Anda tanpa batas. Secara umum, ada beberapa cara untuk melindungi kunci pribadi, misalnya, kita memiliki dompet perangkat keras, menggunakan dompet kontrak, atau menggunakan aplikasi ponsel untuk melindungi kunci pribadi. Setiap metode sebenarnya memiliki kelebihan dan kekurangan masing-masing. Berdasarkan pengalaman pribadi saya dan pengalaman keseluruhan beberapa teman keamanan di sekitar kita, prinsip dasarnya adalah menyimpan frasa pemulihan kunci pribadi, simpan di brankas, baik itu brankas di rumah Anda sendiri atau di bank, simpan dengan baik, jangan sering diganggu, pada dasarnya Anda juga tidak membutuhkannya. Kemudian gunakan perangkat yang relatif dapat dipercaya, baik itu dompet perangkat keras atau ponsel, untuk menyimpan kunci pribadi Anda. Ponsel ini harus menjadi perangkat khusus, jangan melakukan aktivitas lain, hanya digunakan untuk mengelola aset digital Anda sendiri. Ini adalah saran pertama. Saran kedua adalah saat melakukan transaksi di blockchain, Anda harus selalu memiliki kesadaran akan keamanan dan risiko. Pada dasarnya, Anda hanya perlu mengingat satu kalimat: tidak ada yang namanya keuntungan instan. Kami menemukan bahwa saat melakukan transaksi di blockchain, risiko phishing yang dihadapi pengguna sangat besar. Termasuk banyak KOL dan OG yang kita kenal di lingkaran Crypto telah mengalami serangan phishing dan kehilangan banyak dana. Jika sebuah situs yang tidak dikenal meminta Anda untuk menghubungkan dompet untuk mendapatkan hadiah airdrop yang disebut, saat itu Anda perlu berhati-hati, selalu harus memiliki kesadaran akan keamanan. Saran ketiga adalah Anda perlu sedikit memahami pengetahuan dasar aset kripto. Pengetahuan dasar yang dimaksud adalah dalam aset kripto, kita biasanya memiliki konsep otorisasi. Ini berbeda dengan dunia keuangan tradisional. Misalnya, jika Anda memiliki jenis aset digital, USDT atau USDC, melalui tanda tangan di blockchain, Anda dapat memberikan otorisasi untuk menggunakan aset itu kepada kontrak atau pengguna lain, dan otorisasi ini hanya perlu ditandatangani melalui dompet Anda yang menandatangani sekumpulan hal aneh yang tidak Anda pahami. Jadi saat menandatangani tanda tangan dompet, karena Anda tidak terlalu mengerti atau tertipu, Anda menandatangani transaksi otorisasi, maka orang lain dapat menggunakan semua aset digital Anda. Jadi Anda sedikit perlu memiliki pemahaman dasar tentang otorisasi ini, agar tidak salah menandatangani transaksi otorisasi saat menandatangani tanda tangan dompet. Singkatnya, saran dasarnya adalah: pertama, lindungi kunci pribadi Anda dengan memberikan beberapa metode yang dapat dioperasikan; kedua, saat melakukan transaksi di blockchain, selalu berhati-hati, harus memiliki kesadaran akan keamanan agar tidak terjebak phishing; ketiga, Anda harus memiliki pemahaman dasar tentang mekanisme otorisasi Crypto, sehingga Anda tidak salah menandatangani beberapa transaksi otorisasi.
**Alex:**Saya sebenarnya memiliki banyak teman dengan kekayaan tinggi di sekitar saya, mereka juga merupakan OG atau ahli di industri ini. Seharusnya, kesadaran keamanan yang Anda sebutkan itu mereka miliki, tetapi setiap tahun saya mendengar tentang beberapa orang kaya di sekitar saya yang dicuri. Di industri ini ada sebuah pernyataan, jika seorang peretas profesional mengincar Anda, dia tahu dompet Anda memiliki uang, jika dia menggunakan semua sumber daya yang dapat digunakan, Anda sering kali sulit untuk lolos. Apakah Anda merasa pernyataan semacam ini ada benarnya? Apakah memang seperti itu?
Zhou Yajin: Pertanyaan Anda sangat bagus. Sebenarnya masalah keamanan, terutama yang berkaitan dengan keamanan Crypto, pada dasarnya adalah sebuah perlawanan yang tidak seimbang. Jika dompet Anda memiliki cukup banyak aset, Anda akan sangat mudah menjadi target serangan terarah. Dan setelah Anda menjadi target serangan terarah, orang lain akan menggunakan banyak sumber daya, baik itu sumber daya sosial engineering, sumber daya teknis, atau sumber daya lainnya, untuk merancang metode serangan yang ditargetkan pada Anda berdasarkan pola perilaku sehari-hari Anda, kebiasaan hidup, dan lain-lain. Dalam situasi seperti ini, tidak bisa dikatakan seratus persen, tetapi tingkat kesulitan untuk bertahan sangat tinggi, karena pihak lain menggunakan banyak sumber daya untuk melawan Anda, sementara Anda hanya memiliki diri Anda sendiri. Jadi ini adalah sebuah perlawanan yang sangat tidak simetris. Dalam situasi seperti ini, saya rasa prinsip dasar yang pertama adalah, kita orang Cina memiliki pepatah yang mengatakan 'kekayaan tidak boleh terlihat', yang berarti Anda tidak boleh mengungkapkan aset yang Anda miliki, dan harus menghindari mengungkapkan hubungan antara identitas offline pribadi Anda dan identitas aset di blockchain. Poin kedua adalah, meskipun Anda adalah pengguna dengan kekayaan tinggi, mungkin sudah terungkap oleh orang lain, maka Anda perlu sebisa mungkin melakukan isolasi aset. Artinya, aset yang Anda operasikan sehari-hari, di dompet khusus mungkin paling banyak hanya 100.000, sehingga jika seseorang menargetkan Anda, maksimal mereka hanya bisa mencuri 100.000 itu. Sedangkan aset Anda yang lainnya yang jumlahnya banyak sebaiknya diletakkan di dompet yang biasanya tidak perlu digunakan. Jika Anda perlu menggunakan aset tersebut, Anda harus mencari ahli keamanan untuk membantu Anda meninjau satu set proses operasi dan norma yang cukup baik, sehingga Anda dapat menghindari risiko yang sangat besar.
Tiga Peristiwa Keamanan yang Paling Mengesankan
**Alex:**Mengerti, saran ini memang sangat penting. Bisakah Anda berbagi dengan kami tiga peristiwa keamanan yang paling mengesankan sejak Anda mulai bekerja di bidang ini? Bisa jadi pengalaman pribadi Anda, atau cerita dari teman-teman Anda, atau beberapa pengamatan yang Anda miliki.
Zhou Yajin: Saya bisa berbagi dengan semua orang tentang insiden keamanan yang pernah kami tangani secara langsung dan yang cukup mengesankan. Contoh pertama yang saya ingat adalah sekitar pertengahan Februari 2023, ada sebuah protokol di blockchain yang diserang. Itu adalah platform yang menggabungkan pinjaman dengan fungsi lainnya. Protokol ini memiliki celah keamanan, dan hacker memanfaatkan celah ini untuk mencuri sekitar...