Seguridad at pag-iwas sa scam ng Ethereum
Ang tumataas na interes sa cryptocurrency ay nagdadala rin ng lumalaking panganib mula sa mga scammer at hacker. Inilalahad ng artikulong ito ang ilang mga pinakamahusay na kasanayan upang mapagaan ang mga panganib na ito.
Remember: No one from ethereum.org will ever contact you. Don’t reply to emails saying they’re from official Ethereum support.
Pangunahing kaalaman sa seguridad ng crypto
I-level up ang iyong kaalaman
Ang mga hindi pagkakaunawaan tungkol sa kung paano gumagana ang crypto ay maaaring magdulot ng malaking pagkakamali. Halimbawa, kung may nagkukunwari ang isang tao na ahente ng serbisyo sa customer na maibabalik ang nawalang ETH kapalit ng iyong mga private key, inaabuso nila ang tao na hindi nauunawaan na ang Ethereum ay isang decentralized na network na kulang sa ganitong uri ng kakayahan. Napakagandang puhunan ng pag-aaral sa kung paano gumagana ang Ethereum.
Seguridad ng wallet
Huwag ipaalam ang iyong mga pribadong key
Huwag na huwag ibahagi ang iyong mga pribadong key!
Ang private key sa iyong wallet ay isang password sa iyong Ethereum wallet. Ito lang ang pumipigil sa sinumang nakakaalam ng iyong wallet address na tangayin ang lahat ng asset ng iyong account!
Huwag kumuha ng mga screenshot ng iyong mga seed phrase o pribadong key
Ang pag-screenshot ng iyong mga seed phrase o pribadong key ay maaaring mag-sync sa isang cloud data provider, na maaaring magbigay ng access sa mga hacker. Ang pagkuha ng mga pribadong key mula sa cloud ay karaniwang paraan ng pag-atake ng mga hacker.
Gumamit ng hardware wallet
Ang hardware wallet ay nagbibigay ng offline na storage para sa mga pribadong key. Itinuturing ang mga ito na pinaka-secure na opsyon sa wallet para sa pag-store ng iyong mga pribadong key: hindi aabot sa internet ang iyong pribadong key at mananatili itong ganap na lokal sa iyong device.
Kapag na-store offline ang mga pribadong key, lubos na liliit ang panganib na ma-hack, kahit na makontrol ng isang hacker ang iyong computer.
Sumubok ng hardware wallet:
I-double check ang mga transaksyon bago magpadala
Ang hindi sinasadyang pagpapadala ng mga crypto sa maling wallet address ay isang karaniwang pagkakamali. Ang isang transaksyon na ipinadala sa Ethereum ay hindi maibabalik. Maliban kung kilala mo ang may-ari ng address at makumbinsi mo silang ibalik ang iyong pondo, hindi mo maibabalik ang iyong mga pondo.
Palaging siguraduhing eksaktong tumutugma ang address na pinapadalhan mo sa address ng inaasahang tagatanggap bago magpadala ng transaksyon. Magandang kasanayan na basahin ang mensahe ng transaksyon bago pirmahan kapag nakikipag-ugnayan sa isang smart contract.
Magtakda ng mga limitasyon sa paggastos ng smart contract
Kapag nag-i-interact sa mga smart contract, huwag hayaang walang limitasyon sa paggastos. Puwedeng maubos ng smart contract ang laman ng iyong wallet kapag walang limitasyon sa paggastos. Sa halip, itakda ang mga limitasyon sa paggastos sa halaga lang na kinakailangan para sa transaksyon.
Maraming Ethereum wallet ang nag-aalok ng mga proteksyon ng limitasyon para hindi maubos ang laman ng mga account.
Paano bawiin ang access sa smart contract sa iyong mga pondo sa crypto
Mga karaniwang scam
Imposibleng mapigilang tuluyan ang mga scammer, ngunit maaari nating gawing hindi gaanong epektibo sila sa pamamagitan ng pagiging mulat sa kanilang mga pinakaginagamit na teknika. May iba't ibang anyo ng mga scam na ito, ngunit karaniwang sumusunod ang mga ito sa mga parehong high-level pattern. Pinakamahalagang tandaan ang mga sumusunod:
- laging maging mapanuri
- walang magbibigay sa iyo ng libre o discounted na ETH
- walang nangangailangan ng access sa iyong mga pribadong key o personal na impormasyon
Panlilinlang sa Twitter sa pamamagitan ng mga ad
Mayroong isang paraan para sa spoofing ng link preview feature ng Twitter (kilala rin bilang X) (pagbubukas ng preview) upang maloko ang mga user na isiping sila ay bumibisita sa isang lehitimong website. Ang diskarteng ito ay umaabuso sa mekanismo ng Twitter para sa pagbuo ng mga preview ng mga URL na ibinabahagi sa mga tweet, at ipinapakita mula sa ethereum.org bilang halimbawa (ipinakita sa itaas), pero sa katunayan ay dinadala sila sa isang mapanlikhang site.
Suriin lagi na ikaw ay nasa tamang domain, lalo na pagkatapos mag-click sa isang link.
Higit pang impormasyon dito(opens in a new tab).
Scam sa giveaway
Isa sa mga pinakaraniwang scam sa cryptocurrency ang giveaway scam. Ang giveaway scam ay maaaring magkaroon ng iba't ibang anyo, ngunit ang pangkalahatang ideya ay kung magpapadala ka ng ETH sa ibinigay na wallet address, matatanggap mo pabalik ang iyong ETH ngunit doble. Dahil dito, kilala rin ito bilang 2-for-1 scam.
Ang mga scam na ito ay karaniwang nagtatakda ng limitadong oras ng pagkakataon upang makuha ang giveaway para magdalos-dalos na magmadali.
Mga social media hack
Nangyari ang isang high-profile na bersyon nito noong Hulyo 2020, kung saan na-hack ang mga Twitter account ng mga kilalang celebrity at organisasyon. Kasabay nito, nag-post ang hacker ng Bitcoin giveaway sa mga na-hack na account. Kahit mabilis napansin at tinanggal ang mga mapanlinlang na tweet, nakapagtangay pa rin ang mga hacker ng 11 bitcoin (o katumbas ng $500,000 noong Setyembre 2021).
Celebrity giveaway
Ang celebrity giveaway ay isa pang karaniwang anyo ng giveaway scam. Ang mga scammer ay kukuha ng recorded na video interview o conference talk ng isang celebrity at ila-livestream ito sa YouTube - kaya magmumukhang nagbibigay ang celebrity ng live video interview na nag-eendorso ng cryptocurrency giveaway.
Si Vitalik Buterin ang pinakakaraniwang ginagamit sa scam na ito, ngunit marami pang ibang kilalang tao sa mundo ng crypto ang ginagamit (tulad nina Elon Musk o Charles Hoskinson). Nagmumukhang lehitimo ang livestream ng mga scammer dahil sa pagsasama ng kilalang tao (kaduda-duda ito, pero kasama naman si Vitalik, kaya ok ito!).
Palaging mga scam ang mga giveaway. Kung ipapadala mo ang iyong pondo sa mga account na ito, hindi mo na talaga ito mababawi.
Mga support scam
Ang cryptocurrency ay isang bago pa at hindi pa lubos na nauunawaang teknolohiya. Ang karaniwang scam na umaabuso sa ganitong sitwasyon ang support scam, kung saan ginagaya ng mga scammer ang mga support personnel para sa mga sikat na wallet, exchange, o blockchain.
Nangyayari sa Discord ang karamihan sa mga usapan tungkol sa Ethereum. Karaniwang hahanapin ng mga support scammer ang kanilang target sa pamamagitan ng paghahanap ng mga tanong na nauugnay sa suporta sa mga pampublikong channel sa discord at pagkatapos ay pagpapadala sa nagtanong ng pribadong mensahe upang mag-alok ng suporta. Sa pamamagitan ng pagkuha ng tiwala, sinusubukan kang linlangin ng mga support scammer hanggang sa ibunyag mo ang iyong mga pribadong key o magpadala ka ng pera sa kanilang mga wallet.
Bilang pangkalahatang panuntunan, hinding-hindi makikipag-usap sa iyo ang staff sa pamamagitan ng mga pribado at hindi opisyal na channel. Ilang simpleng bagay na dapat tandaan kapag nakikipag-ugnayan sa suporta:
- Huwag ibahagi ang iyong mga pribadong key, seed phrase o password
- Huwag hayaang magkaroon ng remote access ang kahit sino sa iyong computer
- Huwag makipag-ugnayan sa labas ng mga itinakdang channel ng organisasyon
'Eth2' token scam
Bago ang The Merge, ginamit ng mga scammer ang kalituhan sa terminong 'Eth2' para hikayatin ang mga user na ipamalit ang kanilang ETH sa 'ETH2' token. Walang 'ETH2', at walang ibang lehitimong token na inilunsad kasabay ng The Merge. Ang ETH na pagmamay-ari mo bago ang The Merge ay kapareho ng ETH ngayon. Walang kinakailangang gawin kaugnay ng iyong ETH upang isaalang-alang ang pagbabago mula sa patunay sa trabaho patungo sa patunay sa stake.
Maaaring magmukhang "suporta" ang mga scammer, na magsasabing kung idedeposito mo ang iyong ETH, makakatanggap ka ng 'ETH2' bilang kabayaran. Walang opisyal na suporta mula sa Ethereum, at walang bagong token. Huwag ibahagi ang iyong wallet seed phrase sa sinuman.
May mga derivative token/ticker na maaaring kumatawan sa staked ETH (ibig sabihin, rETH mula sa Rocket Pool, stETH mula sa Lido, ETH2 mula sa Coinbase), ngunit hindi mo kailangang "mag-migrate" patungo sa mga ito.
Mga phishing scam
Ang mga phishing scam ay isa pang karaniwang paraan ng mga scammer upang subukang magnakaw ng pondo mula sa iyong wallet.
Sa ilang phishing email, pinapa-click sa mga user ang mga link na magre-redirect sa kanila sa mga pekeng website, ipapalagay sa kanila ang kanilang seed phrase, ipapa-reset ang kanilang password o magpapapadala ng ETH. May ibang hihilingin sa iyong mag-install ng malware nang hindi mo nalalaman para ma-infect ang computer mo at bigyan ng access ang mga scammer sa mga file ng iyong computer.
Kung makakatanggap ka ng email mula sa hindi kilalang sender, tandaan:
- Huwag buksan ang link o attachment mula sa mga email address na hindi mo kilala
- Huwag ibunyag ang iyong personal na impormasyon o mga password sa sinuman
- I-delete ang mga email mula sa mga hindi kilalang sender
Iba pang detalye tungkol sa pag-iwas sa mga phishing scam(opens in a new tab)
Mga crypto trading broker scam
Ang mga scam na broker ng crypto trading ay nagpapanggap na sila ay mga espesyalistang broker ng cryptocurrency na mag-aalok na kunin ang iyong pera at mamuhunan sa iyong ngalan. Pagkatanggap ng scammer sa iyong pondo, maaari ka niyang paikutin at maaaring hilingin sa iyong magpadala pa ng pondo, upang hindi mo mapalampas ang mas malaking tubo sa investment, o maaari siyang tuluyang maglaho.
Madalas na nakahanap ang mga mapanlinlang na ito ng mga target sa pamamagitan ng paggamit ng mga pekeng account sa YouTube upang simulan ang tila natural na pag-uusap tungkol sa 'broker'. Kadalasang ina-upvote ang mga pag-uusap na ito para mas maging lehitimo, pero galing sa mga bot account ang mga upvote.
Huwag ipaubaya sa mga hindi kakilala sa internet ang pag-invest. Mawawala ang iyong crypto.
Mga crypto mining pool scam
Mula noong Setyembre 2022, hindi na maaaring magmina sa Ethereum. Ngunit mayroon pa ring mga mining pool scam. Sa mga mining pool scam, may mga taong nakikipag-ugnayan sa iyo nang basta-basta at nagsasabing malaki ang kikitain mo kapag sumali ka sa isang Ethereum mining pool. Mangangako at patuloy na makikipag-ugnayan sa iyo ang scammer kahit gaano pa katagal. Susubukan ng scammer na kumbinsihin ka na kung sumali ka sa isang Ethereum mining pool, ang iyong cryptocurrency ay gagamitin upang gumawa ng ETH at tatanggap ka ng mga tubo sa anyo ng ETH. Mapapansin mong may bumabalik sa iyong cryptocurrency. Simpleng hakbang ito upang maengganyo kang mag-invest pa. Sa bandang huli, ipapadala ang lahat ng pondo mo sa hindi kilalang address, at maglalaho ang scammer, o sa ilang sitwasyon, patuloy siyang makikipag-ugnayan, tulad ng nangyari sa kamakailang insidente.
Sa pangkalahatan: mag-ingat sa mga taong nakikipag-ugnayan sa iyo sa social media na hinihikayat kang sumali sa isang mining pool. Kapag nawala na ang iyong crypto, hindi na ito maibabalik.
Ilang bagay na dapat tandaan:
- Mag-ingat sa sinumang nakikipag-ugnayan sa iyo tungkol sa paraan para pagkakakitaan ang iyong crypto
- Mag-research tungkol sa staking, mga liquidity pool, o iba pang paraan ng pag-invest ng iyong crypto
- Bihirang maging lehitimo ang mga ganitong scheme. Kung lehitimo ang mga ito, malamang na mainstream na at malalaman mo ang mga ito.
Nawalan ng $200k ang isang lalaki sa mining pool scam(opens in a new tab)
Mga airdrop scam
Sa mga airdrop scam, may scam project na mag-e-airdrop ng asset (NFT, token) sa iyong wallet at magpapapunta sa iyo sa isang scam na website para i-claim ang in-airdrop na asset. Ipa-prompt kang mag-sign in gamit ang iyong Ethereum wallet at "aprubahan" ang isang transaksyon kapag sinusubukang mag-claim. Ikokompromiso ng transaksyong ito ang iyong account sa pamamagitan ng pagpapadala ng iyong mga pampubliko at pribadong key sa scammer. Sa alternatibong anyo ng scam na ito, maaaring ipakumpirma sa iyo ang isang transaksyon na nagpapadala ng pondo sa account ng scammer.
Iba pang detalye tungkol sa mga airdrop scam(opens in a new tab)
Pangunahing kaalaman sa seguridad sa web
Gumamit ng mga password na mahirap hulaan
Mahigit 80% ng mga pag-hack sa ccount ay resulta ng mga madaling hulaan o ninakaw na password(opens in a new tab). Pinakamainam na gumamit ng mahabang kumbinasyon ng mga character, numero at simbolo para mapanatili ang seguridad ng iyong account.
Ang karaniwang pagkakamali ay ang paggamit ng karaniwan, nauugnay na mga salita. Ang mga ganitong uri ng mga password ay hindi secure dahil malaki ang tsansang mabiktima ang mga ito ng simpleng diskarte sa pag-hack na kilala bilang dictionary attack.
Halimbawa ng password na madaling hulaan: CuteFluffyKittens!
Halimbawa ng password na mahirap hulaan: ymv*azu.EAC8eyp8umf
Isa pang karaniwang pagkakamali ang paggamit ng mga password na madaling hulaan o malaman sa pamamagitan ng social engineering(opens in a new tab). Mapapataas ang panganib na ma-hack ang password mo sa paglalagay ng pangalan sa pagkadalaga ng iyong nanay, mga pangalan ng iyong mga anak o alagang hayop, o mga petsa ng kapanganakan sa iyong password.
Mga mainam na kagawian para sa password:
- Pahabain ang iyong mga password hangga't pinapayagan ka ng iyong password generator o ng form na sinasagutan mo na gawin ito
- Paghalo-haluin ang malalaking titik, maliliit na titik, mga numero at mga simbolo
- Huwag gamitin ang mga personal na detalye, tulad ng mga apelyido, sa iyong password
- Iwasan ang mga karaniwang salita
Iba pang detalye tungkol sa paggawa ng mga password na mahirap hulaan(opens in a new tab)
Gumamit ng mga walang katulad na password para sa lahat
Ang isang mahirap hulaan na password na nalantad sa isang data breach ay hindi na maituturing na mahirap hulaan. Sa website na Have I Been Pwned(opens in a new tab) ay makikita mo kung nabiktima ang iyong mga account sa anumang data breach na naka-store sa kanilang database. Kung nabiktima ang mga ito, dapat mong palitan kaagad ang mga password. Kapag gumamit ng mga walang katulad na password para sa bawat account, mapapaliit ang panganib na magkaroon ng access ang mga hacker sa lahat ng account mo kapag nakompromiso ang isa sa mga password mo.
Gumamit ng password manager
Hindi mainam na tandaan ang mga password na mahirap hulaan at walang katulad para sa bawat account mo. Ang password manager ay nag-aalok ng secure at naka-encrypt na storage para sa lahat ng iyong password na maa-access mo gamit ang isang mahirap hulaang master password. Nagmumungkahi rin ito ng mga password na mahirap hulaan kapag nagsa-sign up para sa bagong serbisyo, kaya hindi mo kailangang gumawa ng sarili mong password. Aabisuhan ka rin ng maraming password manager kung nabiktima ka sa isang data breach, para mapalitan mo ang mga password bago ang anumang mapaminsalang atake.
Sumubok ng password manager:
- Bitwarden(opens in a new tab)
- KeePass(opens in a new tab)
- KeePass(opens in a new tab)
- O tingnan ang iba pang inirerekomendang password manager(opens in a new tab)
Gumamit ng Two-Factor Authentication
Minsan maaaring hingin sa iyo na patunayan ang iyong pagkakakilanlan sa pamamagitan ng mga natatanging patunay. Kilala ito bilang mga salik. Ang tatlong pangunahing mga salik ay:
- Isang bagay na alam mo (tulad ng password o panseguridad na tanong)
- Isang bagay na nauugnay sa iyo (tulad ng fingerprint o scanner ng iris/mukha)
- Isang bagay na pagmamay-ari mo (isang security key o authentication app sa iyong telepono)
Ang paggamit ng Two-Factor Authentication (2FA) ay nagbibigay ng karagdagang security factor para sa iyong mga online account. Tinitiyak ng 2FA na ang pagkakaroon lamang ng iyong password ay hindi sapat upang ma-access ang isang account. Pinakakaraniwan, ang pangalawang factor ay isang randomized na 6-digit code, na kilala bilang time-based one-time password (TOTP), na maa-access mo sa pamamagitan ng isang authenticator app tulad ng Google Authenticator o Authy. Ito ay gumagana bilang isang factor na "isang bagay na pagmamay-ari mo" dahil ang seed na gumagawa ng timed code ay naka-store sa iyong device.
Mga security key
Ang isang security key ay mas masulong at secure na uri ng 2FA. Ang mga security key ay mga physical hardware authentication device na gumagana katulad ng mga authenticator app. Ang paggamit ng security key ang pinakaligtas na paraan ng 2FA. Marami sa mga key na ito ang gumagamit ng FIDO Universal 2nd Factor (U2F) standard. Magbasa pa tungkol sa FIDO U2F(opens in a new tab).
Panoorin ang iba pang impormasyon tungkol sa 2FA:
I-uninstall ang mga browser extension
Ang mga browser extension tulad ng mga Chrome extension o Add-on para sa Firefox ay maaaring magdagdag ng kapaki-pakinabang na functionality ng browser at mapaganda ang karanasan ng user, pero may kaakibat na panganib ang mga ito. Bilang default, ang karamihan sa mga browser extension ay humihiling ng access para 'i-read at baguhin ang data ng site', na nagbibigay sa kanila ng kakayahang gawin halos anumang bagay sa iyong data. Ang mga Chrome extension ay palaging awtomatikong naa-update, kaya ang isang dating ligtas na extension ay maaaring ma-update sa ibang pagkakataon at magdagdag ng mapaminsalang code. Hindi sinusubukang nakawin ng karamihan sa mga browser extension ang iyong data, pero dapat mong tandaan na kaya nila itong gawin.
Manatiling ligtas sa pamamagitan ng:
- Pag-install lang ng mga browser extension mula sa mga pinagkakatiwalaang source
- Pag-aalis ng mga hindi ginagamit na browser extension
- Lokal na pag-install ng mga Chrome extension para ihinto ang awtomatikong pag-update (Advanced)
Iba pang detalye tungkol sa mga panganib ng mga browser extension(opens in a new tab)
Karagdagang pagbabasa
Seguridad sa web
- Hanggang 3 milyong device na na-infect ng mga Chrome at Edge add-on na may malware(opens in a new tab) - Dan Goodin
- Ano ang security key?(opens in a new tab) - Coinbase
- Ano ang security key?(opens in a new tab) - Coinbase
Seguridad ng Crypto
- Pagprotekta sa Sarili at sa Iyong Pondo(opens in a new tab) - MyCrypto
- Mga isyu sa seguridad sa karaniwang crypto communication software.(opens in a new tab) - Salus
- Gabay sa Seguridad para sa Mga Walang Alam at Maging sa Mga May Alam(opens in a new tab) - MyCrypto
- Seguridad sa Crypto: Mga Password at Authentication(opens in a new tab) - Andreas M. Antonopoulos
Pagbibigay-kaalaman tungkol sa scam
- Gabay: Paano tukuyin ang mga scam token
- Pananatiling Ligtas: Mga Karaniwang Scam(opens in a new tab) - MyCrypto
- Pag-iwas sa Mga Scam(opens in a new tab) - Bitcoin.org
- Twitter thread tungkol sa mga karaniwang crypto phishing email at message(opens in a new tab) - Taylor Monahan