Keamanan Dunia Enkripsi: Wawancara dengan CEO BlockSec Zhou Yajin
Pembawa acara: Alex, Mitra Penelitian Mint Ventures
Tamu: Zhou Yajin, CEO perusahaan keamanan blockchain BlockSec
Waktu perekaman: 2025.3.28
Layanan dan sasaran pelanggan BlockSec
**Alex:**Pada episode kali ini, kita akan membahas topik yang sangat relevan bagi semua orang, yaitu keamanan di dunia enkripsi. Sebelum kita menghadapi risiko yang nyata, kita sering kali berpikir bahwa kita tidak akan menjadi korban dari peristiwa keamanan yang ada di berita. Bagaimana cara membangun firewall untuk aset kita, sehingga kita bisa berinvestasi dalam lingkungan yang aman, adalah pelajaran wajib sebelum memulai perjalanan enkripsi kita. Pada podcast kali ini, kami mengundang Zhou Yajin dari perusahaan keamanan blockchain BlockSec, untuk berbicara tentang topik keamanan enkripsi. Silakan, Pak Zhou, sapa kami.
Zhou Yajin: Halo semuanya, saya Zhou Yajin, saat ini saya menjabat sebagai CEO di BlockSec, dan saya juga seorang peneliti di Universitas Zhejiang yang bekerja di bidang keamanan siber. Senang bertemu dengan kalian semua.
**Alex:**Baiklah, mari kita masuk ke topik utama hari ini. Saya percaya banyak pendengar mungkin tidak begitu memahami perusahaan keamanan blockchain dan layanan keamanan. Silakan, Guru Zhou, perkenalkan kepada kami tentang BlockSec, apa saja layanan yang kalian tawarkan, dan jenis orang atau lembaga seperti apa yang akan menjadi klien kalian.
Zhou Yajin: BlockSec adalah perusahaan keamanan Web3 yang didirikan pada tahun 2021. Ketika membahas keamanan Web3, yang mungkin pertama kali terlintas di pikiran adalah audit keamanan. Sebenarnya, ruang lingkup bisnis BlockSec tidak hanya terbatas pada audit keamanan, kami juga menyediakan serangkaian produk dan layanan keamanan lainnya. Secara khusus, layanan kami dapat dibagi menjadi tiga bagian besar. Bagian pertama kami sebut sebagai keamanan untuk protokol on-chain. Protokol on-chain adalah smart contract yang diterapkan di blockchain untuk melakukan beberapa aktivitas DeFi atau NFT, atau aktivitas lainnya. Bagaimana cara menjamin keamanan kontrak ini? BlockSec menyediakan layanan audit keamanan dan produk pemantauan keamanan. Bagian kedua yang kami fokuskan adalah keamanan aset. Yang dimaksud dengan keamanan aset adalah aset yang dimiliki pengguna, misalnya aset tersebut berada di dompet kontrak mereka sendiri, atau diinvestasikan dalam beberapa protokol di blockchain, bagaimana cara menjamin keamanan aset pengguna ini juga merupakan salah satu ruang lingkup layanan BlockSec. Bagian ketiga adalah kepatuhan dan regulasi. Kami menemukan bahwa semakin banyak lembaga keuangan tradisional yang masuk ke industri Crypto. Termasuk baru-baru ini kami melihat berita bahwa bank-bank tradisional di AS menerbitkan aset stablecoin di blockchain, termasuk Crypto yang masuk ke industri pembayaran lintas batas. Sebenarnya, ketika lembaga keuangan tradisional ini memasuki industri ini, itu membawa tantangan bagi regulasi, karena regulator tidak tahu bagaimana cara mengatur, dan lembaga-lembaga ini juga tidak tahu bagaimana untuk mematuhi. Jadi kami juga membantu regulator untuk mengawasi para pemain yang masuk ke industri Crypto, atau membantu lembaga-lembaga tradisional yang masuk ke industri Crypto untuk mematuhi. Ini adalah tiga ruang lingkup bisnis kami.
Kami memiliki jangkauan klien yang cukup luas. Yang dapat dipikirkan orang adalah proyek-proyek yang melakukan keuangan terdesentralisasi di blockchain atau layanan lainnya, seperti platform yang menyediakan Lending di blockchain, platform perdagangan terdesentralisasi, dan proyek-proyek ini adalah klien kami. Kami dapat membantu mereka melakukan audit keamanan sebelum penerapan kontrak pintar di blockchain, dengan meninjau dari sudut pandang keamanan apakah kontrak pintar yang mereka kembangkan memiliki celah keamanan. Jika ada celah keamanan, perlu diperbaiki segera. Selain itu, setelah protokol mereka diterapkan di blockchain, kami juga memiliki platform pemantauan 7×24 jam untuk memantau risiko keamanan protokol mereka. Jika terjadi risiko keamanan, platform kami dapat memberi tahu protokol dengan cepat dan dapat secara otomatis memblokir risiko dan serangan. Jadi, para pengembang dan proyek yang menerapkan kontrak pintar di blockchain ini adalah salah satu jenis klien tipikal kami. Jenis klien tipikal kedua adalah orang-orang yang memiliki aset, mungkin beberapa klien bernilai tinggi, yang memiliki beberapa aset di dompet kontrak, atau klien bernilai tinggi ini akan berinvestasi di beberapa protokol di blockchain. Layanan dan produk kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan dengan lebih baik. Seperti sisi depan dan belakang koin, dari sudut pandang penyedia proyek protokol, kami dapat membantu mereka meningkatkan keamanan protokol. Dari sudut pandang klien bernilai tinggi yang berinvestasi di protokol mereka, kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan. Begitu protokol yang mereka investasikan memiliki risiko keamanan, misalnya jika diserang, mereka perlu dapat menarik kembali dana mereka segera. Jenis klien ketiga adalah yang saya sebutkan sebelumnya tentang pengawasan dan kepatuhan, jenis klien ini terutama adalah beberapa lembaga pengawas, seperti Komisi Sekuritas dan Futures Hong Kong yang juga merupakan klien kami, serta beberapa lembaga penegak hukum luar negeri yang perlu menyelidiki kejahatan terkait mata uang digital, mereka perlu menggunakan alat dan platform kami untuk memudahkan pengambilan bukti, pelacakan dana, dan aktivitas penyelidikan lainnya. Ini secara keseluruhan adalah bisnis kami dan cakupan klien kami.
Tentang tiga saran keamanan enkripsi
**Alex:**Mengerti, baru saja Guru Zhou membahas tentang jenis pelanggan, apa kebutuhan mereka, dan situasi industri secara umum. Jadi, pertanyaan kedua mungkin lebih terkait dengan investor pribadi, terutama karena banyak pendengar kita adalah orang-orang yang baru saja mulai masuk ke Web3 untuk belajar dan mencoba berinvestasi. Jika Anda memiliki seorang teman yang baru saja memasuki bidang investasi enkripsi, dan dia tahu bahwa Anda menyediakan layanan keamanan enkripsi, mohon berikan tiga saran tentang keamanan enkripsi untuknya, apa saja tiga saran yang akan Anda berikan?
Zhou Yajin: Pertanyaan ini sangat bagus. Teman-teman di sekitar saya juga sering bertanya tentang beberapa saran keamanan, mereka juga ingin memasuki industri ini, tetapi mereka mendengar bahwa banyak orang tampaknya menghadapi beberapa risiko. Kami pernah memiliki lelucon: jika Anda masuk ke dalam lingkaran Crypto dan tidak pernah ditipu atau ditipu, Anda tidak akan menjadi pemain berpengalaman di bidang ini. Tentu saja ini hanya lelucon, tetapi Anda bisa melihat bahwa ada banyak risiko dalam industri ini. Jika harus memberikan tiga saran, saran pertama pasti adalah tentang perlindungan kunci pribadi. Di bidang Crypto, cara untuk membuktikan bahwa Anda memiliki dana tersebut, sebenarnya adalah dengan menggunakan kunci pribadi yang Anda miliki untuk membuktikan kepemilikan akun tersebut. Kunci pribadi adalah sekumpulan angka, yang juga tidak terikat pada identitas pribadi Anda. Sekumpulan angka ini, jika hilang atau bocor, orang lain bisa memiliki kendali atas dana Anda seperti Anda sendiri. Ini sangat berbeda dengan dunia nyata. Di dunia nyata, jika kata sandi bank Anda bocor, Anda bisa menelepon bank untuk meminta membekukan akun, orang lain tidak bisa mengambil uang. Tetapi di dunia Crypto, jika kunci pribadi Anda bocor, maka orang yang memiliki kunci pribadi Anda dapat tanpa batasan mengambil dana Anda dari akun Anda. Secara umum, ada beberapa cara untuk melindungi kunci pribadi, misalnya kita memiliki dompet perangkat keras, menggunakan dompet kontrak, atau menggunakan aplikasi di ponsel untuk melindungi kunci pribadi. Setiap metode sebenarnya memiliki kelebihan dan kekurangan masing-masing. Berdasarkan pengalaman pribadi saya dan pengalaman keseluruhan beberapa teman keamanan di sekitar kita, prinsip dasar adalah menyimpan frasa pemulihan kunci pribadi, simpan di brankas, baik itu brankas di rumah Anda atau bank, simpan dengan baik, jangan sering dipindahkan, pada dasarnya Anda tidak akan membutuhkannya. Kemudian gunakan perangkat yang relatif dapat dipercaya, baik itu dompet perangkat keras atau ponsel, untuk menyimpan kunci pribadi Anda. Ponsel ini harus merupakan perangkat khusus, jangan melakukan aktivitas lain, hanya digunakan untuk mengelola aset digital Anda sendiri. Ini adalah saran pertama. Saran kedua adalah ketika melakukan transaksi di blockchain, pastikan Anda memiliki kesadaran akan keamanan dan risiko. Pada dasarnya, Anda hanya perlu mengingat satu kalimat: tidak ada yang namanya makan siang gratis. Kami menemukan bahwa saat melakukan transaksi di blockchain, risiko phishing yang dihadapi pengguna sangat besar. Termasuk banyak KOL dan OG di lingkaran crypto yang kita kenal juga pernah mengalami serangan phishing dan kehilangan banyak dana. Jika ada situs yang tidak jelas meminta Anda untuk menghubungkan dompet untuk mendapatkan hadiah airdrop yang disebut, saat itu Anda perlu berhati-hati, pasti perlu memiliki kesadaran akan keamanan. Saran ketiga adalah Anda perlu sedikit memahami pengetahuan dasar tentang aset kripto. Pengetahuan dasar ini merujuk pada konsep wewenang dalam aset kripto. Ini berbeda dari keuangan tradisional. Misalnya, jika Anda memiliki jenis aset digital, USDT atau USDC, melalui tanda tangan di blockchain, Anda dapat memberikan wewenang atas aset kepada kontrak atau pengguna lain untuk digunakan, dan wewenang ini hanya memerlukan tanda tangan dari dompet Anda untuk menandatangani sejumlah hal yang aneh yang tidak Anda mengerti. Jadi saat menandatangani tanda tangan dompet, karena Anda tidak terlalu mengerti atau tertipu, Anda menandatangani transaksi wewenang, maka orang lain dapat menggunakan semua aset digital Anda. Jadi Anda perlu sedikit memahami hal ini tentang wewenang, agar tidak salah menandatangani transaksi wewenang saat menandatangani tanda tangan dompet. Singkatnya, saran dasar adalah: yang pertama adalah melindungi kunci pribadi Anda, memberikan beberapa metode yang dapat diterapkan; yang kedua adalah saat melakukan transaksi di blockchain, harus selalu berhati-hati, memiliki kesadaran akan keamanan agar tidak tertipu; yang ketiga adalah harus memiliki pemahaman dasar tentang mekanisme wewenang Crypto, sehingga tidak salah menandatangani transaksi wewenang.
**Alex:**Saya sebenarnya memiliki cukup banyak teman dengan kekayaan tinggi di sekitar saya, mereka juga merupakan OG atau ahli di industri ini. Seharusnya, kesadaran keamanan yang Anda sebutkan itu, mereka semua memiliki sedikit pemahaman. Namun, setiap tahun saya mendengar tentang beberapa orang kaya di sekitar saya yang dibobol. Di industri ini ada sebuah pernyataan yang mengatakan bahwa jika seorang hacker profesional menargetkan Anda, dan dia tahu dompet Anda memiliki uang, jika dia menggunakan semua sumber daya yang dapat digunakan, Anda biasanya sulit untuk lolos. Apakah Anda merasa pernyataan semacam ini masuk akal? Apakah benar seperti itu?
Zhou Yajin: Pertanyaanmu sangat bagus. Faktanya, masalah keamanan, terutama dalam hal keamanan kripto, pada dasarnya adalah konfrontasi yang tidak seimbang. Jika Anda memiliki cukup aset di dompet Anda, Anda dapat dengan mudah menjadi target serangan yang ditargetkan. Begitu Anda menjadi target serangan yang ditargetkan orang lain, orang lain akan menggunakan banyak sumber daya, apakah itu sumber daya pekerja sosial, sumber daya teknis atau sumber daya lainnya, untuk merancang metode serangan terhadap Anda sesuai dengan pola perilaku sehari-hari dan kebiasaan hidup target. Dalam hal ini, Anda tidak dapat mengatakan 100%, tetapi kesulitan pertahanan Anda sangat tinggi, karena orang lain menggunakan banyak sumber daya untuk melawan Anda, dan Anda hanya memiliki diri Anda sendiri. Jadi ini adalah konfrontasi yang sangat asimetris. Dalam hal ini, saya pikir prinsip dasarnya, yang pertama adalah bahwa kita orang Tionghoa memiliki pepatah yang disebut kekayaan tidak menunjukkan kekayaan, yaitu, Anda tidak boleh mengungkapkan aset yang Anda miliki, dan menghindari membocorkan hubungan identitas antara identitas offline pribadi Anda dan aset on-chain. Poin kedua adalah bahwa meskipun Anda adalah pengguna dengan kekayaan bersih tinggi dan mungkin telah dibocorkan oleh orang lain, maka Anda perlu melakukan pekerjaan yang baik untuk memisahkan aset sebanyak mungkin. Artinya, aset yang biasanya Anda operasikan setiap hari mungkin mencapai 100.000 yuan di dompet khusus, dan yang lain hanya dapat menipu paling banyak 100.000 yuan. Dan banyak aset Anda yang lain harus ada di dompet yang biasanya tidak perlu Anda gunakan. Jika Anda perlu menggunakan aset ini, Anda perlu menemukan ahli keamanan untuk membantu Anda meninjau serangkaian proses dan spesifikasi operasional yang lebih baik, yang dapat menghindari risiko yang sangat besar.
Tiga kejadian keamanan yang paling berkesan
**Alex:**Saya mengerti, saran ini memang sangat penting. Bisakah Anda membagikan tiga kejadian keamanan yang paling mengesankan selama Anda berkecimpung di bidang ini? Bisa jadi pengalaman pribadi Anda sendiri, atau pengalaman teman-teman di sekitar Anda, atau beberapa hal yang Anda dengar.
Zhou Yajin: Saya bisa berbagi dengan semua orang tentang kejadian keamanan yang pernah kami tangani secara langsung dan yang sangat mengesankan. Contoh pertama yang saya ingat adalah pada sekitar tanggal 10 Februari 2023, ada sebuah protokol di blockchain yang diserang. Ini adalah platform yang menggabungkan pinjaman dengan fungsi lainnya. Protokol ini memiliki celah keamanan, dan hacker memanfaatkan celah ini,
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
CEO BlockSec Zhou Yajin membahas keamanan Web3: Perlindungan Kunci Pribadi, Risiko Transaksi, dan Otorisasi Aset
Keamanan Dunia Enkripsi: Wawancara dengan CEO BlockSec Zhou Yajin
Pembawa acara: Alex, Mitra Penelitian Mint Ventures
Tamu: Zhou Yajin, CEO perusahaan keamanan blockchain BlockSec
Waktu perekaman: 2025.3.28
Layanan dan sasaran pelanggan BlockSec
**Alex:**Pada episode kali ini, kita akan membahas topik yang sangat relevan bagi semua orang, yaitu keamanan di dunia enkripsi. Sebelum kita menghadapi risiko yang nyata, kita sering kali berpikir bahwa kita tidak akan menjadi korban dari peristiwa keamanan yang ada di berita. Bagaimana cara membangun firewall untuk aset kita, sehingga kita bisa berinvestasi dalam lingkungan yang aman, adalah pelajaran wajib sebelum memulai perjalanan enkripsi kita. Pada podcast kali ini, kami mengundang Zhou Yajin dari perusahaan keamanan blockchain BlockSec, untuk berbicara tentang topik keamanan enkripsi. Silakan, Pak Zhou, sapa kami.
Zhou Yajin: Halo semuanya, saya Zhou Yajin, saat ini saya menjabat sebagai CEO di BlockSec, dan saya juga seorang peneliti di Universitas Zhejiang yang bekerja di bidang keamanan siber. Senang bertemu dengan kalian semua.
**Alex:**Baiklah, mari kita masuk ke topik utama hari ini. Saya percaya banyak pendengar mungkin tidak begitu memahami perusahaan keamanan blockchain dan layanan keamanan. Silakan, Guru Zhou, perkenalkan kepada kami tentang BlockSec, apa saja layanan yang kalian tawarkan, dan jenis orang atau lembaga seperti apa yang akan menjadi klien kalian.
Zhou Yajin: BlockSec adalah perusahaan keamanan Web3 yang didirikan pada tahun 2021. Ketika membahas keamanan Web3, yang mungkin pertama kali terlintas di pikiran adalah audit keamanan. Sebenarnya, ruang lingkup bisnis BlockSec tidak hanya terbatas pada audit keamanan, kami juga menyediakan serangkaian produk dan layanan keamanan lainnya. Secara khusus, layanan kami dapat dibagi menjadi tiga bagian besar. Bagian pertama kami sebut sebagai keamanan untuk protokol on-chain. Protokol on-chain adalah smart contract yang diterapkan di blockchain untuk melakukan beberapa aktivitas DeFi atau NFT, atau aktivitas lainnya. Bagaimana cara menjamin keamanan kontrak ini? BlockSec menyediakan layanan audit keamanan dan produk pemantauan keamanan. Bagian kedua yang kami fokuskan adalah keamanan aset. Yang dimaksud dengan keamanan aset adalah aset yang dimiliki pengguna, misalnya aset tersebut berada di dompet kontrak mereka sendiri, atau diinvestasikan dalam beberapa protokol di blockchain, bagaimana cara menjamin keamanan aset pengguna ini juga merupakan salah satu ruang lingkup layanan BlockSec. Bagian ketiga adalah kepatuhan dan regulasi. Kami menemukan bahwa semakin banyak lembaga keuangan tradisional yang masuk ke industri Crypto. Termasuk baru-baru ini kami melihat berita bahwa bank-bank tradisional di AS menerbitkan aset stablecoin di blockchain, termasuk Crypto yang masuk ke industri pembayaran lintas batas. Sebenarnya, ketika lembaga keuangan tradisional ini memasuki industri ini, itu membawa tantangan bagi regulasi, karena regulator tidak tahu bagaimana cara mengatur, dan lembaga-lembaga ini juga tidak tahu bagaimana untuk mematuhi. Jadi kami juga membantu regulator untuk mengawasi para pemain yang masuk ke industri Crypto, atau membantu lembaga-lembaga tradisional yang masuk ke industri Crypto untuk mematuhi. Ini adalah tiga ruang lingkup bisnis kami.
Kami memiliki jangkauan klien yang cukup luas. Yang dapat dipikirkan orang adalah proyek-proyek yang melakukan keuangan terdesentralisasi di blockchain atau layanan lainnya, seperti platform yang menyediakan Lending di blockchain, platform perdagangan terdesentralisasi, dan proyek-proyek ini adalah klien kami. Kami dapat membantu mereka melakukan audit keamanan sebelum penerapan kontrak pintar di blockchain, dengan meninjau dari sudut pandang keamanan apakah kontrak pintar yang mereka kembangkan memiliki celah keamanan. Jika ada celah keamanan, perlu diperbaiki segera. Selain itu, setelah protokol mereka diterapkan di blockchain, kami juga memiliki platform pemantauan 7×24 jam untuk memantau risiko keamanan protokol mereka. Jika terjadi risiko keamanan, platform kami dapat memberi tahu protokol dengan cepat dan dapat secara otomatis memblokir risiko dan serangan. Jadi, para pengembang dan proyek yang menerapkan kontrak pintar di blockchain ini adalah salah satu jenis klien tipikal kami. Jenis klien tipikal kedua adalah orang-orang yang memiliki aset, mungkin beberapa klien bernilai tinggi, yang memiliki beberapa aset di dompet kontrak, atau klien bernilai tinggi ini akan berinvestasi di beberapa protokol di blockchain. Layanan dan produk kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan dengan lebih baik. Seperti sisi depan dan belakang koin, dari sudut pandang penyedia proyek protokol, kami dapat membantu mereka meningkatkan keamanan protokol. Dari sudut pandang klien bernilai tinggi yang berinvestasi di protokol mereka, kami dapat membantu mereka memantau keamanan protokol yang mereka investasikan. Begitu protokol yang mereka investasikan memiliki risiko keamanan, misalnya jika diserang, mereka perlu dapat menarik kembali dana mereka segera. Jenis klien ketiga adalah yang saya sebutkan sebelumnya tentang pengawasan dan kepatuhan, jenis klien ini terutama adalah beberapa lembaga pengawas, seperti Komisi Sekuritas dan Futures Hong Kong yang juga merupakan klien kami, serta beberapa lembaga penegak hukum luar negeri yang perlu menyelidiki kejahatan terkait mata uang digital, mereka perlu menggunakan alat dan platform kami untuk memudahkan pengambilan bukti, pelacakan dana, dan aktivitas penyelidikan lainnya. Ini secara keseluruhan adalah bisnis kami dan cakupan klien kami.
Tentang tiga saran keamanan enkripsi
**Alex:**Mengerti, baru saja Guru Zhou membahas tentang jenis pelanggan, apa kebutuhan mereka, dan situasi industri secara umum. Jadi, pertanyaan kedua mungkin lebih terkait dengan investor pribadi, terutama karena banyak pendengar kita adalah orang-orang yang baru saja mulai masuk ke Web3 untuk belajar dan mencoba berinvestasi. Jika Anda memiliki seorang teman yang baru saja memasuki bidang investasi enkripsi, dan dia tahu bahwa Anda menyediakan layanan keamanan enkripsi, mohon berikan tiga saran tentang keamanan enkripsi untuknya, apa saja tiga saran yang akan Anda berikan?
Zhou Yajin: Pertanyaan ini sangat bagus. Teman-teman di sekitar saya juga sering bertanya tentang beberapa saran keamanan, mereka juga ingin memasuki industri ini, tetapi mereka mendengar bahwa banyak orang tampaknya menghadapi beberapa risiko. Kami pernah memiliki lelucon: jika Anda masuk ke dalam lingkaran Crypto dan tidak pernah ditipu atau ditipu, Anda tidak akan menjadi pemain berpengalaman di bidang ini. Tentu saja ini hanya lelucon, tetapi Anda bisa melihat bahwa ada banyak risiko dalam industri ini. Jika harus memberikan tiga saran, saran pertama pasti adalah tentang perlindungan kunci pribadi. Di bidang Crypto, cara untuk membuktikan bahwa Anda memiliki dana tersebut, sebenarnya adalah dengan menggunakan kunci pribadi yang Anda miliki untuk membuktikan kepemilikan akun tersebut. Kunci pribadi adalah sekumpulan angka, yang juga tidak terikat pada identitas pribadi Anda. Sekumpulan angka ini, jika hilang atau bocor, orang lain bisa memiliki kendali atas dana Anda seperti Anda sendiri. Ini sangat berbeda dengan dunia nyata. Di dunia nyata, jika kata sandi bank Anda bocor, Anda bisa menelepon bank untuk meminta membekukan akun, orang lain tidak bisa mengambil uang. Tetapi di dunia Crypto, jika kunci pribadi Anda bocor, maka orang yang memiliki kunci pribadi Anda dapat tanpa batasan mengambil dana Anda dari akun Anda. Secara umum, ada beberapa cara untuk melindungi kunci pribadi, misalnya kita memiliki dompet perangkat keras, menggunakan dompet kontrak, atau menggunakan aplikasi di ponsel untuk melindungi kunci pribadi. Setiap metode sebenarnya memiliki kelebihan dan kekurangan masing-masing. Berdasarkan pengalaman pribadi saya dan pengalaman keseluruhan beberapa teman keamanan di sekitar kita, prinsip dasar adalah menyimpan frasa pemulihan kunci pribadi, simpan di brankas, baik itu brankas di rumah Anda atau bank, simpan dengan baik, jangan sering dipindahkan, pada dasarnya Anda tidak akan membutuhkannya. Kemudian gunakan perangkat yang relatif dapat dipercaya, baik itu dompet perangkat keras atau ponsel, untuk menyimpan kunci pribadi Anda. Ponsel ini harus merupakan perangkat khusus, jangan melakukan aktivitas lain, hanya digunakan untuk mengelola aset digital Anda sendiri. Ini adalah saran pertama. Saran kedua adalah ketika melakukan transaksi di blockchain, pastikan Anda memiliki kesadaran akan keamanan dan risiko. Pada dasarnya, Anda hanya perlu mengingat satu kalimat: tidak ada yang namanya makan siang gratis. Kami menemukan bahwa saat melakukan transaksi di blockchain, risiko phishing yang dihadapi pengguna sangat besar. Termasuk banyak KOL dan OG di lingkaran crypto yang kita kenal juga pernah mengalami serangan phishing dan kehilangan banyak dana. Jika ada situs yang tidak jelas meminta Anda untuk menghubungkan dompet untuk mendapatkan hadiah airdrop yang disebut, saat itu Anda perlu berhati-hati, pasti perlu memiliki kesadaran akan keamanan. Saran ketiga adalah Anda perlu sedikit memahami pengetahuan dasar tentang aset kripto. Pengetahuan dasar ini merujuk pada konsep wewenang dalam aset kripto. Ini berbeda dari keuangan tradisional. Misalnya, jika Anda memiliki jenis aset digital, USDT atau USDC, melalui tanda tangan di blockchain, Anda dapat memberikan wewenang atas aset kepada kontrak atau pengguna lain untuk digunakan, dan wewenang ini hanya memerlukan tanda tangan dari dompet Anda untuk menandatangani sejumlah hal yang aneh yang tidak Anda mengerti. Jadi saat menandatangani tanda tangan dompet, karena Anda tidak terlalu mengerti atau tertipu, Anda menandatangani transaksi wewenang, maka orang lain dapat menggunakan semua aset digital Anda. Jadi Anda perlu sedikit memahami hal ini tentang wewenang, agar tidak salah menandatangani transaksi wewenang saat menandatangani tanda tangan dompet. Singkatnya, saran dasar adalah: yang pertama adalah melindungi kunci pribadi Anda, memberikan beberapa metode yang dapat diterapkan; yang kedua adalah saat melakukan transaksi di blockchain, harus selalu berhati-hati, memiliki kesadaran akan keamanan agar tidak tertipu; yang ketiga adalah harus memiliki pemahaman dasar tentang mekanisme wewenang Crypto, sehingga tidak salah menandatangani transaksi wewenang.
**Alex:**Saya sebenarnya memiliki cukup banyak teman dengan kekayaan tinggi di sekitar saya, mereka juga merupakan OG atau ahli di industri ini. Seharusnya, kesadaran keamanan yang Anda sebutkan itu, mereka semua memiliki sedikit pemahaman. Namun, setiap tahun saya mendengar tentang beberapa orang kaya di sekitar saya yang dibobol. Di industri ini ada sebuah pernyataan yang mengatakan bahwa jika seorang hacker profesional menargetkan Anda, dan dia tahu dompet Anda memiliki uang, jika dia menggunakan semua sumber daya yang dapat digunakan, Anda biasanya sulit untuk lolos. Apakah Anda merasa pernyataan semacam ini masuk akal? Apakah benar seperti itu?
Zhou Yajin: Pertanyaanmu sangat bagus. Faktanya, masalah keamanan, terutama dalam hal keamanan kripto, pada dasarnya adalah konfrontasi yang tidak seimbang. Jika Anda memiliki cukup aset di dompet Anda, Anda dapat dengan mudah menjadi target serangan yang ditargetkan. Begitu Anda menjadi target serangan yang ditargetkan orang lain, orang lain akan menggunakan banyak sumber daya, apakah itu sumber daya pekerja sosial, sumber daya teknis atau sumber daya lainnya, untuk merancang metode serangan terhadap Anda sesuai dengan pola perilaku sehari-hari dan kebiasaan hidup target. Dalam hal ini, Anda tidak dapat mengatakan 100%, tetapi kesulitan pertahanan Anda sangat tinggi, karena orang lain menggunakan banyak sumber daya untuk melawan Anda, dan Anda hanya memiliki diri Anda sendiri. Jadi ini adalah konfrontasi yang sangat asimetris. Dalam hal ini, saya pikir prinsip dasarnya, yang pertama adalah bahwa kita orang Tionghoa memiliki pepatah yang disebut kekayaan tidak menunjukkan kekayaan, yaitu, Anda tidak boleh mengungkapkan aset yang Anda miliki, dan menghindari membocorkan hubungan identitas antara identitas offline pribadi Anda dan aset on-chain. Poin kedua adalah bahwa meskipun Anda adalah pengguna dengan kekayaan bersih tinggi dan mungkin telah dibocorkan oleh orang lain, maka Anda perlu melakukan pekerjaan yang baik untuk memisahkan aset sebanyak mungkin. Artinya, aset yang biasanya Anda operasikan setiap hari mungkin mencapai 100.000 yuan di dompet khusus, dan yang lain hanya dapat menipu paling banyak 100.000 yuan. Dan banyak aset Anda yang lain harus ada di dompet yang biasanya tidak perlu Anda gunakan. Jika Anda perlu menggunakan aset ini, Anda perlu menemukan ahli keamanan untuk membantu Anda meninjau serangkaian proses dan spesifikasi operasional yang lebih baik, yang dapat menghindari risiko yang sangat besar.
Tiga kejadian keamanan yang paling berkesan
**Alex:**Saya mengerti, saran ini memang sangat penting. Bisakah Anda membagikan tiga kejadian keamanan yang paling mengesankan selama Anda berkecimpung di bidang ini? Bisa jadi pengalaman pribadi Anda sendiri, atau pengalaman teman-teman di sekitar Anda, atau beberapa hal yang Anda dengar.
Zhou Yajin: Saya bisa berbagi dengan semua orang tentang kejadian keamanan yang pernah kami tangani secara langsung dan yang sangat mengesankan. Contoh pertama yang saya ingat adalah pada sekitar tanggal 10 Februari 2023, ada sebuah protokol di blockchain yang diserang. Ini adalah platform yang menggabungkan pinjaman dengan fungsi lainnya. Protokol ini memiliki celah keamanan, dan hacker memanfaatkan celah ini,