Apa yang terjadi jika kunci dompet kripto Anda disusupi

Kunci yang disusupi terasa seperti momen terburuk dalam swakelola aset. Sebenarnya tidak — tetapi itu adalah keadaan darurat, dan bagaimana Anda merespons dalam beberapa jam ke depan lebih penting daripada bagaimana perasaan Anda mengenainya. Artikel ini membahas apa arti sebenarnya dari penyusupan dalam dompet multisig 2-of-2, cara mengenalinya, dan cara mengamankan kembali dana Anda dengan merotasi kunci.

Jika Anda belum membaca Pemulihan 101: apa yang sebenarnya Anda butuhkan untuk memulihkan dompet, mulailah dari sana. Artikel itu menjelaskan perbedaan antara kunci, frasa seed, dan metadata — kosakata yang diandaikan sudah dipahami pada bagian-bagian berikutnya.

Kunci yang disusupi bukan berarti dana dicuri

Berikut hal yang menenangkan, dikatakan secara lugas: dalam multisig 2-of-2, satu kunci yang disusupi tidak memungkinkan penyerang memindahkan uang Anda.

SSP memakai konfigurasi 2-of-2 — dua kunci independen, pada dua perangkat terpisah, dan kedua tanda tangan diperlukan untuk mengotorisasi transaksi apa pun. Satu kunci berada di ekstensi peramban; kunci lainnya berada di ponsel Anda, dalam SSP Key. Jika Anda belum yakin bagaimana pembagian itu bekerja, Apa itu multisig 2-of-2 membahasnya secara rinci.

Konsekuensi praktisnya langsung. Penyerang yang mencuri, melakukan phishing, atau mengekstraksi satu kunci hanya memegang persis separuh dari yang mereka butuhkan. Mereka tidak bisa menandatangani transaksi yang sah. Mereka tidak bisa menguras dompet Anda. Mereka punya kunci yang, sendirian, tidak menandatangani apa pun.

Inilah seluruh inti dari multisig, dan itulah sebabnya satu kunci yang disusupi adalah peristiwa yang dapat dilalui, bukan bencana. Dengan dompet kunci tunggal, kunci yang dicuri berarti dana yang dicuri — seketika, tak dapat dibatalkan. Dengan 2-of-2, Anda mendapat sesuatu yang tidak pernah dimiliki pemegang kunci tunggal: waktu untuk bereaksi.

Mengapa ini tetap keadaan darurat

Rasa tenang bukan kelengahan. Kunci yang disusupi benar-benar mendesak karena satu alasan: ia menghapus margin keamanan Anda.

Dompet 2-of-2 memiliki faktor kedua yang sudah terpasang. Pada saat satu kunci disusupi, perlindungan itu lenyap. Anda kini, secara praktis, menjalankan dompet kunci tunggal — kecuali bahwa penyerang mungkin sudah memegang kunci tunggal itu. Jika kunci kedua Anda kemudian disusupi, hilang, atau terkena phishing, penyerang memiliki kedua paruh dan dana Anda hilang.

Anggap saja ini sebagai redundansi yang sudah terpakai. Multisig memberi Anda dua gembok. Penyerang baru saja membuka satu. Dompet hari ini masih aman, tetapi tidak ada margin tersisa. Tugasnya sekarang adalah memulihkan redundansi sebelum apa pun menyentuh kunci kedua.

Ada juga risiko yang lebih senyap. Penyerang yang memegang satu kunci sah mungkin tidak menyerah. Mereka bisa berganti taktik — melakukan phishing kepada Anda untuk tanda tangan kedua, mengirimi Anda permintaan transaksi jahat untuk Anda setujui, atau merekayasa sosial saluran dukungan. Penyusupan bukan peristiwa tunggal; itu adalah awal dari sebuah kampanye. Bertindak cepat mengakhiri kampanye itu.

Cara mengenali kunci yang disusupi

Penyusupan jarang mengumumkan dirinya. Biasanya ia muncul sebagai pola yang dapat Anda pelajari untuk dikenali. Yang paling umum:

• Malware perangkat. Komputer atau ponsel Anda berperilaku aneh — sembulan tak terduga, ekstensi peramban yang tidak Anda pasang, antarmuka dompet yang meminta frasa seed Anda padahal sebelumnya tidak pernah. Malware yang mencapai perangkat tempat sebuah kunci berada harus diperlakukan sebagai penyusupan kunci itu.
• Transaksi yang disetujui karena phishing. Anda menyetujui transaksi yang bukan seperti yang Anda kira — halaman palsu "verifikasi dompet Anda", koneksi dApp jahat, transaksi yang detailnya tidak cocok dengan layar yang Anda harapkan. Jika Anda menandatangani sesuatu dengan dalih palsu, anggaplah kunci yang menandatangani sudah terpapar.
• Perangkat yang hilang tetapi belum dihapus. Anda kehilangan ponsel atau laptop dan tidak dapat memastikan bahwa ia terkunci, terenkripsi, atau dihapus dari jarak jauh. Perangkat yang tak terpulihkan dan menyimpan sebuah kunci adalah kunci di tangan orang lain sampai terbukti sebaliknya.
• Cadangan yang bocor. Foto frasa seed Anda yang tersinkron ke akun cloud, berkas cadangan di drive bersama, frasa tertulis yang mungkin dilihat orang lain. Apa pun yang memaparkan materi asal sebuah kunci diturunkan adalah penyusupan kunci itu.

Uji jujurnya sederhana: jika Anda tidak dapat dengan yakin mengatakan bahwa sebuah kunci masih sepenuhnya milik Anda, perlakukan ia sebagai disusupi. Swakelola aset menghargai tindakan atas dasar kecurigaan, bukan menunggu bukti. Untuk lebih lanjut tentang pola pikir di baliknya, lihat Mengapa swakelola aset penting sekarang.

Bertindak cepat: jam pertama

Ketika Anda mencurigai penyusupan, urutan prioritasnya tetap.

1. Isolasi perangkat yang dicurigai. Putuskan dari internet. Jangan "menguji" dompet di atasnya. Jangan masuk untuk memeriksa. Setiap tindakan pada perangkat yang disusupi dapat membocorkan lebih banyak.
2. Konfirmasi dana Anda dengan kunci yang bersih. Gunakan perangkat lain Anda — yang Anda percaya — untuk memeriksa saldo. Dalam 2-of-2, Anda masih bisa melihat dompet Anda; Anda hanya belum mengotorisasi apa pun.
3. Jangan menyetujui apa pun. Inilah jam kritis untuk tindak lanjut phishing. Perlakukan setiap permintaan transaksi, pesan dukungan, atau peringatan "verifikasi mendesak" sebagai bermusuhan sampai dompet Anda diamankan kembali.
4. Rencanakan rotasi. Tentukan kunci mana yang disusupi dan bagaimana Anda akan menggantinya. Jangan berimprovisasi di tengah proses.

Kecepatan penting karena penyerang sedang berlomba dengan Anda memperebutkan kunci kedua. Semakin cepat Anda merotasi, semakin sempit jendela mereka. Panduan respons insiden umum — misalnya Panduan Penanganan Insiden Keamanan Komputer NIST (SP 800-61) — menekankan hal yang sama dalam konteks perusahaan: pengendalian sebelum pemberantasan, dan pemberantasan sebelum pemulihan. Urutan itu tidak sembarangan.

Bagaimana rotasi kunci mengamankan kembali dompet

Rotasi adalah perbaikannya. Prinsipnya: kunci yang disusupi dibakar secara permanen. Anda tidak "membersihkannya" atau mempercayainya lagi. Anda menggantinya, dan memindahkan dana Anda ke dompet yang belum pernah disentuh penyerang.

Secara konkret, itu berarti:

• Membuat dompet baru pada perangkat yang Anda percaya — perangkat yang telah diperiksa dari malware, atau idealnya perangkat yang sepenuhnya bersih. Ini menghasilkan dua kunci baru dan pasangan 2-of-2 baru, tanpa hubungan apa pun dengan yang disusupi.
• Memindahkan dana Anda dari dompet lama ke yang baru. Karena Anda masih mengendalikan kedua kunci 2-of-2 lama, Anda masih bisa menandatangani transfer ini — penyerang, yang hanya memegang satu kunci, tidak bisa menghentikannya atau mendahuluinya ke alamat mereka sendiri.
• Memensiunkan dompet lama sepenuhnya. Setelah dana dipindahkan, dompet lama — dan kunci yang disusupi di dalamnya — sudah mati. Ia tidak menyimpan apa pun dan tidak menandatangani apa pun yang berarti.
• Menata ulang cadangan Anda. Dompet baru Anda memiliki frasa seed BIP39 baru. Cadangkan ia dengan disiplin yang sama seperti pada penyiapan baru, dan pastikan cadangan bocor yang memicu insiden ini dimusnahkan.

Alasan ini berhasil sama dengan alasan penyusupan dapat dilalui: penyerang tidak pernah memiliki kedua kunci. Itu memberi Anda mayoritas tanda tangan yang tidak dapat ditandingi penyerang — cukup waktu untuk mengevakuasi diri ke tempat aman. Rotasi mengubah keunggulan sementara menjadi keunggulan permanen.

Inti pelajaran

Kunci yang disusupi adalah keadaan darurat, bukan bencana. Arsitektur 2-of-2 membelikan Anda waktu yang tidak pernah ditawarkan dompet kunci tunggal — tetapi waktu itu adalah margin yang harus dibelanjakan secara sengaja, bukan alasan untuk lengah. Kenali pola penyusupan lebih awal, isolasi dengan cepat, tolak setiap peringatan persetujuan, dan rotasi ke dompet yang bersih sebelum kunci kedua pernah berisiko. Lakukan itu, maka kunci yang dicuri akan tetap persis seperti yang dijadikannya oleh multisig: separuh dari gembok yang tidak membuka apa pun.