Racun Rantai Pasokan: Saat pembaruan tepercaya menjadi berbahaya
Ringkasan: Anda sangat berhati-hati. Anda tidak mengunjungi situs yang mencurigakan. Anda tidak membajak perangkat lunak. Anda hanya memperbarui perangkat lunak yang sah. Namun Anda diretas. Ini adalah mimpi buruk dari peretasan 'Ledger Connect Kit' dan cara melindungi diri Anda dari sumber tepercaya.
1. Insiden Ledger Connect Kit
Pada Desember 2023, dunia crypto menahan napas.
Ledger tidak diretas secara langsung. Perpustakaan yang digunakan Ledger diretas.
Seorang mantan karyawan menjadi korban phishing. Peretas mendapatkan akses ke akun NPM-nya dan mengunggah kode berbahaya ke perpustakaan @ledgerhq/connect-kit.
Tiba-tiba, setiap situs (SushiSwap, Revoke.cash, dll.) yang menggunakan versi terbaru perpustakaan ini mulai secara otomatis menampilkan pop-up dompet palsu kepada pengguna.
Pengguna tidak melakukan kesalahan apa pun. Mereka pergi ke situs yang tepat, tetapi situs itu memuat "Rantai Pasokan" (Supply Chain) yang beracun.
2. Cara Kerjanya
Perangkat lunak modern seperti Lego. Pengembang tidak menulis semua kode sendiri. Mereka menarik "Dependensi" (Pustaka) dari orang lain.
- Aplikasi Anda menggunakan Pustaka A.
- Pustaka A menggunakan Pustaka B.
- Pustaka B dikompromikan.
Peretas menyukai metode ini karena meretas satu perpustakaan memberi mereka jutaan korban sekaligus.
3. Cara Melindungi Diri (Untuk Pengguna)
Bagaimana kita bertahan dari sesuatu yang mem-bypass raksasa teknologi sekalipun?
Aturan "Tunggu" (The Wait Rule)
Saat pembaruan besar atau fitur baru keluar, jangan jadi yang pertama memperbarui.
Beri komunitas (dan Keamanan Crypto Twitter/X) waktu 24-48 jam untuk memeriksa. Jika ada serangan Rantai Pasokan, berita akan menyebar seperti kebakaran hutan.
Periksa Ganda
Jika dApp favorit Anda meminta Anda untuk Mengaktifkan (Enable) atau Menyetujui (Approve) sesuatu yang aneh:
- Periksa Twitter mereka.
- Periksa Discord mereka.
- Periksa peneliti keamanan di Twitter (seperti @zachxbt).
Jika di semua tempat sunyi... mungkin aman. Tapi jika semua orang berteriak "JANGAN TERHUBUNG" (DO NOT CONNECT), Anda baru saja diselamatkan.
Kesimpulan
Di dunia yang saling terhubung, keamanan Anda bergantung pada mata rantai terlemah. Terkadang lebih aman menjadi "Late Adopter" yang tidak langsung memperbarui, daripada menjadi pionir.
Artikel Terkait
Perisai Kertas (The Paper Shield): Cara Mencadangkan Seed Phrase dengan Benar
Tangkapan layar adalah bencana. Cloud adalah komputer orang lain. Satu-satunya cara aman untuk menyimpan kunci pribadi adalah 'Baja' dan 'Kertas'.
Penipuan Jangka Panjang (The Long Con): Psikologi di Balik 'Pig Butchering'
Dia tidak mengirim pesan ke nomor yang salah. Dan dia tidak jatuh cinta padamu. Menyelami 'Sha Zhu Pan', penipuan crypto paling kejam, dan cara mengenali naskahnya.
Jangan Trading di Tempat Anda Bermain: Mengapa Anda Butuh Laptop Kripto Terpisah
PC gaming Anda penuh dengan pintu belakang. Ponsel Anda penuh dengan pelacak. Mengapa membeli 'perangkat perbankan' terpisah seharga $200 adalah asuransi terbaik.