Peringatan dari Jameson Lopp tentang Keamanan Cryptocurrency
Jameson Lopp, seorang pengembang Bitcoin terkemuka, mendesak para pemegang cryptocurrency untuk mengadopsi pendekatan “zero trust” yang ketat terhadap semua komunikasi yang masuk. Peringatan ini disampaikan setelah terungkapnya kerentanan dalam infrastruktur Google yang dimanfaatkan oleh skema phishing canggih.
Skema Phishing Canggih
Skema ini menggunakan formulir Google yang sah untuk permintaan kontak cadangan, sehingga notifikasi yang dikirim dari domain resmi perusahaan dapat langsung masuk ke kotak masuk korban tanpa terdeteksi oleh filter keamanan.
Para penyerang mengeksploitasi kolom nama dengan menyisipkan blok teks besar yang secara visual mendorong konten sistem yang sebenarnya ke bawah, sementara peringatan keamanan palsu dan tautan phishing ditempatkan di bagian atas email. Kepercayaan pengguna semakin dimanipulasi oleh fakta bahwa situs web berbahaya tersebut dihosting di platform Google Sites resmi.
Saluran Komunikasi yang Tidak Dapat Dipercaya
Berdasarkan insiden ini, Lopp mengidentifikasi lima saluran komunikasi utama yang seharusnya tidak lagi dipercaya untuk pesan yang masuk:
- Panggilan telepon
- SMS
- Pesan instan
- Notifikasi eksternal lainnya
Ia menekankan pentingnya untuk tidak mempercayai komunikasi yang mengklaim ada masalah keamanan dengan akun Anda. Pesan-pesan seperti ini sering kali menjadi jebakan bagi pengguna yang kurang waspada.
Proposal BIP-361 dan Kontroversi
Menariknya, Lopp baru-baru ini terlibat dalam penulisan proposal BIP-361 yang kontroversial, yang bertujuan untuk melindungi Bitcoin dari potensi ancaman komputer kuantum di masa depan, termasuk yang mungkin dikembangkan oleh Google. Proposal ini mengusulkan larangan transaksi dari alamat warisan dalam waktu tiga tahun dan membekukan hingga 1,7 juta BTC yang terhubung dengan Satoshi Nakamoto dalam waktu lima tahun jika pemiliknya gagal memperbarui tanda tangan kriptografi.
Inisiatif ini memicu gelombang kritik yang keras dan tuduhan pelanggaran prinsip desentralisasi, yang semakin memperburuk perpecahan dalam komunitas investor.
Perilaku Perusahaan Teknologi Besar
Situasi ini juga diperburuk oleh perilaku perusahaan teknologi besar. Google baru-baru ini menghapus pernyataan dari deskripsi fitur AI Chrome yang menyatakan bahwa data lokal pengguna tidak akan dikirim ke server perusahaan, yang semakin merusak kepercayaan pada ekosistem terpusat.
Kesimpulan
Inti dari pesan ini adalah bahwa Anda tidak boleh pernah mempercayai pesan yang mengklaim ada masalah keamanan mendesak dengan akun Anda, bahkan jika email tersebut berasal dari domain resmi Google.
Menurut Lopp, literasi teknis pengguna baru semakin menurun, menjadikan mereka target ideal untuk serangan semacam ini.
