Peringatan salah perangkat lunak antivirus menyebabkan kerusakan pada dompet enkripsi, bagaimana cara menghadapinya?

Dalam lingkungan internet saat ini, ancaman keamanan muncul satu demi satu, dan menginstal perangkat lunak antivirus dapat membantu pengguna meningkatkan keamanan sistem. Namun, perangkat lunak antivirus hanya dapat mengurangi risiko dan tidak dapat menjamin keamanan yang absolut. Perlawanan adalah proses dinamis, dan menginstal perangkat lunak antivirus hanya merupakan langkah pertama untuk meningkatkan keamanan. Pada saat yang sama, perangkat lunak antivirus itu sendiri juga dapat mengalami kasus false positive, yang menimbulkan risiko tambahan.

Baru-baru ini, beberapa pengguna melaporkan bahwa setelah menggunakan perangkat lunak antivirus, beberapa ekstensi browser (terutama ekstensi dompet enkripsi) salah dilaporkan sebagai perangkat lunak berbahaya, yang mengakibatkan file JavaScript ekstensi terisolasi atau dihapus, dan akhirnya dompet ekstensi menjadi rusak dan tidak dapat digunakan dengan normal.

Bagi pengguna Web3, situasi ini menjadi lebih serius karena ekstensi dompet enkripsi biasanya menyimpan kunci privat, yang jika tidak ditangani dengan baik, dapat menyebabkan kehilangan data dompet dan bahkan ketidakmampuan untuk memulihkan aset. Oleh karena itu, penting untuk memahami cara yang benar untuk memulihkan data ekstensi yang terisolasi secara keliru.

Bagaimana cara menangani?

Jika Anda menemukan bahwa perangkat lunak antivirus memberikan laporan salah yang mengakibatkan kerusakan pada ekstensi browser, disarankan untuk mengikuti langkah-langkah berikut untuk pemulihan:

1. Pulihkan file dari zona terisolasi, jangan pernah mencopot ekstensi

Jika menemukan perangkat lunak atau ekstensi yang tidak dapat dijalankan, segera periksa "zona karantina"(Quarantine) atau "riwayat"(History) dari perangkat lunak antivirus, cari file yang salah dilaporkan, jangan hapus file yang dikarantina.

• Jika file masih di kuarantin, pilih "Pulihkan"(Restore), dan tambahkan file atau ekstensi tersebut ke daftar kepercayaan untuk mencegah laporan salah lagi.
• Jika file telah dihapus, silakan periksa apakah ada cadangan otomatis atau gunakan alat pemulihan data untuk mengembalikannya.
• Ingat: Jangan menghapus ekstensi! Bahkan jika ekstensi telah rusak, mungkin masih ada file terkait kunci pribadi enkripsi di lokal, masih ada kemungkinan untuk memulihkannya.

2. Cadangkan dan cari data ekstensi lokal

Data yang diperluas biasanya disimpan di disk lokal, bahkan jika ekstensi tidak dapat dibuka, data terkait masih dapat ditemukan untuk pemulihan (ID ekstensi dengan MetaMask sebagai contoh: nkbihfbeogaeaoehlefnkodbefgpgknn):

• Referensi jalur Windows: C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Referensi jalur Mac: ~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nkbihfbeogaeaoehlefnkodbefgpgknn

Perlu dicatat bahwa jika Chrome menggunakan beberapa konfigurasi akun, "Default" dalam jalur mungkin berubah menjadi "Profile 1"/"Profile 2". Perlu memeriksa direktori Profile yang spesifik dan menyesuaikan jalur sesuai dengan keadaan yang sebenarnya. Disarankan untuk segera melakukan cadangan direktori lengkap dari ekstensi yang ditargetkan, agar dapat dipulihkan jika terjadi masalah.

3. Metode pemulihan kasar: menimpa direktori ekstensi lokal

Jika false positive menyebabkan kerusakan pada ekstensi, cara paling langsung adalah dengan menyalin data ekstensi cadangan ke direktori ekstensi lokal yang sesuai pada komputer baru atau lingkungan browser baru, kemudian membuka kembali program ekstensi.

4. Metode pemulihan tingkat lanjut: Dekripsi data kunci pribadi secara manual

Jika ekstensi masih tidak dapat dibuka atau data hilang, Anda dapat mencoba metode pemulihan yang lebih canggih, yaitu dengan secara manual enkripsi data kunci pribadi untuk memulihkannya. Sebagai contoh, MetaMask:

• Cari ID ekstensi MetaMask di komputer lokal, temukan direktori berikut: C:\Users[User]\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Direktori ini mungkin berisi file ldb/log, yang menyimpan data kunci pribadi yang telah dienkripsi. Anda dapat menggunakan alat dekripsi Vault resmi dari MetaMask untuk mendekripsi. Salin konten terenkripsi dari file ldb/log

Jika ekstensi MetaMask masih dapat membuka halaman tertentu (seperti chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html), Anda dapat mencoba menjalankan kode berikut untuk mendapatkan data kunci pribadi enkripsi:

javascript chrome.storage.local.get('database', result => { var vault = result.data.KeyringController.vault; console.log(vault); });

Kemudian, salin data vault ke alat dekripsi MetaMask Vault untuk didekripsi.

5. Menulis alat pemulihan kustom

Jika metode di atas tidak dapat memulihkan data dompet, pengguna dapat menulis skrip sendiri untuk mengekstrak data penyimpanan ekstensi dari file basis data lokal, kemudian melakukan enkripsi. Berikut ini adalah template PhantomKeyRetriever, yang menjelaskan prinsip dasar dan implementasi alat pemulihan dompet yang berbeda:

Dompet plugin biasanya menyimpan data sensitif di database atau file sistem lokal. Dompet ekstensi browser (seperti Phantom, MetaMask, dll.) memanfaatkan API penyimpanan yang disediakan oleh browser untuk menyimpan data yang telah dienkripsi di area penyimpanan lokal browser, biasanya di sistem database seperti LevelDB atau IndexedDB. Terlepas dari jenis dompet, satu prinsip kunci adalah data selalu disimpan dalam bentuk terenkripsi, memastikan bahwa bahkan jika data disalin, tanpa kata sandi yang benar tidak dapat diakses.

Sebagian besar dompet enkripsi menggunakan arsitektur enkripsi berlapis untuk meningkatkan keamanan. Pertama, kata sandi utama pengguna digunakan untuk mengenkripsi kunci tengah (sering disebut "kunci enkripsi" atau "kunci dekripsi"). Kemudian, kunci tengah ini digunakan untuk mengenkripsi kunci pribadi atau frasa pemulihan yang sebenarnya. Desain ini memastikan bahwa bahkan jika kode aplikasi dompet dimodifikasi, penyerang masih perlu mengetahui kata sandi pengguna untuk mendapatkan kunci pribadi. Desain berlapis ini juga memungkinkan aplikasi dompet untuk hanya mendekripsi kunci tengah setelah pengguna masuk, tanpa perlu memasukkan kata sandi utama setiap kali melakukan operasi.

Proses penulisan alat pemulihan dompet biasanya mencakup:

• Menemukan dan mengekstrak data enkripsi (membaca data dari LevelDB/IndexedDB).
• Menganalisis struktur data, mengidentifikasi enkripsi kunci pribadi/kata sandi.
• Meminta pengguna untuk memasukkan kata sandi dompet, menghitung kunci dekripsi melalui KDF (seperti PBKDF2 atau Scrypt).
• Dekripsi kunci tengah, lalu dekripsi kunci privat/benang ingatan.

Proses ini memerlukan pemahaman yang tepat tentang skema enkripsi Dompet dan format penyimpanan data, yang biasanya diperoleh melalui rekayasa balik atau analisis kode sumber Dompet.

Dalam hal alat PhantomKeyRetriever, ini adalah skrip yang dirancang khusus untuk mengekstrak frase pemulihan atau kunci pribadi Dompet Phantom dari data browser Chrome, dengan prinsip inti sebagai berikut:

• Membaca database LevelDB Chrome, menyalin data terkait ke direktori sementara.
• Menelusuri database untuk mencari kunci enkripsi dan informasi seed dompet yang disimpan di Dompet Phantom.
• Pengguna memasukkan kata sandi Phantom, skrip menggunakan PBKDF2/Scrypt untuk menghitung kunci dekripsi.
• Mendekripsi data brankas dompet, mengekstrak frase mnemonik BIP39 atau kunci pribadi Base58.

Dalam proses dekripsi ganda ini, skrip mendukung dua fungsi derivasi kunci yaitu PBKDF2 dan Scrypt, dan menggunakan SecretBox dari pustaka NaCl untuk dekripsi yang aman. Akhirnya, berdasarkan jenis data yang didekripsi, skrip akan menghasilkan mnemonic standar BIP39 atau mengekstrak kunci pribadi yang dikodekan dalam Base58.

Perlu dicatat bahwa browser lain yang mendukung dompet ekstensi (seperti Edge, Firefox) juga memiliki prinsip yang serupa, jadi tidak akan dijelaskan lebih lanjut di sini.

Bagaimana cara mencegah?

Untuk mengurangi risiko kesalahan laporan, pengguna dapat mengambil langkah-langkah berikut:

• Secara teratur mencadangkan file penting dan data ekstensi browser, sehingga dapat dengan cepat dipulihkan jika terjadi false positive.
• Tambahkan aturan kepercayaan secara manual di perangkat lunak antivirus, untuk perangkat lunak atau ekstensi penting (seperti MetaMask), Anda dapat menambahkannya secara manual ke daftar kepercayaan untuk mencegah false positive.
• Gunakan saluran resmi untuk mengunduh perangkat lunak, hindari menginstal aplikasi yang tidak resmi atau versi modifikasi untuk mengurangi kemungkinan ditandai oleh perangkat lunak antivirus sebagai risiko potensial.

Ringkasan

Perlawanan selalu berubah secara dinamis, dan strategi keamanan juga perlu disesuaikan secara terus-menerus. Memasang perangkat lunak antivirus memang penting, tetapi pada akhirnya, pengguna adalah garis pertahanan terakhir bagi aset mereka sendiri. Ketika menghadapi laporan palsu, pengguna harus menangani dengan tenang, menghindari penghapusan langsung terhadap file-file penting, dan menggunakan metode pemulihan yang tepat. Hanya dengan menguasai pengetahuan keamanan yang benar, seseorang dapat benar-benar melindungi keamanan data mereka.