Paano gumagana ang seguridad ng Nexo, at paano palakasin ang iyong account

May 148 min read

Ang seguridad sa crypto ay isang shared na responsibilidad. Naglalagay ng mga hakbang ang mga plataporma — mga kontrol sa infrastructure, pagtuklas ng fraud, encryption — ngunit ang malaking bahagi ng panganib sa account ay maaaring manggaling sa panig ng user: mahihinang password, hindi na-verify na mga link, at mga address na napapalitan nang hindi napapansin ng sinuman.

Sinasaklaw ng artikulong ito ang magkabilang bahagi. Ano ang pinapatakbo ng Nexo sa background, ano ang bine-verify ng mga independiyenteng auditor, at ano ang maaari mong i-enable para mapahirap ang iyong account na ma-kompromiso.

Ano ang tumatakbo sa background

Gumagana ang mga ito bilang default. Walang kailangang i-set up o i-enable — aktibo ang mga ito para sa bawat account, bawat transaksyon.

Anti-scam engine

Ang bawat pag-withdraw sa Nexo ay dumadaan sa isang automated na anti-scam engine na nagsusuri ng mga transaksyon sa real time bago umalis ang pondo sa plataporma. Kung may mukhang hindi tama — isang address na nauugnay sa kilalang scam na aktibidad, isang kakaibang pattern ng transaksyon, isang destinasyon na hindi tumutugma sa nakaraang gawi — makikita mo ang isang malinaw na prompt na nagpapaliwanag ng alalahanin. Walang jargon, walang malabong babala. Sa mga bihirang high-risk na kaso, maaaring pansamantalang i-pause ang isang transaksyon para sa pagsusuri.

Ang engine ay tumatakbo nang tahimik sa background. Karamihan sa mga user ay hindi kailanman makararanas nito. Iyon ang layunin.

Encryption

Ang data sa transit at sa pahinga sa buong plataporma ay protektado ng AES 256-bit SSL encryption — ang parehong pamantayan na ginagamit ng mga institusyong pinansyal at malalaking cloud infrastructure sa buong mundo.

Mga independiyenteng audit

Ang infrastructure ng Nexo ay independiyenteng ino-audit laban sa isang hanay ng mga internasyonal na kinikilalang balangkas ng seguridad, lahat ay inirerenew taon-taon:

  • SOC 2 Type 2 — mga kontrol at proseso sa operational na seguridad

  • SOC 3 — pampublikong buod ng SOC 2 audit

  • ISO 27001 — pamamahala ng seguridad ng impormasyon

  • ISO 27017 — mga kontrol sa seguridad na naka-specific sa cloud

  • ISO 27018 — proteksyon ng personally identifiable information sa cloud

  • CSA STAR Level 1 — pagtitiyak ng seguridad sa cloud

Isinasagawa ang mga ito ng mga independiyenteng third party sa recurring na batayan.

Ano ang maaari mong i-enable

Ang panig ng plataporma ay sumasaklaw sa infrastructure at mga transaksyon. Ang hindi nito kayang saklawin ay ang access sa iyong account — depende iyon sa kung paano mo ito na-set up. Available ang mga feature na ito sa bawat user at ilang minuto lang ang kailangan para i-configure.

Two-factor authentication (2FA)

Nagdaragdag ang 2FA ng pangalawang hakbang sa pag-verify sa login. Sa Nexo, ang parehong pag-verify — SMS, email, o authenticator app — ay kinakailangan din sa mga sensitibong aksyon: mga pag-withdraw, pag-edit ng Address Book, at mga pagbabago sa mga setting ng seguridad. Kaya kahit may mayroon ng iyong password, hindi nila maaaring ilipat ang pondo o baguhin ang iyong setup nang wala ang pangalawang factor.

Ang mga authenticator app (tulad ng Google Authenticator o Authy) ay mas malakas kaysa sa SMS-based na 2FA. Ang SMS ay vulnerable sa mga SIM swap na atake, kung saan kinukumbinsi ng isang attacker ang iyong mobile carrier na ilipat ang iyong numero sa isang SIM na kontrolado nila. Kung gumagamit ka ng SMS 2FA, ang paglipat sa isang authenticator app ay sulit sa dalawang minutong aabutin nito.

Para i-enable: pumunta sa iyong mga setting ng Seguridad at piliin ang iyong gustong paraan ng 2FA.

Mahalagang paalala: ang 2FA ay malaki ang naitutulong sa pagbabawas ng panganib ng hindi awtorisadong access, ngunit hindi ito kumpletong garantiya. Itago ang iyong mga recovery code sa ligtas na lugar — ang pagkawala ng access sa iyong 2FA device nang wala ang backup ay maaaring mag-lock sa iyo palabas ng iyong account.

Anti-Phishing Code

Ang phishing — mga pekeng email na mukhang galing sa Nexo — ay isa sa pinakakaraniwang attack vector sa crypto. Ang Anti-Phishing Code ay isang personal na string na itinakda mo mismo na lumalabas sa footer ng bawat lehitimong email na ipinapadala ng Nexo sa iyo. Kung ang isang email na nagsasabing galing sa Nexo ay walang dala na iyong code, hindi ito galing sa Nexo.

Para itakda ito: buksan ang Nexo appi-tap ang iyong profile Security & SettingsAnti-phishing code → maglagay ng code ng iyong pagpili.

Kapag naitalaga na, ituring ang anumang email ng Nexo na walang iyong code bilang kahina-hinala — anuman ang hitsura nito.

Whitelisting ng address

Isa sa mga mas tahimik na attack vector sa crypto ay ang address swapping — malware na palihim na pinapalitan ang isang nakopyang address ng pag-withdraw ng isa na kontrolado ng isang attacker. Kung hindi mo bine-verify ang buong address karakter sa karakter bago kumpirmahin, maaaring hindi mo ito mapansin.

Ang Address whitelisting ay nagla-lock ng iyong mga pag-withdraw sa mga address na naka-save sa iyong Address Book (hanggang 500). Maaari ka ring magtakda ng Extra Security delay sa mga bagong idinagdag na address — isang nako-configure na window bago maging magagamit ang isang bagong address para sa mga pag-withdraw. Isinasara nito ang swap window: kahit makakuha ng pansamantalang access ang isang attacker sa iyong account, hindi nila agad maaaring mag-withdraw sa isang bagong address.

Para i-enable: pumunta sa iyong mga setting ng Seguridad at i-on ang Address Whitelisting.

Channel validator

Bago makipag-ugnayan sa anumang email address, social media handle, o URL na nagsasabing Nexo ito, maaari mo itong i-verify sa nexo.com/channel-validator. Kung wala ito sa validator, hindi ito opisyal na channel ng Nexo.

Ito ay partikular na kapaki-pakinabang para sa social media — ang mga pekeng Nexo account sa X, Telegram, at Discord ay karaniwan, at karaniwang nagpapanggap sila bilang mga support staff o nagpapatakbo ng mga pekeng kampanya sa promosyon.

Ang hindi kailanman gagawin ng Nexo

Ilang bagay na sulit malaman, dahil ang pagkaalam sa mga ito ay nagpapadali ng pagtukoy ng mga pagtatangkang social engineering:

  • Hindi kailanman hihilingin ng Nexo ang iyong password o 2FA code

  • Hindi kailanman hihilingin ng Nexo na mag-authorize ka ng transaksyon sa pamamagitan ng chat, email, o text

  • Hindi kailanman magpapadala ang Nexo ng login link sa pamamagitan ng SMS

Kung may sinumang nagsasabing galing sa Nexo ay gumawa ng alinman sa mga iyon, hindi iyon Nexo. Maaari kang mag-ulat ng kahina-hinalang aktibidad sa Client Care team sa support.nexo.com/contact.

Saan talaga nanggagaling ang seguridad ng iyong account

Walang plataporma ang maaaring alisin ang lahat ng panganib. Ang ginagawa ng mga hakbang sa itaas — parehong ang infrastructure sa panig ng plataporma at ang mga feature sa panig ng user — ay ang pagbabawas ng attack surface at paggawa ng iyong account na mas mahirap ikompromiso.

Hinahawakan ng infrastructure ang mga bagay na hindi makikita o makokontrol ng mga user. Hinahawakan ng mga feature sa panig ng user ang mga bagay na hindi kaya ng plataporma — dahil kahit anong halaga ng backend na seguridad ay hindi makakapigil sa isang attacker na may hawak ng iyong mga kredensyal, o sa isang user na nag-click ng phishing link.

Ang pag-set up ng 2FA sa pamamagitan ng isang authenticator app, pag-enable ng Anti-Phishing Code, at pag-on ng address whitelisting ay aabutin ng wala pang sampung minuto. Ito ang pinakamataas na return na aksyon sa seguridad na hindi pa ginagawa ng karamihan sa mga user.

Para sa mas kumpletong pangkalahatang-ideya ng mga karaniwang banta at kung paano harapin ang mga ito, tingnan ang Mga karaniwang banta sa seguridad at kung paano mapagaan ang mga ito.

Mga madalas itanong

1. Ano ang anti-scam engine, at paano ito gumagana? 

Ito ay isang automated na sistema na nagsusuri ng bawat pag-withdraw sa real time bago umalis ang pondo sa plataporma. Kung mukhang kahina-hinala ang isang transaksyon — batay sa destination address, pattern ng transaksyon, o iba pang senyales — makikita mo ang malinaw na paliwanag. Sa mga bihirang high-risk na kaso, maaaring pansamantalang i-pause ang transaksyon. Gumagana ito bilang default nang walang kailangang i-configure.

2. Ano ang pagkakaiba ng SMS 2FA at ng isang authenticator app? 

Parehong nagdaragdag ng pangalawang hakbang sa pag-verify sa login. Ang SMS 2FA ay vulnerable sa mga SIM swap na atake, kung saan kinukumbinsi ng isang attacker ang iyong mobile carrier na muling italaga ang iyong numero sa isang SIM na kontrolado nila. Ang mga authenticator app ay gumagawa ng mga code nang lokal sa iyong device at hindi nakatali sa iyong numero ng telepono, na ginagawa silang mas lumalaban sa ganitong uri ng atake.

3. Ano ang dapat kong gawin kung makatanggap ako ng kahina-hinalang email na nagsasabing galing sa Nexo? 

Tingnan kung may dala itong iyong Anti-Phishing Code sa footer — kung wala, hindi ito galing sa Nexo. Maaari ka ring mag-verify ng anumang email address, social handle, o URL sa nexo.com/channel-validator. Iulat ang mga kahina-hinalang mensahe sa Client Care team ng Nexo sa support.nexo.com/contact.

4. Maaari bang ma-access ng mga staff ng Nexo ang aking account nang wala ang aking pahintulot? 

Hindi kailanman hihilingin ng Nexo ang iyong password o 2FA code, at hindi rin kailanman hihilingin na mag-authorize ka ng mga transaksyon sa pamamagitan ng chat, email, o text. Kung may sinumang nagsasabing sila ay Nexo support ay gumawa ng alinman sa mga iyon, hindi iyon Nexo.

5. Ano ang address whitelisting, at dapat ko ba itong i-enable? 

Ang Address whitelisting ay naglilimita ng mga pag-withdraw sa mga address na pre-approve mo na sa iyong Address Book. Nagbibigay-daan din ito sa iyo na magtakda ng delay bago maging magagamit ang mga bagong idinagdag na address. Nagpoprotekta ito laban sa address-swapping malware at nililimitahan ang maaaring gawin ng isang attacker gamit ang pansamantalang access sa account. Sulit itong i-enable kung regular kang nagpapadala sa parehong mga destinasyon ng pag-withdraw.

Ang mga materyales na ito ay naa-access sa buong mundo, at ang pagkakaroon ng impormasyong ito ay hindi bumubuo ng access sa mga inilarawang serbisyo, na maaaring hindi available sa ilang hurisdiksyon. Ang mga materyales na ito ay para sa pangkalahatang layunin ng impormasyon lamang at hindi inilaan bilang pampinansyal, legal, buwis, o payo sa investment, alok, solicitation, rekomendasyon, o endorsement na gamitin ang alinman sa mga Nexo Services at hindi naka-personalize, o sa anumang paraan ay inangkop upang ipakita ang mga partikular na layunin sa investment, sitwasyong pinansyal, o mga pangangailangan. Ang mga digital na asset ay napapailalim sa mataas na antas ng panganib, kabilang ngunit hindi limitado sa pabago-bagong dinamika ng presyo sa market, mga pagbabago sa regulasyon, at mga teknolohikal na pag-unlad. Ang nakaraang pagganap ng mga digital na asset ay hindi maaasahang tagapagpahiwatig ng mga resulta sa hinaharap. Ang mga digital na asset ay hindi pera o Legal na tender, hindi sinusuportahan ng gobyerno o ng isang sentral na bangko, at karamihan ay walang anumang pinagbabatayan na mga asset, daloy ng kita, o ibang pinagkukunan ng halaga. Ang independiyenteng pagpapasya batay sa personal na mga kalagayan ay dapat gawin, at ang konsultasyon sa isang kwalipikadong propesyonal ay inirerekomenda bago gumawa ng anumang desisyon.

Ang mga hakbang sa seguridad na inilarawan sa artikulong ito ay sumasalamin sa infrastructure at mga feature ng Nexo sa petsa ng publikasyon. Ang seguridad ay isang palaging umuusbong na larangan, at walang sistema ang nag-aalis ng lahat ng panganib. Hinihikayat ang mga user na manatiling updated at aktibong lumahok sa pagprotekta ng kanilang mga account.