“Lalo nang nagiging mahirap patunayan na ikaw talaga ang totoong ikaw.” ‘Yan ang insight ni Federico Variola, CEO ng Phemex, na tumama sa malaking concern ngayon sa crypto — lampas pa ‘yan sa mga smart contract o infrastructure bugs.
Habang nagpa-panel discussion kasabay nina Ian Rogers, Chief Experience Officer ng Ledger, at Dmitry Budorin, co-founder at CEO ng cybersecurity firm na Hacken, pinaliwanag ni Variola kung paano lumalabas sa totoong buhay ang mga crypto security threat. Nagbabago man ang mga gamit dahil sa AI, tao pa rin talaga ang pinaka-weak point — kung paano sila mag-usap, mag-decide agad, at kung kanino sila nagtitiwala.
Nakadepende ‘to kadalasan sa mga simpleng gawain natin araw-araw. Sa mga exchange at wallet, tanggap na ng lahat na yung mga maliliit na habit natin ang naghuhubog ng risk. Para kay Federico Variola, dito nakabase kung paano gumagawa ng system at proseso ang mga exchange, paano nila pinapahirapan nang konti para sa seguridad, at paano nila minamanage ang interaction ng tao sa mga wallets, social media, at mga on-chain identity.
Mas Malaking Value, Mas Laki ng Target
Umpisa pa lang ng usapan, tinamaan agad ni Federico yung tanong ng buong crypto industry: Lalo bang bumababa ang security sa crypto, o mas lumalakas na lang talaga yung mga attacker?
“Pwede mong sabihin na itong taon na ‘to ang pinakagrabe para sa cybercrime — at baka mas grabe pa next year. Hindi dahil humina tayo sa security, kundi dahil mas malaki na ang value. Pag mas malaki yung napapanalunan, mas marami talagang sumubok na kunin ‘yon.”
Habang lumalaki ang crypto, dumadami rin ang incentive ng mga attacker. Sabi ni Variola, nagkakaroon ng imbalance palagi — mas mabilis mag-evolve ang powers ng attackers kesa sa protection, lalo na kapag bull market.
“Parang ngayon, naiiwan sa gitna, kasi mas mabilis ang growth ng mga tools kesa sa protection. At sa bawat bull run, may mga seryoso at rational na tao na nagpe-persuade sa iyo na okay lang mag-shortcut sa security o self-custody, tapos lagi din nag-eend up sa parehong resulta.”
Nag-share ng simple example si Rogers para ipakita point niya. Kahit veterans sa crypto — pati yung mga gumagawa ng wallet mismo — naloloko pa din ng convincing phishing links sa Discord o browser wallet. Malaking tulong ang experience, pero hindi ito guarantee, kailangan talaga ng constant na pag-iingat.
Kapag Identity ang Nagiging Butas sa Seguridad
Para kay Variola, pinakamalaki ang pagbabago sa paraan ng pag-atake ngayon.
“Yung mga attacker ngayon, malalakas ang pondo — minsan galing pa sa gobyerno. Ang bilis nilang gumalaw, hindi nakakahabol ang iba. At yung mga tools na gamit natin — AI, automation — double-edged sword talaga. Kung nagagamit natin sa good, nagagamit din nila sa scam. Lalo pang nagiging kumplikado ang social attack. Ginaya pa nga ‘yung itsura ko, ginamit sa video call para lang maloko ang mga investor at business partner.”
Sinabi rin ni Ian Rogers mula sa hardware wallet side na karamihan ng attacks ngayon, tungkol na sa psychology — hindi lang technology. Agree si Variola — sa exchanges mismo, madalas mas madali nang i-convince ang tao kaysa i-breach ang system.
Sabi pa ni Rogers nung panel, “kahit sino sa atin, pwedeng mabiktima”. Kahit mga crypto-natives, basta nagsama ang sense of urgency at magaling mag-social engineer yung scammer, kaya pa rin nilang lampasan ang matitibay na security practice.
Totoong Kalagayan ng Exchanges: Cold, Hot, at Sobrang Tao
Bilang exchange, nilinaw ni Federico ang pagkakaiba ng guarantee versus assumption.
“Yung pwede lang naming idiin na ‘di talaga gagalawin para sa users, e yung cold wallet. Di ‘yan pwedeng pag-usapan. Pero yung hot wallet, dahil palaging online, may risk ‘yan by default.”
At kapag matindi ang galawan sa market, lalo lang tumataas ang risk.
“Kapag bull market, gusto ng users na laging loaded ang hot wallet. Mabilis silang gumalaw, minsan malalaki pa ang amounts, lalo na sa mga altcoin. Sobrang demanding ng users tuwing gano’n.”
Yan ang nagdadala ng pressure — gusto ng users bilis at convenience. Pero kadalasan, security nangangailangan talaga ng kaunting abala.
“Kailangan mong magdagdag ng iba’t ibang layers ng friction para siguradong ligtas ang funds, kahit anong ireklamo ng user. Sa totoo lang, parang nilalabanan mo na rin minsan mismong users mo.”
Alanganin man para sa exchanges, pero naniniwala si Federico na wala talagang ibang choice ‘to — kung seryoso ka sa long-term na protection kesa pansamantalang saya lang ng user.
Mga Natutunan Mo Dahil sa Experience
Habang usapan, napag-usapan ni Variola yung isang security incident na naranasan ng Phemex noong nakaraang taon.
“Isa sa pinakamalaking natutunan namin — mas target pala kami kaysa sa iniisip namin.”
Pero pinaka-importanteng aral, tungkol talaga sa tao.
“Minaliitin namin gaano kalaganap ang phishing at social engineering — at yung mga attacker, inuuna talagang targetin yung mga lowest level sa team, gaya ng intern, designer, o yung mga akala nila di naman sila importanteng tao sa security, tapos tataas-taas pataas sa mga crucial na role.”
Si Dmitry Budorin pa, may diretsahang analogy: ang phishing, parang fishing lang — kahit matalino yung isda, basta off-guard o distracted, mauuto parin. Para sa kanya, ang delikado dito, parang ‘di mo maiwasan.
‘Yan din mismo ang mindset ni Variola pagdating sa security.
“Hindi pwedeng engineer lang o exec lang ang nag-iingat. Dapat bawat isa sa buong organization, alam nila yung risk na kinakaharap nila. Kahit bagitong intern, kailangan aware sa lahat ng nangyayari.”
Dinagdag pa ni Budorin, sa maraming sitwasyon, hindi lang mga bagito o junior staff ang target — CEO na mismo. Yung mga founder at exec, sila pa lalo — kasi kilala at sila ang may access sa lahat.
Matapos ‘yung insidenteng ‘yon, tinaasan pa ng Phemex yung security nila overall, pero mas malaki pa ‘yung naging pagbabago sa loob ng team.
‘Di Puwede Pagsamahin ang Social Layer at Financial Layer
“Sobrang social talaga ng crypto industry. NFTs, social media, Telegram – lahat ng ‘yan, nagiging target ng mga attacker.”
Pinuna ni Federico Variola na parang ang gaan-gaan lang ng mga sensitive na usapan sa mga platform na hindi naman talaga ginawa para maging secure.
“Lalo na ang Telegram, isa ‘yan sa mga platform na sobrang hina sa security, pero dito pa rin nag-uusap-usap ang mga tao sa industry.”
Sinabi rin niya na hindi siya komportable sa trend na uso ngayon, yung pagta-track ng wallet at pagsasapubliko kung kanino nakatalaga ang mga wallet address.
“Hindi ako fan ng trend na ito na tina-track yung wallets tapos ina-attribute sa totoong tao. Parang labag sa crypto philosophy. Pero sa totoo lang, habang mas successful ka, mas nagiging target ka, at mas malaki na kailangan mong ilaan na resources para protektahan ang sarili mo.”
Iba na ang Laban: Binabago ng Decentralization ang Gastos ng Pag-atake
Kung titingin sa future, naniniwala si Variola na malaking parte ng pagbabago sa crypto security ang decentralization at self-custody.
“Habang mas nagiging normal ang decentralization, na-di-distribute natin yung security risk sa mas maraming points of failure. Ibig sabihin, mapipilitan ang mga hacker na tirahin na individually ang mga tao, imbes na isang malaking attack lang sa single point of failure.”
Hindi ibig sabihin nun na mawawala na ang risk. Magbabago lang kung paano ito kumalat.
“May sariling mga challenges ang DEXs at decentralized platforms. Parang ‘Code is law’ talaga dito. Hindi puwedeng biglang i-pause ang chain. Laging may bagong risk. Pero overall, sa tingin ko, maganda ‘to para sa industry.”
Para sa mga exchange, ibig sabihin nito kailangan nilang mag-adapt, hindi magmatigas.
“Hindi mawawala ang mga centralized platforms, pero kelangan nating mag-evolve. Kailangan sumabay ang security model sa pagbabago ng ugali ng users.”
Alin sa Mga Crypto ang Magpapatuloy ang Laban Limang Taon Mula Ngayon?
Pagdating sa future, ayon kay Federico Variola, hindi ganun kasimple na parang masasagot lang ng crypto ang lahat ng problema sa security, tapos move on na.
“AI ang magiging pinakamatinding challenge,” sabi niya. “Sa susunod na mga taon, dadagdag pa ang quantum computing bilang isa pang risk layer.”
Nung tinanong kung ang AI ba ay nakakatulong sa mga defender tulad ng sa mga attacker, diretso ang sagot niya: “Nakakalungkot, pero mas nagbe-benefit ang attackers dahil dito kesa sa nagpapasafe sa mga tao.”
Nakikita ni Variola na ito na yung moment na mas nagmamature ang industry. Dumadating ang matitinding tech talent sa crypto, at ang security ay nagiging normal na parte ng daily operations sa mga company. Lalo na ngayong ang system ay gawa para hindi masyadong magtiwala, focus na ngayon kung saan pa rin may natitirang tiwala at paano ito ima-manage ng maayos.
