Sự thật về lừa đảo đa ký trên ví TRON và cách người dùng bảo vệ tài sản an toàn?
Tuyển chọn TechFlowTuyển chọn TechFlow
Sự thật về lừa đảo đa ký trên ví TRON và cách người dùng bảo vệ tài sản an toàn?
An toàn đa chữ ký, trước tiên cần đảm bảo an toàn khóa riêng.
Chuyên sâu báo cáo Web3Gần đây, cộng đồng người dùng TRON và TokenPocket đều phản ánh rằng ví tiền của họ bị thiết lập chức năng "đa ký" một cách bí ẩn, dẫn đến không thể thực hiện giao dịch tài sản mã hóa bình thường, nghiêm trọng hơn là tài sản trong ví đã bị đánh cắp.
Các người dùng nêu trên chính xác đã trở thành nạn nhân của mánh lừa đa ký nhắm vào ví TronLink và ví TokenPocket trên hệ sinh thái TRON.
Đối với những người mới bước chân vào thế giới tiền mã hóa, việc sử dụng đúng cách ví cá nhân luôn là chủ đề không thể bỏ qua. Toàn bộ thế giới mã hóa giống như một khu rừng tối tăm, các hình thức lừa đảo xung quanh ví tiền cũng liên tục xuất hiện, chỉ cần người dùng sơ sẩy một chút là có thể mất sạch tài sản.
Vậy cơ chế đa ký rốt cuộc là gì, vì sao một số người dùng lại mắc bẫy? Liệu có phải do thiết kế bảo mật của TRON có vấn đề, hay đây chỉ là cái bẫy cố ý được kẻ xấu tạo ra? Nếu bạn đang sử dụng các ví nói trên hoặc muốn hiểu rõ nguyên lý cơ chế đa ký của TRON để tránh rơi vào bẫy lừa đảo, bài viết này sẽ hữu ích đối với bạn.
Tại sao ví bị thiết lập đa ký?
Trước tiên, chúng ta hãy tìm hiểu về cơ chế đa ký của TRON.
Thông thường, mỗi giao dịch trong ví của bạn đều yêu cầu bạn phải tự "ký tên" thì mới được thực hiện; chữ ký này có thể là nhập mật khẩu do bạn đặt, hoặc xác nhận bằng vân tay trên điện thoại. Trong trường hợp này, "bạn độc quyền quyết định dòng tiền trong tài khoản". Chỉ cần một chữ ký từ bạn là có thể hoàn tất việc chuyển tài sản mã hóa trong tài khoản.
Tuy nhiên cũng tồn tại tình huống "nhiều người cùng quyết định dòng tiền trong tài khoản", ví dụ như tài sản mã hóa chung của nhóm hoặc công ty, hoặc bạn để đảm bảo an toàn, sở hữu hai ví khác nhau, khi cả hai ví đều đồng ý thì giao dịch mới được thông qua. Trong trường hợp này, một tài khoản có thể được quản lý bởi nhiều khóa riêng, và các giao dịch tạo trong tài khoản có thể được ký bởi nhiều khóa riêng, cho phép nhiều người cùng quản lý tài sản mã hóa với các mức độ quyền lực khác nhau.
Cả ví TronLink và ví TokenPocket trên hệ sinh thái TRON đều hỗ trợ thiết lập cơ chế đa ký để đáp ứng các nhu cầu sử dụng khác nhau.
Nguồn ảnh: Tài liệu ví TRON
Hiểu rõ khái niệm đa ký rồi, bây giờ hãy cùng xem xét các nguyên nhân khiến người dùng bị thiết lập đa ký.
Thứ nhất, người dùng chủ động thiết lập đa ký
Một số người mới khi khám phá chức năng ví có thể vô tình thiết lập chế độ đa ký. Khi chuyển tài sản, do đã bật chức năng đa ký, cần ít nhất 2 địa chỉ ví cùng ký và xác nhận giao dịch, lúc này chỉ với 1 ví trong tay người dùng là không đủ để hoàn tất giao dịch, dẫn đến giao dịch bị đình trệ.
Tình trạng này do thao tác sai của người dùng gây ra, tài sản của họ vẫn an toàn. Cách xử lý đơn giản: người dùng chỉ cần thỏa mãn điều kiện đa ký khi giao dịch, hoặc hủy thiết lập đa ký và dùng chữ ký đơn để thực hiện giao dịch.
Thứ hai, khóa riêng bị lộ khiến người khác thiết lập đa ký
Tình huống phổ biến nhất là người dùng tải phải ví giả qua các trang web lừa đảo. Khi dùng phần mềm ví giả, người dùng vẫn tạo được khóa riêng và cụm từ khôi phục.
Nhưng ví giả có thể đánh cắp khóa riêng/cụm từ khôi phục, nghĩa là quyền kiểm soát ví đã rơi vào tay kẻ khác; lúc này, thông qua cơ chế đa ký, kẻ đánh cắp có thể thiết lập đa ký giữa địa chỉ của hắn và của bạn. Khi bạn chuyển tiền riêng lẻ sẽ thấy không thể thực hiện, còn đối phương nhờ có khóa riêng của bạn kết hợp với ví đa ký của hắn, có thể rút sạch tài sản của bạn.
Thứ ba, kẻ lừa đảo cố ý tiết lộ khóa riêng, khiến tiền gửi vào không thể rút ra
Chiêu thức này tuy cũ nhưng vẫn rất hiệu quả với người mới. Kẻ lừa đảo trực tiếp đưa khóa riêng ví của hắn cho bạn, thường thì ví này còn chứa một lượng tài sản đáng kể. Hắn có thể nói dối rằng không biết cách sử dụng, nhờ bạn giúp chuyển một lượng TRX nhất định vào ví, sau đó rút ra một lượng tương đương stablecoin.
Người dùng có thể nghĩ mình đang chiếm lợi, liền import khóa riêng hoặc cụm từ khôi phục của đối phương, rồi gửi TRX vào ví đó. Lúc này, cái bẫy đa ký sẽ được kích hoạt.
Ví mà kẻ lừa đảo đưa thực chất đã được thiết lập sẵn chế độ đa ký, nên dù bạn có khóa riêng của hắn thì cũng không thể vận hành tài sản trong ví, còn tài sản bạn gửi vào sẽ mất trắng.
Nguồn ảnh: Ví TP
Thứ tư, nhấn vào liên kết lừa đảo dẫn đến thay đổi quyền hạn
Trường hợp này xảy ra khi người dùng nhấn vào liên kết lừa đảo khiến quyền hạn ví bị thay đổi. Ví dụ, kẻ lừa đảo dựng lên một trang web bán thẻ giảm giá hoặc nạp tiền với giá rẻ, khi người dùng dùng liên kết do chúng cung cấp để nạp tiền, mã độc nâng quyền sẽ được kích hoạt, người dùng xác nhận trực tiếp và nhập mật khẩu ký tên, dẫn đến quyền hạn địa chỉ ví bị thay đổi.
Theo ví dụ thực tế do ví TP cung cấp, sau khi người dùng nhấn vào liên kết lừa đảo và thực hiện chuyển tiền, ví sẽ ngay lập tức hiển thị cảnh báo, cho biết thao tác này thực chất không phải là một giao dịch chuyển tiền thông thường, mà là chức năng "kích hoạt nâng cấp quyền hạn tài khoản". Một khi người dùng nhấn xác nhận, đồng nghĩa với việc cấp quyền đa ký cho kẻ lừa đảo. Sau khi địa chỉ ví bị thiết lập đa ký trái phép, mọi giao dịch chuyển tiền sau này sẽ gặp vấn đề, và kẻ xấu có thể lợi dụng thêm quyền hạn để di chuyển tài sản.
Nguồn ảnh: Ví TP
An toàn đa ký bắt nguồn từ an toàn khóa riêng
Từ bốn tình huống bị thiết lập đa ký nêu trên có thể thấy rằng, việc lộ khóa riêng hoặc nhẹ dạ tin vào liên kết lừa đảo, ví giả của người khác là nguyên nhân trực tiếp dẫn đến mất tài sản.
Trong các vụ lừa đảo này, cơ chế đa ký phần lớn bị lợi dụng như một công cụ để thực hiện hành vi gian lận.
Rõ ràng đây không phải là mục đích ban đầu của cơ chế đa ký TRON.
Chúng ta có thể hình dung cơ chế đa ký của ví TRON như một ổ khóa chống trộm cao cấp hơn, cần mở nhiều ổ khóa mới có thể di chuyển tài sản trong nhà. Nhưng tính bảo mật này có một điều kiện tiên quyết, đó là người dùng phải giữ chắc quyền hạn thuộc về mình. Nếu tất cả chìa khóa mở khóa đều nằm trong tay một người, thì dù ổ khóa tốt đến đâu cũng mất giá trị.
Kết hợp xem xét vấn đề lừa đảo ví hiện nay với cơ chế đa ký của TRON, chúng ta dễ dàng nhận thấy: trong đa số trường hợp người dùng vô tình mắc sai lầm, bản thân cơ chế đa ký không có vấn đề gì, vấn đề chủ yếu đến từ môi trường – sự chênh lệch về trình độ kỹ thuật giữa người dùng và kẻ lừa đảo trong thế giới mã hóa, giai đoạn đầu ngành cũng thiếu các biện pháp kỹ thuật cảnh báo, nhận diện và phản制成熟的技术预警、识别和反制措施。
Tuy nhiên, trong tình hình hiện tại, khi TRON cung cấp cơ chế đa ký cho người dùng, liệu có thể tiến thêm một bước ở phía phát triển, dùng các giải pháp kỹ thuật để giảm thiểu tối đa khả năng xảy ra gian lận?
Cơ chế đa ký hiện tại của TRON chỉ có thể sử dụng trong ví TronLink và ví TokenPocket.
Hiện nay, do đa ký liên quan đến chữ ký khóa riêng khá nhạy cảm, TRON đã tạm ngừng cung cấp các dịch vụ API liên quan đến chữ ký khóa riêng trong tài liệu tham khảo API.
Ngoài ra, các ví và sản phẩm liên quan có thể tự đánh giá cơ chế đa ký theo nhu cầu cụ thể, và tự quyết định có hiển thị thông tin nhắc nhở liên quan cho người dùng hay không, cũng như cách thức hiển thị. Do đó,cơ chế đa ký TRON không phải là lựa chọn bắt buộc hiển thị trước mặt người dùng. Việc hiện diện tùy chọn này cũng không đánh đổi bằng sự an toàn và độ tin cậy.
Tuy nhiên, an toàn cuối cùng của tài sản vẫn phụ thuộc vào việc nâng cao nhận thức bảo mật trong tâm trí người dùng. Giảm bớt mong đợi may mắn bất ngờ, tăng cường cảnh giác trước các cám dỗ và bẫy lừa, cảnh giác với các mánh lừa có thể xảy ra, an toàn của cả thế giới mã hóa sẽ được nâng cao thêm một bậc.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
