
An toàn đặc biệt số 01|OKX Web3 & SlowMist: Chia sẻ kinh nghiệm trải qua "trăm hình ngàn kiểu lừa đảo"
Tuyển chọn TechFlowTuyển chọn TechFlow

An toàn đặc biệt số 01|OKX Web3 & SlowMist: Chia sẻ kinh nghiệm trải qua "trăm hình ngàn kiểu lừa đảo"
Một ngày nọ, nếu có người đột nhiên gửi cho bạn khóa riêng của một địa chỉ ví trị giá 1 triệu USD, bạn có muốn立刻 chuyển tiền đi ngay không?
Lời nói đầu
OKX Web3 đã đặc biệt lên kế hoạch chuyên mục "Tạp chí An toàn", nhằm giải đáp chuyên sâu cho các vấn đề an toàn trên chuỗi thuộc nhiều loại khác nhau. Dựa trên những trường hợp thực tế nhất xảy ra quanh người dùng, phối hợp cùng các chuyên gia hoặc tổ chức trong lĩnh vực an toàn, chia sẻ và giải đáp từ hai góc nhìn khác nhau, từ đó hệ thống hóa và khái quát các quy tắc giao dịch an toàn một cách rõ ràng, từng bước đi sâu vào chi tiết. Mục đích là không chỉ tăng cường giáo dục an toàn cho người dùng mà còn giúp họ học cách tự bảo vệ khóa riêng tư và tài sản ví từ chính bản thân mình.
Một ngày nọ, đột nhiên có người tặng bạn khóa riêng tư của một địa chỉ ví trị giá 1 triệu USD, liệu bạn có muốn lập tức rút tiền đi không?
Nếu câu trả lời là có, thì bài viết này chính là dành riêng cho bạn.
Bài viết này là số 01 của loạt "Tạp chí An toàn" do OKX Web3 thực hiện, mời đội ngũ an ninh nổi tiếng SlowMist – tổ chức an toàn trong ngành mã hóa đã trải qua “trăm cuộc lừa đảo” – cùng với đội an ninh OKX Web3, xuất phát từ những trường hợp thực tế nhất mà người dùng gặp phải để chia sẻ, nội dung cực kỳ bổ ích!

Đội an ninh SlowMist: Rất cảm ơn lời mời từ OKX Web3. SlowMist, với tư cách là một công ty an ninh blockchain hàng đầu trong ngành, chủ yếu cung cấp dịch vụ kiểm toán an ninh và truy tìm nguồn gốc chống rửa tiền cho khách hàng, đồng thời xây dựng mạng lưới hợp tác thông tin đe dọa vững chắc. Trong năm 2023, SlowMist đã hỗ trợ khách hàng, đối tác và các sự kiện bị hack công khai đóng băng tổng cộng hơn 12,5 triệu USD. Mong rằng với tinh thần kính trọng ngành và an toàn, chúng tôi sẽ tiếp tục đưa ra những giá trị hữu ích.
Đội an ninh OKX Web3: Xin chào mọi người, rất vui được tham gia buổi chia sẻ lần này. Đội an ninh OKX Web3 chịu trách nhiệm xây dựng năng lực bảo mật cho ví OKX Web3, cung cấp nhiều lớp bảo vệ như an toàn sản phẩm, an toàn người dùng, an toàn giao dịch, bảo vệ an toàn ví người dùng 24/7, đồng thời đóng góp cho việc duy trì hệ sinh thái an toàn blockchain toàn diện.
Câu hỏi 1: Có thể chia sẻ một vài trường hợp bị đánh cắp thực tế không?
Đội an ninh SlowMist: Thứ nhất, phần lớn các trường hợp là do người dùng lưu trữ khóa riêng hoặc cụm từ khôi phục (seed phrase) lên môi trường trực tuyến. Ví dụ, người dùng thường sử dụng các dịch vụ lưu trữ đám mây như Google Docs, Tencent Docs, Baidu Yun, WeChat Favorites, Notes... Khi tài khoản các nền tảng này bị hacker thu thập và tấn công thành công bằng phương pháp "va chạm cơ sở dữ liệu" (brute-force attack), khóa riêng rất dễ bị đánh cắp.
Thứ hai, người dùng tải ứng dụng giả mạo dẫn đến rò rỉ khóa riêng. Ví dụ, lừa đảo đa chữ ký là một điển hình, kẻ gian dụ người dùng tải ví giả và lấy cắp cụm từ khôi phục ví, sau đó ngay lập tức sửa đổi quyền kiểm soát ví: chuyển quyền kiểm soát từ cá nhân người dùng sang cả người dùng và kẻ gian cùng giữ, chiếm đoạt quyền kiểm soát ví. Những kẻ lừa đảo này thường kiên nhẫn chờ đến khi tài khoản người dùng tích lũy một lượng tài sản mã hóa nhất định rồi mới rút sạch một lần.
Đội an ninh OKX Web3: SlowMist đã khái quát hai tình huống chính khiến khóa riêng bị đánh cắp. Còn tình huống thứ hai, bản chất của việc kẻ gian lợi dụng ứng dụng giả để lấy khóa riêng là chương trình virus Trojan. Loại Trojan này thông qua việc lấy quyền truy cập bộ gõ, ảnh chụp màn hình,... để đánh cắp khóa riêng người dùng. So với người dùng iOS, người dùng Android thường gặp nhiều hơn các cuộc tấn công virus Trojan. Dưới đây là hai ví dụ đơn giản:
Ví dụ một: Người dùng phản ánh tài sản ví bị đánh cắp. Sau khi làm việc và kiểm tra cùng đội ngũ chúng tôi phát hiện: trước đó anh ta đã tìm kiếm trên Google và tải, cài đặt phần mềm giả mạo của một nền tảng dữ liệu nào đó - phần mềm này là một Trojan. Tuy nhiên, vì liên kết đến phần mềm này nằm trong TOP 5 kết quả tìm kiếm Google nên người dùng lầm tưởng là phần mềm chính thức. Thực tế, nhiều người dùng không phân biệt kỹ các liên kết do Google cung cấp, do đó rất dễ bị tấn công Trojan theo cách này. Chúng tôi khuyến nghị người dùng nên áp dụng các biện pháp phòng thủ an toàn hàng ngày như tường lửa, phần mềm diệt virus và cấu hình Hosts.
Ví dụ hai: Người dùng phản ánh khi đầu tư vào một dự án DeFi, tài sản ví bị đánh cắp. Tuy nhiên, sau khi phân tích và điều tra, chúng tôi nhận thấy bản thân dự án DeFi đó không có vấn đề gì. Việc tài sản ví B bị đánh cắp là do người dùng khi bình luận về dự án trên Twitter đã bị kẻ giả mạo nhân viên chăm sóc khách hàng chính thức của dự án DeFi này nhắm tới. Dưới sự hướng dẫn của nhân viên giả mạo này, người dùng đã nhấn vào liên kết giả và nhập cụm từ khôi phục, dẫn đến mất mát tài sản.
Như vậy có thể thấy, thủ đoạn của kẻ lừa đảo không quá cao minh, nhưng người dùng cần nâng cao ý thức phân biệt. Trong bất kỳ hoàn cảnh nào cũng tuyệt đối không được tiết lộ dễ dàng khóa riêng của mình. Ngoài ra, ví của chúng tôi đã đưa ra cảnh báo rủi ro an toàn đối với tên miền độc hại này.

Câu hỏi 2: Có tồn tại phương pháp lưu trữ khóa riêng tốt nhất không? Hiện nay có những giải pháp thay thế nào giúp giảm sự phụ thuộc vào khóa riêng?
Đội an ninh SlowMist: Khóa riêng hoặc cụm từ khôi phục thực chất là một điểm lỗi đơn lẻ (single point of failure), một khi bị đánh cắp hay mất mát thì khó cứu vãn. Hiện nay, các công nghệ mới như MPC (tính toán an toàn đa bên), xác thực xã hội (social recovery), Seedless/Keyless, thực thi trước giao dịch (pre-execution) và chứng minh không kiến thức (zero-knowledge proof)... đang giúp người dùng giảm sự phụ thuộc vào khóa riêng.
Lấy MPC làm ví dụ, thứ nhất, MPC là kỹ thuật mà tất cả các bên tham gia cùng thực hiện tính toán phức tạp để hoàn thành một nhiệm vụ, trong khi dữ liệu của họ vẫn giữ riêng tư và an toàn, không chia sẻ với các bên khác. Thứ hai, ví MPC nói đơn giản là sử dụng công nghệ MPC để chia nhỏ an toàn một khóa riêng thành nhiều phần, do nhiều bên quản lý chung; hoặc thậm chí tạo ra một khóa ảo chung bởi nhiều bên, tình huống sau phổ biến hơn vì lúc đó không ai từng nhìn thấy khóa riêng đầy đủ. Tóm lại, tư tưởng cốt lõi của MPC là phân tán quyền kiểm soát nhằm đạt mục tiêu phân tán rủi ro hoặc nâng cao khả năng phòng ngừa thảm họa, hiệu quả tránh được các vấn đề an toàn như điểm lỗi đơn lẻ.
Lưu ý, MPC liên quan đến một thuật ngữ gọi là Keyless, có thể hiểu là "không cần cụm từ khôi phục", hoặc cũng có thể gọi là "không khóa riêng". Nhưng chữ "không" này không có nghĩa là thật sự không có khóa, mà là người dùng không cần sao lưu cụm từ khôi phục hay khóa riêng, và cũng không cảm nhận được sự tồn tại của chúng. Vì vậy, cần hiểu rõ 3 điểm sau về ví Keyless:
1. Trong suốt quá trình tạo ví Keyless, khóa riêng sẽ không bao giờ được tạo ra hay lưu trữ ở bất kỳ thời điểm hay nơi đâu.
2. Khi ký giao dịch, không liên quan đến khóa riêng, và khóa riêng sẽ không bao giờ được tái tạo.
3. Ví Keyless sẽ không bao giờ tạo hay lưu trữ khóa riêng đầy đủ hay cụm từ khôi phục.
Đội an ninh OKX Web3: Hiện tại không tồn tại cách thức hoàn hảo để lưu trữ khóa riêng. Tuy nhiên, đội an ninh chúng tôi khuyến nghị sử dụng ví phần cứng, chép tay lưu trữ khóa riêng, thiết lập đa chữ ký, lưu trữ phân tán cụm từ khôi phục để quản lý khóa riêng. Ví dụ, lưu trữ phân tán cụm từ khôi phục nghĩa là người dùng có thể chia cụm từ khôi phục thành 2 nhóm hoặc nhiều nhóm để lưu trữ, giảm nguy cơ bị đánh cắp. Một ví dụ khác là thiết lập đa chữ ký: người dùng có thể chọn những người đáng tin cậy cùng ký để quyết định độ an toàn của giao dịch.
Tất nhiên, để đảm bảo an toàn khóa riêng ví người dùng, hạ tầng nền tảng của ví OKX Web3 hoàn toàn không kết nối mạng, thông tin cụm từ khôi phục và khóa riêng của người dùng được mã hóa và lưu trữ hoàn toàn trên thiết bị cá nhân của họ, đồng thời các SDK liên quan cũng được mã nguồn mở, trải qua kiểm chứng rộng rãi từ cộng đồng kỹ thuật, minh bạch và công khai hơn. Ngoài ra, ví OKX Web3 cũng đã hợp tác với các tổ chức an ninh uy tín như SlowMist để tiến hành kiểm toán an ninh nghiêm ngặt.
Ngoài ra, để bảo vệ người dùng tốt hơn, về mặt quản lý khóa riêng, đội an ninh OKX Web3 đang cung cấp và lên kế hoạch triển khai các năng lực an ninh mạnh mẽ hơn, liên tục cải tiến và nâng cấp. Dưới đây xin chia sẻ sơ lược:
1. Mã hóa hai yếu tố. Hiện nay, phần lớn ví thường dùng mật khẩu để mã hóa cụm từ khôi phục, lưu nội dung đã mã hóa tại thiết bị cục bộ. Tuy nhiên, nếu người dùng nhiễm virus Trojan, loại virus này sẽ quét nội dung đã mã hóa và theo dõi mật khẩu người dùng nhập. Nếu bị kẻ gian nghe lén, chúng có thể giải mã nội dung và lấy được cụm từ khôi phục. Trong tương lai, ví OKX Web3 sẽ áp dụng phương pháp hai yếu tố để mã hóa cụm từ khôi phục, ngay cả khi kẻ gian lấy được mật khẩu qua virus, cũng không thể giải mã nội dung.
2. An toàn khi sao chép khóa riêng. Phần lớn virus Trojan đánh cắp thông tin trong bộ nhớ tạm khi người dùng sao chép khóa riêng, dẫn đến rò rỉ. Chúng tôi dự định tăng cường an toàn trong quá trình sao chép khóa riêng của người dùng, ví dụ như chỉ sao chép một phần khóa riêng, xóa nhanh thông tin trong bộ nhớ tạm... để giúp người dùng giảm thiểu rủi ro bị đánh cắp thông tin khóa riêng.
Câu hỏi 3: Từ vấn đề khóa riêng bị đánh cắp, hiện nay các hình thức钓鱼 phổ biến là gì?
Đội an ninh SlowMist: Theo quan sát của chúng tôi, hoạt động钓鱼 tăng dần mỗi tháng.
Thứ nhất, hiện nay Wallet Drainers (các công cụ rút sạch ví) tạo thành mối đe dọa钓鱼 chính, liên tục tấn công người dùng bình thường dưới nhiều hình thức.
Wallet Drainer là phần mềm độc hại liên quan đến tiền mã hóa, được triển khai trên các trang web钓鱼, dụ người dùng ký các giao dịch độc hại để đánh cắp tài sản ví. Ví dụ, một số Wallet Drainer đang hoạt động mạnh hiện nay gồm:
1. Pink Drainer: sử dụng kỹ thuật xã hội để lấy token Discord và tiến hành钓鱼. Kỹ thuật xã hội hiểu đơn giản là dùng phương pháp giao tiếp để moi thông tin riêng tư của người dùng.
2. Angel Drainer: tấn công kỹ thuật xã hội lên nhà cung cấp dịch vụ tên miền. Sau khi chiếm được quyền tài khoản tên miền, Angel Drainer sẽ thay đổi bản ghi DNS, chuyển hướng người dùng đến trang web giả mạo...
Thứ hai, hiện nay phổ biến nhất vẫn là钓鱼 ký mù (blind signing). Ký mù nghĩa là khi người dùng tương tác với một dự án, họ không biết nội dung mình đang ký hay ủy quyền là gì, cứ thế bấm xác nhận, dẫn đến mất tiền. Về钓鱼 ký mù, chúng tôi xin đưa ra vài ví dụ:
Ví dụ 1: eth_sign. Đây là một phương pháp ký mở, cho phép ký bất kỳ hash nào, nghĩa là nó có thể dùng để ký giao dịch hoặc bất kỳ dữ liệu nào. Người dùng không có nền tảng kỹ thuật thường khó hiểu nội dung ký, tạo ra rủi ro钓鱼. May mắn là ngày càng nhiều ví bắt đầu cảnh báo an toàn cho loại ký này, phần nào giúp tránh rủi ro mất tài sản.
Ví dụ 2:钓鱼 ký permit. Chúng ta đều biết trong giao dịch coin ERC20, người dùng có thể gọi hàm approve để ủy quyền, nhưng hàm permit cho phép người dùng tạo chữ ký bên ngoài chuỗi rồi ủy quyền cho người dùng cụ thể dùng một lượng token nhất định. Kẻ tấn công lợi dụng phương pháp permit để钓鱼: khi nạn nhân truy cập trang web钓鱼, chúng dụ người dùng ký ủy quyền permit. Sau khi người dùng ký, kẻ tấn công lấy được dữ liệu chữ ký, gọi hàm permit của hợp đồng token, truyền dữ liệu chữ ký rồi phát sóng lên chuỗi để lấy quyền hạn ủy quyền, từ đó đánh cắp token của người dùng.
Ví dụ 3: Thủ thuật create2 ẩn giấu. Create2 cho phép nhà phát triển dự đoán địa chỉ hợp đồng trước khi triển khai hợp đồng lên mạng Ethereum. Dựa trên create2, kẻ tấn công có thể tạo địa chỉ mới tạm thời cho mỗi chữ ký độc hại. Sau khi lừa người dùng cấp quyền ký, kẻ tấn công có thể tạo hợp đồng tại địa chỉ này rồi chuyển tài sản người dùng. Vì là địa chỉ trống, các địa chỉ này có thể vượt qua cảnh báo giám sát của plugin钓鱼 và công ty an ninh, độ ẩn giấu cao, người dùng dễ mắc bẫy.
Tóm lại, với các trang web钓鱼, người dùng cần xác minh website chính thức của dự án trước khi tương tác, chú ý xem trong quá trình tương tác có yêu cầu ký độc hại hay không, và luôn cảnh giác với hành vi nộp cụm từ khôi phục hay khóa riêng, tuyệt đối không tiết lộ cụm từ khôi phục hay khóa riêng ở bất kỳ đâu.
Đội an ninh OKX Web3: Chúng tôi đã nghiên cứu các hình thức钓鱼 phổ biến và cung cấp nhiều lớp bảo vệ an ninh trong sản phẩm. Dưới đây là chia sẻ ngắn gọn về các hình thức钓鱼 chính mà người dùng thường gặp:
Loại thứ nhất: Airdrop giả. Hacker thường tạo địa chỉ giống đầu cuối với địa chỉ nạn nhân, rồi thực hiện chuyển tiền nhỏ, chuyển 0U hoặc chuyển token giả dưới dạng airdrop. Giao dịch này sẽ hiển thị trong lịch sử giao dịch người dùng, nếu người dùng vô tình copy-paste sai địa chỉ sẽ gây tổn thất tài sản. Đối với kiểu tấn công này, ví OKX Web3 có thể nhận diện giao dịch lịch sử và gắn nhãn rủi ro, đồng thời đưa ra cảnh báo an toàn khi người dùng chuyển tiền đến địa chỉ đó.

Loại thứ hai: dụ ký. Thông thường hacker sẽ bình luận tại các nơi công cộng như Twitter, Discord, TG của dự án nổi tiếng, đăng link dự án DeFi giả hoặc link nhận airdrop giả để dụ người dùng nhấn vào, từ đó đánh cắp tài sản. Ngoài các kiểu钓鱼 ký như eth_sign, permit, create2 mà SlowMist đã đề cập, còn có thêm:
Cách 1: Rút trực tiếp token chính. Hacker thường đặt tên hàm hợp đồng độc hại là Claim, SeurityUpdate... mang tính dụ dỗ, nhưng logic hàm thực tế rỗng, chỉ nhằm chuyển token chính của người dùng. Hiện tại ví OKX Web3 đã triển khai chức năng thực thi trước, có thể hiển thị biến động tài sản và ủy quyền sau khi giao dịch lên chuỗi, đưa ra cảnh báo rủi ro an toàn cho người dùng.
Cách 2: Ủy quyền trên chuỗi. Hacker thường dụ người dùng ký giao dịch approve / increaseAllowance / decreaseAllowance / setApprovalForAll, giao dịch này cho phép địa chỉ do hacker chỉ định chuyển tài sản token của người dùng, và theo dõi tài khoản người dùng ngay sau khi ký, một khi có tài sản tương ứng gửi vào sẽ lập tức rút đi. Quá trình bảo vệ an toàn trước kẻ钓鱼 là một cuộc đối đầu, cũng là một quá trình liên tục nâng cấp.
Mặc dù phần lớn ví sẽ kiểm tra rủi ro an toàn đối với địa chỉ ủy quyền của hacker, nhưng phương pháp tấn công của kẻ xấu cũng không ngừng nâng cấp. Ví dụ, tận dụng đặc điểm create2, kẻ tấn công sẽ tính toán sẵn địa chỉ mới, vì địa chỉ mới này không nằm trong cơ sở dữ liệu đen nên dễ dàng vượt qua kiểm tra an toàn. Chúng đợi khi có "cá cắn câu", mới triển khai hợp đồng tại địa chỉ đó và rút tiền người dùng. Gần đây, chúng tôi cũng phát hiện nhiều kẻ tấn công khiến người dùng ủy quyền cho hợp đồng uniswap.multicall, vì đây là hợp đồng của dự án hợp pháp nên cũng có thể vượt qua kiểm tra sản phẩm an toàn.
Cách 3: Thay đổi quyền hạn: bao gồm thay đổi quyền hạn trên TRON và Solana. Một là, trên TRON, đa chữ ký là tính năng của chuỗi TRON, tại nhiều trang web钓鱼, kẻ gian sẽ giả mạo giao dịch thay đổi quyền hạn tài khoản thành giao dịch chuyển tiền, nếu người dùng vô tình ký giao dịch này, tài khoản của họ sẽ trở thành tài khoản đa chữ ký, mất quyền kiểm soát. Hai là, trên Solana, kẻ gian dùng SetAuthority để thay đổi chủ sở hữu (Owner) của tài khoản ATA (Associated Token Account) chứa token của người dùng, một khi người dùng ký giao dịch này, owner của tài khoản ATA sẽ trở thành kẻ钓鱼, từ đó chiếm đoạt tài sản người dùng.
Các cách khác: Ngoài ra, do bản thân giao thức có cơ chế thiết kế... nên cũng rất dễ bị kẻ钓鱼 lợi dụng. Gọi queueWithdrawal của giao thức trung gian EigenLayer dựa trên Ethereum cho phép chỉ định địa chỉ khác làm withdrawer, người dùng bị钓鱼 ký giao dịch này. Bảy ngày sau, địa chỉ được chỉ định dùng completeQueuedWithdrawal để lấy tài sản stake của người dùng.
Loại thứ ba: Tải lên cụm từ khôi phục. Kẻ tấn công thường cung cấp dự án airdrop giả mạo hoặc công cụ farm giả để dụ người dùng tải lên khóa riêng hoặc cụm từ khôi phục, chi tiết xem ví dụ trên. Đôi khi chúng cũng giả dạng cửa sổ popup ví plugin để dụ người dùng tải lên cụm từ khôi phục.
Câu hỏi 4: Sự khác biệt giữa hình thức tấn công ví nóng và ví lạnh
Đội an ninh OKX Web3: Điểm khác biệt giữa ví nóng và ví lạnh nằm ở cách lưu trữ khóa riêng. Khóa riêng của ví lạnh thường được lưu trữ ngoại tuyến, trong khi ví nóng thường lưu trữ trong môi trường có kết nối mạng. Do đó, rủi ro an toàn đối với ví lạnh và ví nóng sẽ khác nhau. Các rủi ro an toàn của ví nóng đã được trình bày rất đầy đủ ở trên, không cần mở rộng thêm.
Rủi ro an toàn của ví lạnh bao gồm:
Thứ nhất, rủi ro kỹ thuật xã hội và tấn công vật lý, cùng rủi ro trong quá trình giao dịch. Rủi ro kỹ thuật xã hội và tấn công vật lý nghĩa là do ví lạnh thường lưu trữ ngoại tuyến, nên có thể bị kẻ tấn công dùng thủ đoạn kỹ thuật xã hội, giả dạng người thân hoặc bạn bè để truy cập quyền hạn ví lạnh.
Thứ hai, với tư cách là một thiết bị vật lý, có thể bị hư hỏng hoặc mất mát. Về rủi ro trong quá trình giao dịch: trong quá trình giao dịch, ví lạnh cũng có thể gặp các hình thức tấn công như airdrop, dụ ký... đã đề cập ở trên.
Câu hỏi 5: Như đã nói ở phần mở đầu "tặng khóa riêng ví giá trị cao", còn những cái bẫy钓鱼 kỳ lạ nào khác nữa không?
Đội an ninh SlowMist: Đúng vậy, "cố ý tặng khóa riêng ví giá trị cao" là một ví dụ rất kinh điển, đã xuất hiện từ nhiều năm trước và đến nay vẫn còn người mắc bẫy. Loại lừa đảo này thực chất là kẻ gian cố tình tiết lộ cụm từ khôi phục, sau khi bạn nhập cụm từ khôi phục vào ví, chúng theo dõi ví bạn 24/7, một khi bạn chuyển ETH vào, chúng lập tức rút đi. Thủ đoạn này tận dụng tâm lý tham rẻ của người dùng, càng nhiều người nhập vào, phí gas càng cao, tổn thất càng lớn.
Thứ hai, một số người dùng cho rằng "tôi chẳng có gì đáng để tấn công cả", tâm lý phòng thủ thấp này khiến họ dễ bị tấn công. Mọi thông tin của bất kỳ ai (như email, mật khẩu, thông tin ngân hàng...) đều có giá trị với kẻ tấn công. Thậm chí có người nghĩ chỉ cần không nhấn vào liên kết trong email rác thì sẽ không bị đe dọa, nhưng một số email钓鱼 có thể cài phần mềm độc hại qua ảnh hoặc file đính kèm.
Cuối cùng, về khái niệm "an toàn", chúng ta cần có nhận thức khách quan rằng không có sự an toàn tuyệt đối. Hơn nữa, hình thức tấn công钓鱼 thay đổi rất nhiều, phát triển nhanh chóng, tất cả mọi người đều nên không ngừng học hỏi, nâng cao ý thức an toàn bản thân mới là đáng tin cậy nhất.
Đội an ninh OKX Web3: Phòng tránh bẫy钓鱼 của bên thứ ba thực sự là một vấn đề phức tạp, vì kẻ钓鱼 thường lợi dụng điểm yếu tâm lý và sơ suất an toàn phổ biến của con người. Nhiều người bình thường rất cẩn thận, nhưng khi bất ngờ gặp "bánh馅 to" thì thường buông lỏng cảnh giác, phóng đại đặc tính tham lam của bản thân, dẫn đến bị lừa. Trong quá trình này, điểm yếu con người mạnh hơn công nghệ, dù có thêm nhiều biện pháp an toàn, người dùng cũng tạm thời bỏ qua, chỉ đến khi hồi tưởng lại mới nhận ra mình đã mắc bẫy. Chúng ta cần rõ ràng rằng "trên đời không có bữa ăn miễn phí", lúc nào cũng chú ý nâng cao cảnh giác, nhận diện rủi ro an toàn, đặc biệt trong khu rừng tối tăm blockchain này.
Câu hỏi 6: Đề xuất giúp người dùng nâng cao an toàn khóa riêng
Đội an ninh SlowMist: Trước khi trả lời câu hỏi này, chúng tôi xin tóm tắt cách thức thông thường mà hacker đánh cắp tài sản người dùng. Hacker thường dùng hai cách sau để đánh cắp tài sản:
Cách một: Lừa người dùng ký dữ liệu giao dịch độc hại nhằm đánh cắp tài sản, ví dụ dụ người dùng ủy quyền hoặc chuyển tài sản cho hacker.
Cách hai: Lừa người dùng nhập cụm từ khôi phục ví trên trang web hoặc ứng dụng độc hại, dụ dỗ người dùng nhập cụm từ khôi phục vào trang ví giả mạo.
Sau khi hiểu rõ cách hacker đánh cắp tài sản ví, chúng ta cần phòng tránh các rủi ro có thể xảy ra:
Phòng tránh một: Cố gắng đạt được "ký đúng những gì thấy". Nói ví là chìa khóa vào thế giới Web3, tương tác quan trọng nhất của người dùng là từ chối ký mù, trước khi ký cần nhận diện dữ liệu ký, biết rõ giao dịch mình ký là để làm gì, nếu không hiểu thì từ chối ký.
Phòng tránh hai: Đừng để trứng vào một giỏ. Quản lý phân tầng ví theo tình hình tài sản và tần suất sử dụng, giữ rủi ro tài sản trong tầm kiểm soát. Ví dùng để tham gia airdrop... do tần suất sử dụng cao, đề nghị chỉ lưu lượng tài sản nhỏ. Tài sản lớn thường không dùng thường xuyên, đề nghị lưu trong ví lạnh và đảm bảo môi trường mạng, môi trường vật lý an toàn khi sử dụng. Nếu có khả năng, hãy dùng ví phần cứng càng nhiều càng tốt, do ví phần cứng thường không thể xuất trực tiếp cụm từ khôi phục hay khóa riêng, giúp nâng cao rào cản bị đánh cắp.
Phòng tránh ba: Các thủ đoạn钓鱼 và sự việc层出不穷, người dùng cần học cách tự nhận diện các hình thức钓鱼, nâng cao ý thức an toàn, tự giáo dục để tránh bị lừa, nắm vững kỹ năng tự cứu.
Phòng tránh bốn: Không nóng vội, không tham lam, xác minh đa chiều. Ngoài ra, nếu người dùng muốn tìm hiểu phương án quản lý tài sản toàn diện hơn, có thể tham khảo "Giải pháp an toàn tài sản mã hóa" do SlowMist xuất bản, tìm hiểu thêm về ý thức an toàn và tự giáo dục có thể tham khảo "Hướng dẫn tự cứu trong khu rừng tối blockchain".
Đội an ninh OKX Web3: Khóa riêng là bằng chứng duy nhất để truy cập và kiểm soát tài sản mã hóa trong ví, bảo vệ an toàn khóa riêng vô cùng quan trọng.
Phòng tránh một: Hiểu rõ DApp của bạn. Khi đầu tư DeFi trên chuỗi, phải tìm hiểu toàn diện về DApp đang dùng để tránh truy cập DApp giả mạo gây tổn thất tài sản. Mặc dù ví OKX Web3 đã thực hiện nhiều chiến lược kiểm tra rủi ro và cảnh báo đối với DApp, nhưng kẻ tấn công liên tục cập nhật thủ đoạn và vượt qua kiểm tra an toàn. Người dùng khi đầu tư phải hết sức tỉnh táo.
Phòng tránh hai: Hiểu rõ chữ ký của bạn. Khi ký giao dịch trên chuỗi, người dùng phải xác nhận giao dịch, đảm bảo hiểu rõ chi tiết giao dịch, đối với giao dịch không hiểu phải thận trọng, không ký mù quáng. Ví OKX Web3 sẽ phân tích chữ ký trên chuỗi và ngoại chuỗi, mô phỏng thực thi, hiển thị kết quả biến động tài sản và ủy quyền. Người dùng có thể trước giao dịch tập trung vào kết quả này xem có phù hợp kỳ vọng hay không.
Phòng tránh ba: Hiểu rõ phần mềm bạn tải về. Khi tải phần mềm hỗ trợ giao dịch và đầu tư, phải đảm bảo tải từ nền tảng chính thức, sau khi tải về cần dùng phần mềm diệt virus quét ngay. Nếu tải phần mềm độc hại, virus có thể qua chụp màn hình, theo dõi bộ nhớ tạm, quét bộ nhớ, tải file cache... để lấy cụm từ khôi phục hoặc khóa riêng người dùng.
Phòng tránh bốn: Nâng cao ý thức an toàn, lưu trữ khóa riêng cẩn thận.尽可能 không sao chép cụm từ khôi phục, khóa riêng và các thông tin quan trọng khác, không chụp màn hình, không lưu thông tin loại này vào nền tảng đám mây bên thứ ba.
Phòng tránh năm: Mật khẩu mạnh & đa chữ ký. Trong quá trình sử dụng mật khẩu, người dùng nên tăng độ phức tạp của mật khẩu càng nhiều càng tốt, ngăn hacker bẻ khóa sau khi lấy được file mã hóa khóa riêng. Trong quá trình giao dịch, nếu có cơ chế đa chữ ký, nhất định phải sử dụng, như vậy nếu một bên bị lộ cụm từ khôi phục hay khóa riêng cũng không ảnh hưởng đến toàn bộ giao dịch.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












