
Phân tích rủi ro về ví giả và rò rỉ cụm từ khôi phục khóa riêng
Tuyển chọn TechFlowTuyển chọn TechFlow

Phân tích rủi ro về ví giả và rò rỉ cụm từ khôi phục khóa riêng
Hướng dẫn này nhằm giúp mọi người dùng bảo vệ tốt hơn tài sản của mình, đi xa hơn trong khu rừng tối tăm blockchain.
Tác giả: Đội an toàn SlowMist
Bối cảnh
Ví tiền giữ vai trò then chốt trong thế giới Web3 — không chỉ là công cụ lưu trữ tài sản kỹ thuật số mà còn là phương tiện thiết yếu để người dùng thực hiện giao dịch và truy cập vào các DApp. Trong số trước của Hướng dẫn tránh rủi ro an toàn Web3, chúng tôi đã giới thiệu về phân loại ví và liệt kê các rủi ro phổ biến nhằm giúp bạn đọc hình thành khái niệm cơ bản về an toàn ví. Cùng với sự phát triển nhanh chóng của tiền mã hóa và công nghệ blockchain, các nhóm tội phạm mạng cũng bắt đầu nhắm đến tài sản của người dùng Web3. Theo các biểu mẫu báo mất tài sản do đội an toàn SlowMist thu thập, rất nhiều người dùng bị mất tiền vì tải hoặc mua phải ví giả. Vì vậy, trong số này, chúng tôi sẽ tìm hiểu lý do tại sao lại có thể tải hoặc mua phải ví giả, đồng thời phân tích nguy cơ rò rỉ khóa riêng / cụm từ khôi phục (seed phrase), và cung cấp một loạt khuyến nghị bảo mật nhằm giúp người dùng bảo vệ tài sản của mình.
Tải phải ví giả
Do nhiều điện thoại không hỗ trợ Google Play Store hoặc gặp vấn đề kết nối mạng, nhiều người chọn tải ví qua các kênh khác như:
Các trang tải xuống bên thứ ba
Một số người dùng thường tải ví thông qua các trang như apkcombo, apkpure,... Các nền tảng này thường quảng cáo ứng dụng của họ được lấy trực tiếp từ Google Play Store dưới dạng mirror, nhưng mức độ an toàn thực tế ra sao? Nhóm an toàn SlowMist từng điều tra nguồn gốc ví giả Web3 bên thứ ba và phát hiện phiên bản ví được cung cấp bởi apkcombo thực tế không tồn tại. Ngay khi người dùng tạo hoặc nhập cụm từ khôi phục trên giao diện khởi tạo ví, ví giả sẽ gửi toàn bộ thông tin này về máy chủ lừa đảo.

Công cụ tìm kiếm
Thứ hạng kết quả tìm kiếm hoàn toàn có thể mua được, dẫn đến tình trạng website giả đôi khi còn xếp hạng cao hơn cả website chính thức. Do đó, không nên tìm kiếm tên ví trên công cụ tìm kiếm rồi bấm vào liên kết xếp hạng cao nhất để tải xuống, vì rất dễ truy cập nhầm vào website giả và tải phải ví giả. Khi không biết rõ địa chỉ website chính xác, người dùng gần như không thể phân biệt website thật – giả dựa trên giao diện, vì các website giả được làm giống y hệt website thật đến mức khó phân biệt. Ngoài ra, cũng không nên bấm vào các liên kết do người dùng khác chia sẻ trên Twitter hay các nền tảng khác, vì phần lớn đây đều là các liên kết lừa đảo.

Bạn bè/người thân hoặc chiêu "nuôi lợn"
Trong khu rừng tối blockchain, nguyên tắc "zero trust" luôn cần được duy trì. Có thể người thân của bạn không có ý định hại bạn, nhưng ví mà họ tải về có thể là ví giả — chỉ là chưa bị mất tiền ngay lúc này. Nếu bạn sử dụng mã QR hoặc liên kết do họ chia sẻ để tải ví, thì khả năng cao bạn cũng sẽ tải phải ví giả.
Đội an toàn SlowMist đã nhận được nhiều biểu mẫu báo mất tài sản liên quan đến chiêu "nuôi lợn". Chiêu thức của kẻ lừa đảo thường là xây dựng lòng tin với nạn nhân, sau đó dụ dỗ họ tham gia đầu tư tiền mã hóa và cung cấp liên kết tải ví giả. Kết cục là nạn nhân vừa mất cảm xúc, vừa mất tiền. Vì vậy, người dùng cần hết sức cảnh giác với những người lạ trên mạng, đặc biệt khi họ mời bạn đầu tư hoặc gửi các liên kết lạ — đừng vội tin tưởng.


Telegram
Trên Telegram, khi tìm kiếm các ví nổi tiếng, chúng tôi phát hiện một số nhóm giả mạo tự xưng là kênh chính thức. Kẻ lừa đảo thậm chí còn cảnh báo người dùng hãy nhận diện đúng liên kết website chính thức duy nhất — nhưng tất nhiên, những liên kết đó đều là giả.

Cửa hàng ứng dụng
Cần đặc biệt lưu ý rằng ứng dụng trên cửa hàng chính thức cũng không hoàn toàn an toàn. Một số đối tượng xấu sử dụng các thủ đoạn như mua vị trí từ khóa để dẫn lưu, dụ dỗ người dùng tải các ứng dụng lừa đảo. Người đọc cần thận trọng phân biệt.

Vậy người dùng cần làm gì để tránh tải phải ví giả?
Tải từ website chính thức
Khả năng tìm ra website chính thức không chỉ hữu ích khi tải ví, mà còn cần thiết khi người dùng tham gia vào các dự án Web3 sau này. Vì vậy, chúng tôi sẽ hướng dẫn cách tìm website chính xác.
Người dùng có thể tìm nhà phát triển dự án trên Twitter, rồi đánh giá theo số lượng người theo dõi, thời gian đăng ký, có dấu tích xanh hay vàng hay không. Tuy nhiên, tất cả những yếu tố này đều có thể làm giả. Trước đó, chúng tôi đã từng viết bài Dự án thật - giả | Cẩn trọng với tài khoản giả mạo trong phần bình luận để cảnh báo về thị trường buôn bán tài khoản giả mạo. Vì vậy, người mới nên theo dõi một số công ty an toàn, chuyên gia an toàn và truyền thông uy tín trong ngành, rồi kiểm tra xem họ có đang theo dõi tài khoản bạn tìm thấy hay không.

(https://twitter.com/DefiLlama)
Sau khi áp dụng phương pháp trên, người dùng có thể xác định được tài khoản Twitter chính thức. Tuy nhiên, vẫn cần xác minh thêm từ nhiều nguồn khác, vì tài khoản Twitter chính thức từng nhiều lần bị hack, và hacker thường thay đổi liên kết website chính bằng liên kết giả. Vì vậy, hãy so sánh liên kết website bạn tìm được với các liên kết trên các nền tảng đáng tin cậy như DefiLlama, CoinGecko, CoinMarketCap...

(https://defillama.com/)

(https://landing.coingecko.com/links/)
Sau khi xác nhận chính xác liên kết website, người dùng nên lưu lại vào bookmark trình duyệt để lần sau truy cập trực tiếp, giảm thiểu nguy cơ truy cập nhầm website giả.
Cửa hàng ứng dụng
Người dùng có thể tải ví qua các cửa hàng chính thức như Apple Store, Google Play Store... Tuy nhiên, trước khi tải, hãy kiểm tra kỹ thông tin nhà phát triển để đảm bảo khớp với thông tin được công bố chính thức. Ngoài ra, có thể tham khảo điểm đánh giá, lượt tải xuống...

Xác minh phiên bản chính thức
Một số độc giả có thể thắc mắc: Làm sao để kiểm tra xem ví đã tải có phải là ví thật hay không? Bạn có thể thực hiện kiểm tra tính toàn vẹn tệp tin bằng cách so sánh giá trị hash của tệp. Chỉ cần kéo tệp APK đã tải vào công cụ kiểm tra hash, công cụ sẽ sinh ra giá trị hash (sử dụng MD5, SHA-256...) và so sánh với giá trị hash do nhà phát hành công bố. Nếu trùng khớp, đó là ví thật; nếu không trùng, đó là ví giả. Vậy nếu phát hiện ví giả thì nên làm gì?
1. Trước tiên, xác định mức độ rò rỉ. Nếu chỉ tải ví giả nhưng chưa nhập khóa riêng / cụm từ khôi phục, chỉ cần gỡ ứng dụng và tải lại phiên bản chính thức.
2. Nếu đã nhập khóa riêng / cụm từ khôi phục vào ví giả, nghĩa là thông tin đã bị lộ. Hãy tải ví chính hãng từ website chính thức, nhập lại khóa riêng / cụm từ khôi phục và tạo địa chỉ mới để chuyển nhanh tài sản có thể di chuyển.
3. Nếu tiền mã hóa bị đánh cắp, chúng tôi cung cấp miễn phí dịch vụ hỗ trợ cộng đồng đánh giá vụ việc. Bạn chỉ cần điền biểu mẫu theo hướng dẫn phân loại (tiền bị đánh cắp / bị lừa đảo / bị tống tiền). Địa chỉ hacker bạn cung cấp cũng sẽ được đồng bộ vào mạng hợp tác tình báo đe dọa InMist để phòng ngừa rủi ro. (Ghi chú: Biểu mẫu tiếng Trung gửi về https://aml.slowmist.com/cn/recovery-funds.html, biểu mẫu tiếng Anh gửi về https://aml.slowmist.com/recovery-funds.html)
Mua phải ví phần cứng giả
Phần trên đã giải thích nguyên nhân và biện pháp xử lý khi tải phải ví giả. Bây giờ chúng ta cùng tìm hiểu lý do tại sao lại mua phải ví phần cứng giả.
Một số người dùng chọn mua ví phần cứng qua các sàn thương mại điện tử, tuy nhiên những sản phẩm không qua kênh ủy quyền chính thức tiềm ẩn rủi ro an ninh rất lớn. Bởi trước khi đến tay người dùng, thiết bị đã qua bao nhiêu bàn tay, linh kiện bên trong có bị thay đổi hay không — tất cả đều không thể kiểm soát. Nếu linh kiện bị thay đổi, rất khó phát hiện qua ngoại hình hay chức năng.


(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
Dưới đây là một số biện pháp phòng chống tấn công chuỗi cung ứng ví phần cứng:
Mua qua kênh chính thức: Đây là cách hiệu quả nhất để ngăn chặn tấn công chuỗi cung ứng. Không mua ví phần cứng qua các kênh không chính thức như sàn thương mại điện tử, người mua hộ, người dùng mạng...
Kiểm tra ngoại hình: Sau khi nhận ví, hãy kiểm tra bao bì xem có dấu hiệu bị mở hay không. Đây là bước cơ bản nhất, dù hacker hiếm khi để lộ ở bước này.
Xác minh thiết bị thật trên website chính thức: Một số ví phần cứng cung cấp dịch vụ xác minh thiết bị thật trên website chính thức. Khi khởi tạo ví, thiết bị sẽ nhắc người dùng thực hiện xác minh. Nếu thiết bị bị thay đổi trong quá trình vận chuyển, nó sẽ không thể vượt qua xác minh này.
Cơ chế tự hủy khi tháo máy: Nên chọn mua ví phần cứng có cơ chế tự hủy khi tháo máy. Khi ai đó cố gắng mở thiết bị và thay đổi linh kiện bên trong, cơ chế tự hủy sẽ kích hoạt, xóa toàn bộ dữ liệu nhạy cảm trong chip bảo mật và khiến thiết bị không thể sử dụng tiếp.
Rủi ro rò rỉ khóa riêng / cụm từ khôi phục
Qua phần trên, bạn đã học được cách tải hoặc mua ví thật. Nhưng việc bảo quản khóa riêng / cụm từ khôi phục lại là một thách thức khác. Khóa riêng và cụm từ khôi phục là bằng chứng duy nhất để khôi phục ví và kiểm soát tài sản. Khóa riêng là chuỗi 64 ký tự hex gồm chữ cái và chữ số, còn cụm từ khôi phục thường gồm 12 từ. Đội an toàn SlowMist nhấn mạnh: Nếu khóa riêng / cụm từ khôi phục bị lộ, tài sản trong ví gần như chắc chắn sẽ bị đánh cắp. Dưới đây là một số nguyên nhân phổ biến dẫn đến rò rỉ:
Bảo mật kém: Người dùng có thể tiết lộ khóa riêng / cụm từ khôi phục cho người thân nhờ lưu giữ, nhưng sau đó tài sản bị chính người thân đó đánh cắp.
Lưu trữ hoặc truyền tải khóa riêng / cụm từ khôi phục qua mạng: Một số người dù biết không nên tiết lộ khóa riêng / cụm từ khôi phục, nhưng lại lưu bằng cách chụp ảnh, chụp màn hình, lưu trên đám mây, ghi chú, hoặc lưu trong WeChat. Nếu tài khoản các nền tảng này bị hacker tấn công, khóa riêng / cụm từ khôi phục rất dễ bị đánh cắp.
Sao chép – dán khóa riêng / cụm từ khôi phục: Nhiều công cụ clipboard và bàn phím tự động tải lịch sử sao chép lên đám mây, khiến khóa riêng / cụm từ khôi phục nằm trong môi trường không an toàn. Phần mềm độc cũng có thể đánh cắp nội dung clipboard khi bạn sao chép khóa riêng / cụm từ khôi phục. Vì vậy, không nên sao chép – dán khóa riêng / cụm từ khôi phục — hành vi tưởng chừng vô hại này thực tế tiềm ẩn rủi ro rò rỉ rất lớn.
Vậy làm sao để tránh rò rỉ khóa riêng / cụm từ khôi phục?

Trước hết, không bao giờ tiết lộ khóa riêng / cụm từ khôi phục cho bất kỳ ai, kể cả người thân. Thứ hai, ưu tiên lưu trữ bằng phương tiện vật lý để tránh hacker tấn công qua mạng. Ví dụ: ghi chép lên giấy chất lượng tốt (có thể ép plastic) hoặc dùng hộp lưu cụm từ khôi phục chuyên dụng. Ngoài ra, thiết lập đa chữ ký, chia nhỏ lưu trữ khóa riêng / cụm từ khôi phục cũng giúp tăng cường bảo mật. Để biết thêm cách sao lưu khóa riêng / cụm từ khôi phục, bạn có thể đọc Sổ tay tự cứu trong khu rừng tối blockchain do SlowMist xuất bản.
Tổng kết
Bài viết này tập trung phân tích rủi ro khi tải/mua ví, cách tìm website chính thức và xác minh tính xác thực của ví, cũng như các nguy cơ rò rỉ khóa riêng / cụm từ khôi phục. Hy vọng nội dung kỳ này giúp bạn vững bước vào khu rừng tối blockchain. Kỳ tới, chúng tôi sẽ nói về các rủi ro khi sử dụng ví như bị lừa đảo, ký giao dịch, rủi ro ủy quyền — hãy đón xem! (Lưu ý: Các thương hiệu và hình ảnh trong bài chỉ nhằm mục đích minh họa, không cấu thành lời khuyên hay bảo đảm)
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News









