
An Toàn Đặc Tập 03|OKX Web3 & WTF Academy: Vừa chăm chỉ airdrop, giây tiếp theo bị hacker "đột nhập nhà"?
Tuyển chọn TechFlowTuyển chọn TechFlow

An Toàn Đặc Tập 03|OKX Web3 & WTF Academy: Vừa chăm chỉ airdrop, giây tiếp theo bị hacker "đột nhập nhà"?
Mời các chuyên gia an ninh nổi tiếng trong ngành 0xAA và đội an toàn ví OKX Web3 chia sẻ từ góc độ hướng dẫn thực hành về các rủi ro an ninh phổ biến và biện pháp phòng ngừa dành cho "người kiếm lợi nhuận" (lũ mao).
Lời nói đầu
OKX Web3 Wallet đặc biệt tổ chức chuyên mục "Tạp chí An toàn", tập trung giải đáp các vấn đề an toàn trên chuỗi theo từng chủ đề cụ thể. Thông qua những trường hợp thực tế gần gũi với người dùng và hợp tác cùng các chuyên gia hoặc tổ chức trong lĩnh vực an toàn, chuyên mục này cung cấp chia sẻ và phân tích từ hai góc nhìn khác nhau, nhằm hệ thống hóa và khái quát các quy tắc giao dịch an toàn từ cơ bản đến nâng cao. Mục tiêu là tăng cường giáo dục an toàn cho người dùng, đồng thời giúp họ tự học cách bảo vệ khóa riêng tư và tài sản trong ví.
Tương tác trên chuỗi nhanh như hổ, nhưng mức độ an toàn lại âm 5?
Là người dùng thường xuyên tương tác trên chuỗi, đối với những người săn airdrop (luber), an toàn luôn là ưu tiên hàng đầu.
Hôm nay, hai "vua tránh bẫy" trên chuỗi sẽ hướng dẫn bạn các biện pháp phòng ngừa an toàn.
Đây là số 03 của Tạp chí An toàn, mời chuyên gia an toàn nổi tiếng trong ngành 0xAA và đội ngũ an toàn OKX Web3 Wallet cùng chia sẻ từ góc độ hướng dẫn thực hành về các rủi ro an toàn phổ biến và biện pháp phòng ngừa dành cho người săn airdrop.

WTF Academy: Rất cảm ơn lời mời từ OKX Web3, tôi là 0xAA đến từ WTF Academy. WTF Academy là một trường đại học mã nguồn mở Web3, hỗ trợ các nhà phát triển mới bắt đầu vào lĩnh vực Web3. Năm nay chúng tôi ươm tạo dự án cứu hộ Web3 RescuETH (Đội Cứu Hộ Trên Chuỗi), chuyên cứu hộ tài sản còn lại trong ví bị đánh cắp của người dùng. Hiện tại đã thành công cứu hộ hơn 3 triệu Nhân dân tệ tài sản bị đánh cắp trên Ethereum, Solana và Cosmos.
Đội an toàn OKX Web3 Wallet: Xin chào mọi người, rất vui được tham gia chia sẻ lần này. Đội an toàn OKX Web3 Wallet chịu trách nhiệm xây dựng các năng lực an toàn trong lĩnh vực Web3 của OKX, ví dụ như xây dựng năng lực an toàn ví, kiểm toán an toàn hợp đồng thông minh, giám sát an toàn dự án trên chuỗi,... nhằm cung cấp nhiều lớp bảo vệ về sản phẩm, tài chính và giao dịch cho người dùng, góp phần duy trì sinh thái an toàn blockchain.
Câu hỏi 1: Hãy chia sẻ vài trường hợp thực tế về rủi ro mà người săn airdrop gặp phải
WTF Academy: Rò rỉ khóa riêng tư là một trong những rủi ro an toàn lớn nhất mà người săn airdrop phải đối mặt. Về bản chất, khóa riêng tư là một dãy ký tự dùng để kiểm soát tài sản mã hóa; bất kỳ ai sở hữu khóa riêng tư đều có thể kiểm soát hoàn toàn tài sản tương ứng. Một khi khóa riêng tư bị rò rỉ, kẻ tấn công có thể truy cập, chuyển và quản lý tài sản của người dùng mà không cần ủy quyền, gây thiệt hại kinh tế. Vì vậy, tôi sẽ tập trung chia sẻ một số trường hợp mất khóa riêng tư.
Alice (tên giả) bị tin tặc lừa tải phần mềm độc hại trên mạng xã hội, sau khi chạy phần mềm này thì khóa riêng tư bị đánh cắp. Phần mềm độc hại hiện nay rất đa dạng, bao gồm nhưng không giới hạn ở: script đào tiền, trò chơi, phần mềm họp, script farm token rác, bot夾 giá,... Người dùng cần nâng cao ý thức an toàn.
Bob (tên giả) vô tình tải khóa riêng tư lên GitHub, bị người khác lấy được và ngay lập tức bị mất tài sản.
Carl (tên giả) khi tư vấn trong nhóm Telegram chính thức của dự án, đã tin tưởng nhân viên chăm sóc khách hàng giả mạo liên hệ chủ động và tiết lộ cụm từ khôi phục (mnemonic), sau đó tài sản trong ví bị đánh cắp.
Đội an toàn OKX Web3 Wallet: Loại rủi ro này khá phổ biến, chúng tôi chọn ra một vài trường hợp điển hình mà người dùng gặp phải khi săn airdrop.
Loại thứ nhất: Tài khoản giả mạo đăng thông báo airdrop giả. Người dùng A khi xem Twitter của một dự án hot thấy có thông báo sự kiện airdrop ở bình luận mới nhất, liền nhấn vào liên kết đó để tham gia airdrop và cuối cùng bị钓鱼. Hiện nay nhiều kẻ钓鱼 sử dụng tài khoản giả mạo tài khoản chính thức, đăng thông báo giả dưới bài viết của Twitter chính thức để dụ người dùng mắc bẫy. Người dùng cần chú ý phân biệt, không được chủ quan.
Loại thứ hai: Tài khoản chính thức bị tấn công. Tài khoản Twitter và Discord chính thức của một dự án bị hacker tấn công, sau đó hacker đăng một liên kết sự kiện airdrop giả trên tài khoản chính thức. Do liên kết này được phát hành từ kênh chính thức nên người dùng B không nghi ngờ tính xác thực, nhấn vào liên kết tham gia airdrop và ngược lại bị钓鱼.
Loại thứ ba: Gặp phải dự án độc hại. Người dùng C khi tham gia hoạt động farming của một dự án, để nhận lợi nhuận cao hơn đã đặt toàn bộ tài sản USDT vào hợp đồng staking của dự án. Tuy nhiên, hợp đồng thông minh này chưa được kiểm toán nghiêm ngặt và không mã nguồn mở, kết quả là đội ngũ dự án đã sử dụng cửa hậu được chuẩn bị sẵn trong hợp đồng để đánh cắp toàn bộ tài sản mà người dùng C gửi vào.
Đối với người săn airdrop, thường sở hữu hàng chục hoặc hàng trăm ví, việc làm sao để bảo vệ ví và tài sản an toàn là một chủ đề rất quan trọng, cần luôn cảnh giác và nâng cao ý thức phòng ngừa.
Câu hỏi 2: Là người dùng thường xuyên, các rủi ro an toàn phổ biến và biện pháp phòng ngừa khi người săn airdrop tương tác trên chuỗi
WTF Academy: Đối với người săn airdrop cũng như tất cả người dùng Web3, hai loại rủi ro an toàn phổ biến hiện nay là: tấn công钓鱼 và rò rỉ khóa riêng tư.
Loại thứ nhất là tấn công钓鱼: Tin tặc thường giả mạo website hoặc ứng dụng chính thức, dụ người dùng nhấn vào thông qua mạng xã hội và công cụ tìm kiếm, sau đó诱导 người dùng giao dịch hoặc ký kết trên website钓鱼, từ đó lấy được quyền ủy quyền token và đánh cắp tài sản.
Biện pháp phòng ngừa: Thứ nhất, khuyến nghị người dùng chỉ truy cập website và ứng dụng chính thức từ kênh chính thức (ví dụ như liên kết trong phần mô tả Twitter chính thức). Thứ hai, người dùng có thể sử dụng plugin an toàn để tự động chặn một số website钓鱼. Thứ ba, khi truy cập website đáng ngờ, người dùng có thể tham khảo ý kiến chuyên gia an toàn để xác định liệu có phải website钓鱼 hay không.
Loại thứ hai là rò rỉ khóa riêng tư: Đã được giới thiệu ở câu hỏi trước, không trình bày thêm.
Biện pháp phòng ngừa: Thứ nhất, nếu thiết bị máy tính hoặc điện thoại của người dùng có cài ví, hãy尽量 không tải phần mềm đáng ngờ từ kênh không chính thức. Thứ hai, người dùng cần biết rằng nhân viên chăm sóc khách hàng chính thức thường không chủ động nhắn tin riêng, càng không yêu cầu bạn gửi hoặc nhập khóa riêng tư và cụm từ khôi phục trên website giả mạo. Thứ ba, nếu dự án mã nguồn mở của người dùng cần sử dụng khóa riêng tư, hãy cấu hình file .gitignore trước để đảm bảo khóa riêng tư không bị tải lên GitHub.
Đội an toàn OKX Web3 Wallet: Chúng tôi tổng hợp 5 loại rủi ro an toàn phổ biến khi người dùng tương tác trên chuỗi, đồng thời liệt kê các biện pháp phòng ngừa cho từng loại.
1. Lừa đảo airdrop
Giới thiệu rủi ro: Nhiều người dùng thường xuyên phát hiện trong địa chỉ ví của mình xuất hiện lượng lớn token lạ, những token này thường thất bại khi giao dịch trên DEX phổ biến, màn hình sẽ提示 người dùng đến trang web chính thức để đổi, sau đó khi người dùng ủy quyền giao dịch, thường sẽ cấp quyền cho hợp đồng thông minh rút toàn bộ tài sản trong tài khoản, cuối cùng dẫn đến mất tài sản. Ví dụ như lừa đảo airdrop Zape, nhiều người dùng đột nhiên nhận được lượng lớn coin Zape trong ví, giá trị trông có vẻ lên tới hàng trăm nghìn USD. Điều này khiến nhiều người lầm tưởng mình bất ngờ phát tài. Tuy nhiên, đây thực chất là một cái bẫy được thiết kế kỹ lưỡng. Do những token này không thể tra cứu trên nền tảng chính thống, nhiều người dùng nóng lòng muốn兑现 sẽ tìm theo tên token đến "trang web chính thức". Sau khi kết nối ví theo hướng dẫn, tưởng rằng có thể bán những token này, nhưng chỉ cần ủy quyền, toàn bộ tài sản trong ví sẽ lập tức bị đánh cắp.
Biện pháp phòng ngừa: Tránh lừa đảo airdrop đòi hỏi người dùng phải luôn cảnh giác, xác minh nguồn thông tin, luôn lấy thông tin airdrop từ kênh chính thức (như website chính thức của dự án, tài khoản mạng xã hội chính thức và thông báo chính thức). Bảo vệ tốt khóa riêng tư và cụm từ khôi phục, không trả bất kỳ khoản phí nào, đồng thời tận dụng cộng đồng và công cụ để xác minh, nhận diện các vụ lừa đảo tiềm ẩn.
2. Hợp đồng thông minh độc hại
Giới thiệu rủi ro: Nhiều hợp đồng thông minh chưa được kiểm toán hoặc chưa mã nguồn mở có thể chứa lỗ hổng hoặc cửa hậu, không đảm bảo an toàn tiền vốn của người dùng.
Biện pháp phòng ngừa: Người dùng nên ưu tiên tương tác với các hợp đồng thông minh đã được công ty kiểm toán chính thống kiểm toán kỹ lưỡng, hoặc chú ý kiểm tra báo cáo kiểm toán an toàn của dự án. Ngoài ra, các dự án thường tổ chức chương trình thưởng lỗi (bug bounty) thường có mức độ an toàn cao hơn.
3. Quản lý ủy quyền:
Giới thiệu rủi ro: Cấp quá nhiều quyền cho hợp đồng tương tác có thể dẫn đến mất tiền, ở đây chúng tôi lấy ví dụ minh họa: 1) Hợp đồng là hợp đồng có thể nâng cấp, nếu khóa riêng của tài khoản đặc quyền bị rò rỉ, kẻ tấn công có thể sử dụng khóa riêng này nâng cấp hợp đồng thành phiên bản độc hại, từ đó đánh cắp tài sản của người dùng đã ủy quyền. 2) Nếu hợp đồng có lỗ hổng chưa được phát hiện, việc cấp quá nhiều quyền có thể khiến kẻ tấn công khai thác các lỗ hổng này trong tương lai để đánh cắp tiền.
Biện pháp phòng ngừa: Về nguyên tắc chỉ nên cấp quyền mức độ cần thiết cho hợp đồng tương tác, và cần định kỳ kiểm tra và hủy bỏ các quyền không cần thiết. Khi ký ủy quyền off-chain (permit), phải rõ ràng về hợp đồng mục tiêu/tài sản mục tiêu/mức độ ủy quyền, suy nghĩ kỹ trước khi hành động.
4. Ủy quyền钓鱼
Giới thiệu rủi ro: Nhấn vào liên kết độc hại và bị诱导 cấp quyền cho hợp đồng hoặc người dùng độc hại
Biện pháp phòng ngừa: 1) Tránh ký mù: Trước khi ký bất kỳ giao dịch nào, phải đảm bảo hiểu rõ nội dung sắp ký, đảm bảo mỗi bước thao tác đều rõ ràng và cần thiết. 2) Cẩn trọng với mục tiêu ủy quyền: Nếu mục tiêu ủy quyền là địa chỉ EOA (Tài khoản do Người dùng bên ngoài sở hữu) hoặc hợp đồng chưa được xác minh, phải hết sức cảnh giác. Hợp đồng chưa được xác minh có thể chứa mã độc hại. 3) Sử dụng ví plugin chống钓鱼: Sử dụng ví plugin có chức năng bảo vệ chống钓鱼, ví dụ như OKX Web3 Wallet, những ví này có thể giúp nhận diện và chặn các liên kết độc hại. 4) Bảo vệ cụm từ khôi phục và khóa riêng tư: Tất cả website yêu cầu cung cấp cụm từ khôi phục hoặc khóa riêng tư đều là liên kết钓鱼, tuyêt đối không nhập thông tin nhạy cảm này trên bất kỳ website hay ứng dụng nào.
5. Script săn airdrop độc hại
Giới thiệu rủi ro: Chạy script săn airdrop độc hại có thể dẫn đến máy tính bị cài phần mềm gián điệp, từ đó dẫn đến mất khóa riêng tư.
Biện pháp phòng ngừa: Cẩn trọng khi chạy script săn airdrop hoặc phần mềm săn airdrop không rõ nguồn gốc.
Tóm lại, chúng tôi hy vọng người dùng khi tương tác trên chuỗi có thể thận trọng tối đa, bảo vệ tốt ví và tài sản của mình.
Câu hỏi 3: Hãy hệ thống các kiểu và thủ đoạn钓鱼điển hình, cũng như cách nhận diện và tránh khỏi?
WTF Academy: Tôi muốn trả lời lại câu hỏi này từ một góc nhìn khác: tức là khi người dùng phát hiện tài sản bị đánh cắp, làm thế nào để phân biệt giữa tấn công钓鱼và rò rỉ khóa riêng tư? Người dùng thường có thể phân biệt qua đặc điểm của hai loại tấn công này:
Một, đặc điểm tấn công钓鱼: Tin tặc thường thông qua website钓鱼để lấy quyền ủy quyền một hoặc nhiều tài sản trong ví đơn lẻ của người dùng, từ đó đánh cắp tài sản. Nói chung, số loại tài sản bị đánh cắp bằng với số lần người dùng ủy quyền trên website钓鱼.
Hai, đặc điểm rò rỉ khóa riêng tư/cụm từ khôi phục: Tin tặc hoàn toàn giành quyền kiểm soát toàn bộ tài sản trên tất cả các chuỗi của một hoặc nhiều ví người dùng. Vì vậy, nếu xuất hiện một hoặc nhiều đặc điểm sau, khả năng lớn là rò rỉ khóa riêng tư:
1) Token gốc bị đánh cắp (ví dụ ETH trên chuỗi ETH), vì token gốc không thể bị ủy quyền.
2) Tài sản trên nhiều chuỗi bị đánh cắp.
3) Tài sản trong nhiều ví bị đánh cắp.
4) Nhiều tài sản trong một ví bị đánh cắp, và nhớ rõ là chưa từng ủy quyền các tài sản này.
5) Trước khi bị đánh cắp token hoặc trong cùng một giao dịch không có ủy quyền (sự kiện Approval).
6) Gas vừa nạp vào sẽ lập tức bị tin tặc chuyển đi.
Nếu không phù hợp với các đặc điểm trên, rất có thể là tấn công钓鱼.
Đội an toàn OKX Web3 Wallet: Để尽量 tránh bị钓鱼, trước hết cần lưu ý 2 điểm: 1) Luôn ghi nhớ không điền cụm từ khôi phục/khóa riêng tư trên bất kỳ trang web nào; 2)
Đảm bảo liên kết truy cập là liên kết chính thức, nút xác nhận trên giao diện ví phải nhấn cẩn thận.
Tiếp theo, chúng tôi chia sẻ một số kịch bản钓鱼điển hình, giúp người dùng hiểu trực quan hơn.
1.钓鱼website giả: Giả mạo website DApp chính thức,诱导 người dùng nhập khóa riêng tư hoặc cụm từ khôi phục. Vì vậy, nguyên tắc hàng đầu của người dùng là không cung cấp khóa riêng tư hoặc cụm từ khôi phục ví cho bất kỳ ai, bất kỳ website nào. Thứ hai, kiểm tra địa chỉ URL có đúng không, cố gắng sử dụng bookmark chính thức để truy cập DApp thường dùng và sử dụng ví chính thống, ví dụ như OKX Web3 Wallet sẽ cảnh báo khi phát hiện website钓鱼.
2. Đánh cắp token chuỗi chính: Hàm hợp đồng độc hại đặt tên là Claim, SeurityUpdate, AirDrop mang tính诱导, thực tế logic hàm trống rỗng, chỉ chuyển token chuỗi chính của người dùng.

3. Chuyển khoản địa chỉ tương tự: Kẻ lừa đảo sử dụng va chạm địa chỉ để tạo địa chỉ giống若干位 đầu đuôi với một địa chỉ liên quan của người dùng, sử dụng transferFrom để chuyển 0金额 để đầu độc, hoặc sử dụng USDT giả để chuyển một số tiền nhất định, làm ô nhiễm lịch sử giao dịch của người dùng, hy vọng người dùng sau này sao chép nhầm địa chỉ từ lịch sử giao dịch khi chuyển khoản.
4. Giả mạo nhân viên chăm sóc khách hàng: Hacker giả mạo nhân viên chăm sóc khách hàng, liên hệ người dùng qua mạng xã hội hoặc email, yêu cầu cung cấp khóa riêng tư hoặc cụm từ khôi phục. Nhân viên chăm sóc khách hàng chính thức sẽ không yêu cầu cung cấp khóa riêng tư, hãy bỏ qua ngay các yêu cầu này.
Câu hỏi 4: Những người săn airdrop có chuyên môn cao, cần lưu ý điều gì về an toàn khi sử dụng các công cụ khác nhau
WTF Academy: Do người săn airdrop sử dụng nhiều loại công cụ khác nhau, nên cần tăng cường phòng ngừa an toàn khi sử dụng các công cụ này, ví dụ:
1. An toàn ví: Đảm bảo khóa riêng tư hoặc cụm từ khôi phục không bị rò rỉ, không lưu khóa riêng tư ở nơi không an toàn, tránh nhập khóa riêng tư trên website không rõ nguồn gốc,... Người dùng nên sao lưu và lưu trữ cụm từ khôi phục hoặc khóa riêng tư ở nơi an toàn, ví dụ như thiết bị lưu trữ ngoại tuyến hoặc lưu trữ đám mây đã mã hóa. Ngoài ra, đối với người dùng ví có tài sản giá trị cao, sử dụng ví đa chữ ký có thể tăng cường an toàn.
2. Phòng chống tấn công钓鱼: Khi truy cập bất kỳ website liên quan nào, người dùng phải kiểm tra kỹ địa chỉ URL, tránh nhấn vào liên kết nguồn gốc không rõ. Cố gắng lấy liên kết tải xuống và thông tin từ website chính thức của dự án hoặc mạng xã hội chính thức, tránh sử dụng nguồn bên thứ ba.
3. An toàn phần mềm: Người dùng nên đảm bảo cài đặt và cập nhật phần mềm diệt virus trên thiết bị, ngăn chặn phần mềm độc hại và virus tấn công. Ngoài ra, nên cập nhật định kỳ ví và các công cụ liên quan blockchain khác, đảm bảo sử dụng các bản vá an toàn mới nhất. Do trước đây nhiều trình duyệt dấu vân tay và máy tính để bàn từ xa đều xuất hiện lỗ hổng an toàn, nên không khuyến nghị sử dụng.
Thông qua các biện pháp trên, người dùng có thể giảm thêm rủi ro an toàn khi sử dụng các công cụ khác nhau.
Đội an toàn OKX Web3 Wallet: Trước tiên chúng tôi đưa ra một ví dụ công khai trong ngành.
Ví dụ, trình duyệt dấu vân tay Bit cung cấp các chức năng như đăng nhập nhiều tài khoản, ngăn chặn liên kết cửa sổ và mô phỏng thông tin máy tính độc lập, được một số người dùng ưa chuộng, nhưng một loạt sự cố an toàn vào tháng 8 năm 2023 đã bộc lộ rủi ro tiềm ẩn. Cụ thể, chức năng "đồng bộ dữ liệu plugin" của trình duyệt Bit cho phép người dùng tải dữ liệu plugin lên máy chủ đám mây và nhanh chóng di chuyển trên thiết bị mới bằng cách nhập mật khẩu. Mặc dù chức năng này ban đầu được thiết kế để thuận tiện cho người dùng, nhưng nó cũng tiềm ẩn nguy cơ an toàn. Hacker xâm nhập máy chủ, lấy được dữ liệu ví của người dùng. Qua phương pháp bẻ khóa vũ lực, hacker bẻ khóa mật khẩu ví từ dữ liệu, giành được quyền truy cập ví. Theo ghi chép máy chủ, máy chủ lưu cache mở rộng đã bị tải xuống trái phép vào đầu tháng 8 (nhật ký ghi nhận muộn nhất đến ngày 2 tháng 8). Sự việc này nhắc nhở chúng ta, khi tận hưởng sự tiện lợi, cũng cần cảnh giác với rủi ro an toàn tiềm ẩn.
Vì vậy, người dùng đảm bảo công cụ sử dụng an toàn và đáng tin cậy là cực kỳ quan trọng, để tránh rủi ro bị hacker tấn công và rò rỉ dữ liệu. Nói chung, người dùng có thể tăng cường an toàn nhất định từ các chiều kích sau.
Một, sử dụng ví phần cứng: 1) Cập nhật固件 định kỳ, mua qua kênh chính thức. 2) Sử dụng trên máy tính an toàn, tránh kết nối ở nơi công cộng.
Hai, sử dụng plugin trình duyệt: ) Cẩn trọng sử dụng plugin và công cụ bên thứ ba, cố gắng chọn sản phẩm uy tín, ví dụ như OKX Web3 Wallet. 2) Tránh sử dụng plugin ví trên website không đáng tin cậy.
Ba, sử dụng công cụ phân tích giao dịch: 1) Sử dụng nền tảng đáng tin cậy để giao dịch và tương tác hợp đồng. 2) Kiểm tra kỹ địa chỉ hợp đồng và phương pháp gọi, tránh thao tác sai.
Bốn, sử dụng thiết bị máy tính: 1) Cập nhật định kỳ hệ thống thiết bị máy tính, cập nhật phần mềm, vá lỗ hổng an toàn. 2) Cài phần mềm diệt virus an toàn, định kỳ quét virus hệ thống máy tính.
Câu hỏi 5: So với ví đơn lẻ, người săn airdrop nên quản lý nhiều ví và tài khoản an toàn hơn như thế nào?
WTF Academy: Do người săn airdrop tương tác trên chuỗi với tần suất cao và đồng thời quản lý nhiều ví và tài khoản, nên cần đặc biệt chú ý an toàn tài sản.
Một, sử dụng ví phần cứng: Ví phần cứng cho phép người dùng quản lý nhiều tài khoản ví trên cùng một thiết bị, khóa riêng tư của mỗi tài khoản được lưu trữ trong thiết bị phần cứng, nói chung có thể đảm bảo an toàn hơn.
Hai, chiến lược an toàn riêng biệt & môi trường thao tác riêng biệt: Trước tiên là chiến lược an toàn riêng biệt, người dùng có thể tách biệt các ví dùng cho mục đích khác nhau để phân tán rủi ro. Ví dụ, ví airdrop, ví giao dịch, ví lưu trữ,... Ví dụ khác, ví nóng dùng cho giao dịch hàng ngày và thao tác săn airdrop, ví lạnh dùng để lưu trữ dài hạn tài sản quan trọng, như vậy ngay cả khi một ví bị ảnh hưởng, các ví khác cũng không bị ảnh hưởng.
Tiếp theo là tách biệt môi trường thao tác, người dùng có thể sử dụng các thiết bị khác nhau (ví dụ điện thoại, máy tính bảng, máy tính,...) để quản lý các ví khác nhau, tránh một thiết bị có vấn đề an toàn ảnh hưởng đến tất cả các ví.
Ba, quản lý mật khẩu: Người dùng nên đặt mật khẩu mạnh cho mỗi tài khoản ví, tránh sử dụng mật khẩu giống nhau hoặc tương tự. Hoặc sử dụng trình quản lý mật khẩu để quản lý mật khẩu cho các tài khoản khác nhau, đảm bảo mỗi mật khẩu độc lập và an toàn.
Đội an toàn OKX Web3 Wallet: Đối với người săn airdrop, việc quản lý an toàn nhiều ví và tài khoản không hề dễ dàng, ví dụ có thể tăng hệ số an toàn ví từ các chiều kích sau:
1, Phân tán rủi ro: 1) Không đặt tất cả tài sản vào một ví, lưu trữ phân tán để giảm rủi ro. Theo loại tài sản và mục đích sử dụng, chọn loại ví khác nhau, như ví phần cứng, ví phần mềm, ví lạnh và ví nóng,... 2) Sử dụng ví đa chữ ký để quản lý tài sản lớn, tăng cường an toàn.
2, Sao lưu và khôi phục: 1) Sao lưu định kỳ cụm từ khôi phục và khóa riêng tư, lưu trữ ở nhiều địa điểm an toàn. 2) Sử dụng ví phần cứng để lưu trữ lạnh, tránh rò rỉ khóa riêng tư.
3, Tránh mật khẩu trùng lặp: Đặt mật khẩu mạnh riêng biệt cho mỗi ví và tài khoản, tránh sử dụng cùng một mật khẩu, để giảm rủi ro một tài khoản bị bẻ khóa dẫn đến các tài khoản khác cùng bị đe dọa.
4, Kích hoạt xác minh hai bước: Nếu có thể, kích hoạt xác minh hai bước (2FA) cho tất cả tài khoản, tăng cường an toàn tài khoản.
5, Công cụ tự động hóa: Giảm thiểu sử dụng công cụ tự động hóa, đặc biệt là những dịch vụ có thể lưu trữ thông tin của bạn trên đám mây hoặc máy chủ bên thứ ba, để giảm rủi ro rò rỉ dữ liệu.
6, Hạn chế quyền truy cập: Chỉ cho phép người tin tưởng truy cập ví và tài khoản của bạn, và hạn chế quyền thao tác của họ.
7, Kiểm tra định kỳ trạng thái an toàn ví: Sử dụng công cụ giám sát giao dịch ví, đảm bảo không có giao dịch bất thường xảy ra, nếu phát hiện có rò rỉ khóa riêng tư trong ví, hãy lập tức thay đổi tất cả các ví,...
Ngoài những chiều kích liệt kê trên, còn nhiều chiều kích khác, dù sao đi nữa, người dùng nên cố gắng đảm bảo an toàn ví và tài sản từ nhiều chiều kích, đừng chỉ dựa vào một chiều kích đơn lẻ.
Câu hỏi 6: Có đề xuất phòng ngừa nào về trượt giá giao dịch, tấn công MEV và các vấn đề liên quan trực tiếp đến người săn airdrop?
WTF Academy: Hiểu và phòng ngừa trượt giá giao dịch và tấn công MEV là cực kỳ quan trọng, những rủi ro này ảnh hưởng trực tiếp đến chi phí giao dịch và an toàn tài sản.
Lấy tấn công MEV làm ví dụ, các loại phổ biến có: 1)抢跑, tức là thợ đào hoặc robot giao dịch抢先 thực hiện giao dịch giống người dùng trước, để thu lợi nhuận. 2) Tấn công sandwich, thợ đào chèn lệnh mua và bán trước và sau giao dịch của người dùng, từ đó thu lợi từ biến động giá. 3) Arbitrage: Tận dụng chênh lệch giá trên các thị trường khác nhau trên blockchain để arbitrage.
Người dùng có thể thông qua công cụ bảo vệ MEV, nộp giao dịch vào kênh chuyên dụng cho thợ đào, tránh phát sóng công khai trên blockchain. Hoặc giảm thời gian công khai giao dịch, tức là giảm thời gian giao dịch tồn tại trong mempool, và sử dụng phí Gas cao hơn để tăng tốc độ xác nhận giao dịch, cũng như tránh thực hiện giao dịch lớn tập trung trên một nền tảng DEX,... để giảm rủi ro bị tấn công.
Đội an toàn OKX Web3 Wallet: Trượt giá giao dịch là sự khác biệt giữa giá giao dịch dự kiến và giá thực tế thực thi, thường xảy ra khi thị trường biến động lớn hoặc thanh khoản thấp. Tấn công MEV là việc kẻ tấn công tận dụng sự bất đối xứng thông tin và đặc quyền giao dịch để thu lợi nhuận vượt trội. Dưới đây là một số biện pháp phòng ngừa phổ biến cho hai tình huống này:
1, Thiết lập dung sai trượt giá: Do việc giao dịch lên chuỗi có độ trễ nhất định, cũng như có thể xảy ra tấn công MEV,... người dùng cần thiết lập dung sai trượt giá hợp lý trước khi giao dịch, tránh giao dịch thất bại hoặc mất tiền do biến động thị trường hoặc tấn công MEV.
2, Giao dịch theo lô: Tránh giao dịch lớn một lần, thực hiện giao dịch theo từng phần, có thể giảm ảnh hưởng đến giá thị trường, giảm rủi ro trượt giá.
3, Sử dụng cặp giao dịch thanh khoản cao: Khi giao dịch, chọn cặp giao dịch có thanh khoản dồi dào để giảm trượt giá.
4, Sử dụng công cụ chống抢跑: Các giao dịch quan trọng尽量 không đi qua Memepool, có thể thông qua công cụ chống抢跑 chuyên nghiệp để bảo vệ giao dịch không bị robot MEV bắt được.
Câu hỏi 7: Người dùng có thể sử dụng công cụ giám sát hoặc phương pháp chuyên nghiệp để định kỳ giám sát và phát hiện bất thường tài khoản ví không?
WTF Academy: Người dùng có thể sử dụng nhiều công cụ giám sát và phương pháp chuyên nghiệp để định kỳ giám sát và phát hiện hoạt động bất thường tài khoản ví. Những phương pháp này giúp tăng cường an toàn tài khoản, ngăn chặn truy cập trái phép và hành vi gian lận tiềm ẩn. Dưới đây là một số phương pháp giám sát và phát hiện hiệu quả:
1) Dịch vụ giám sát bên thứ ba: Hiện nay nhiều nền tảng có thể cung cấp báo cáo chi tiết hoạt động ví và cảnh báo thời gian thực cho người dùng.
2) Sử dụng plugin an toàn: Một số công cụ an toàn có thể tự động chặn một số website钓鱼.
3) Chức năng tích hợp trong ví: Ví như OKX Web3 có thể tự động phát hiện và nhận diện một số website钓鱼và hợp đồng đáng ngờ, cung cấp cảnh báo cho người dùng.
Đội an toàn OKX Web3 Wallet: Hiện nay nhiều công ty hoặc tổ chức cung cấp lượng lớn công cụ có thể dùng để
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














