
An toàn đặc biệt 04 | OKX Web3 & OneKey: Tăng cường bảo mật thiết bị
Tuyển chọn TechFlowTuyển chọn TechFlow

An toàn đặc biệt 04 | OKX Web3 & OneKey: Tăng cường bảo mật thiết bị
Mời đội an toàn OneKey từ nhà cung cấp phần cứng ví tiền mã hóa OneKey và đội an toàn ví OKX Web3 cùng chia sẻ hướng dẫn thực tế, giúp bạn tăng thêm "Buff" bảo mật cho thiết bị.
Lời nói đầu
OKX Web3 Wallet đã đặc biệt tổ chức chuyên mục "Tạp chí An toàn", nhằm giải đáp sâu về các vấn đề an toàn trên chuỗi theo từng chủ đề cụ thể. Thông qua những trường hợp thực tế xảy ra gần người dùng nhất, phối hợp cùng các chuyên gia hoặc tổ chức trong lĩnh vực an toàn, chia sẻ và giải đáp từ hai góc nhìn khác nhau, từ đó phân tích và hệ thống hóa các quy tắc giao dịch an toàn một cách có hệ thống, nhằm tăng cường giáo dục an toàn cho người dùng đồng thời giúp họ học cách tự bảo vệ khóa riêng tư và tài sản trong ví.
Lướt sóng trong thế giới Web3, có 2 khoản tiền không nên tiếc:
Một là phí Gas trên chuỗi; một là trang bị an toàn ngoài chuỗi.
Dù trên hay ngoài chuỗi, an toàn đều quan trọng ~
Số báo này là kỳ 04 của Tạp chí An toàn, mời đội an toàn của nhà sản xuất ví phần cứng OneKey và đội an toàn OKX Web3 Wallet, cùng hướng dẫn thực tế để giúp bạn tăng thêm lớp bảo vệ "Buff" cho thiết bị.

Đội an toàn OneKey: OneKey thành lập năm 2019, là công ty chuyên về ví phần cứng và ví phần mềm mã nguồn mở, tập trung vào an toàn, đồng thời sở hữu phòng thí nghiệm an ninh tấn công - phòng thủ, đã nhận được sự hỗ trợ từ các tổ chức hàng đầu như Coinbase, Ribbit Capital, Dragonfly. Hiện nay, ví phần cứng OneKey đang trở thành một trong những thương hiệu ví phần cứng bán chạy nhất tại châu Á.
Đội an toàn OKX Web3 Wallet: Xin chào mọi người, rất vui được tham gia chia sẻ lần này. Đội an toàn OKX Web3 Wallet chịu trách nhiệm xây dựng các năng lực an toàn trong lĩnh vực Web3 của OKX, ví dụ như phát triển khả năng bảo mật ví, kiểm toán an toàn hợp đồng thông minh, giám sát an toàn dự án trên chuỗi,... cung cấp cho người dùng nhiều lớp bảo vệ về sản phẩm, tài chính và giao dịch, đóng góp vào việc duy trì hệ sinh thái an toàn blockchain.
Câu hỏi 1: Có thể chia sẻ vài ví dụ thực tế về rủi ro thiết bị mà người dùng gặp phải không?
Đội an toàn OneKey: Các rủi ro liên quan đến thiết bị mà người dùng Web3 gặp phải mang tính đa dạng, dưới đây là một số trường hợp phổ biến.
Ví dụ một: Người dùng Alice rời khỏi thiết bị của mình, sau đó bị xâm nhập vật lý bởi người bên cạnh mà không hề hay biết, dẫn đến mất tài sản. Trong lĩnh vực an toàn máy tính, kiểu tấn công này thường gọi là «tấn công nữ hầu ác độc (Evil maid attack)», cũng là một trong những loại rủi ro thiết bị phổ biến nhất mà người dùng gặp phải.
Từ đồng nghiệp trong «studio kiếm tiền» đến nhân viên dọn phòng hay thậm chí là người thân cận nhất, ai cũng có thể trở thành kẻ tấn công vì động lòng tham. Trước đây chúng tôi từng hỗ trợ điều tra vụ đánh cắp tài sản trong ví phần cứng, người dùng báo án, yêu cầu sàn giao dịch cung cấp thông tin KYC của tài khoản người tấn công, cuối cùng phát hiện chính là người thân gây ra, đúng là «phòng bị mọi nơi, chỉ sợ trộm nội bộ».
Ví dụ hai: Người dùng Bob bị ép buộc về mặt vật lý, buộc phải giao nộp thiết bị có quyền kiểm soát tài sản – trong cộng đồng tiền mã hóa, kiểu tấn công này có cái tên nửa đùa nửa thật là «tấn công cờ lê 5 đô la ($5 Wrench Attack)».
Trong những năm gần đây, do ảnh hưởng về tài sản ngày càng lan rộng của Crypto, các vụ bắt cóc tống tiền đối với nhóm người giàu có dường như gia tăng nghiêm trọng, đặc biệt ở những quốc gia có tỷ lệ tội phạm cao. Vào đầu năm 2023, truyền thông từng đưa tin một trường hợp bị cướp khi giao dịch tiền ảo trực tiếp. Nạn nhân tham gia buổi họp nhóm nhà đầu tư tiền kỹ thuật số, sau bữa ăn bị khống chế trong xe, bọn tội phạm sử dụng khuôn mặt nạn nhân để mở khóa điện thoại và ứng dụng ví, đổi toàn bộ tiền mã hóa trong ví sang 4,1 triệu USDT rồi nhanh chóng chuyển tiền và rời đi. Gần đây trên Twitter, một nhân vật kỳ cựu trong ngành mỏ tiền mã hóa cho biết bản thân bị cướp bởi một băng tội phạm quốc tế, bị tống tiền phần lớn tài sản tích lũy cả đời.
Đội an toàn OKX Web3 Wallet: Chủ đề hôm nay rất hay. Trước đây chúng ta đã thảo luận về an toàn khóa riêng tư, an toàn giao dịch MEME, an toàn kiếm tiền... nhiều chủ đề an toàn trên chuỗi, thực tế an toàn thiết bị cũng rất quan trọng. Dưới đây là một số ví dụ điển hình.
Ví dụ một: Ví phần cứng bị thay đổi
Người dùng A mua một ví phần cứng từ nền tảng không được ủy quyền, chưa xác minh đã bắt đầu sử dụng. Thực tế firmware của ví này đã bị thay đổi, trước đó đã tạo sẵn nhiều bộ cụm từ khôi phục. Cuối cùng, tài sản mà người dùng lưu trữ trong ví phần cứng bị hacker hoàn toàn kiểm soát, thiệt hại nặng nề.
Biện pháp phòng ngừa: 1) Người dùng nên mua ví phần cứng từ kênh chính thức hoặc đáng tin cậy. 2) Trước khi sử dụng ví, hãy thực hiện đầy đủ quy trình xác minh chính thức để đảm bảo an toàn firmware.
Ví dụ hai: Tấn công lừa đảo (Phishing)
Người dùng B nhận được email từ “trung tâm an toàn ví” thông báo rằng ví của họ có vấn đề về an toàn và yêu cầu nhập cụm từ khôi phục để cập nhật an toàn. Thực tế đây là một cuộc tấn công lừa đảo được thiết kế tinh vi, cuối cùng người dùng mất toàn bộ tài sản.
Biện pháp phòng ngừa: 1) Người dùng tuyệt đối không được nhập khóa riêng tư hay cụm từ khôi phục trên bất kỳ website nào chưa được xác minh. 2) Sử dụng màn hình của ví phần cứng để xác minh tất cả thông tin giao dịch và hoạt động.
Ví dụ ba: An toàn phần mềm
Người dùng C tải phần mềm độc hại từ kênh không được xác minh, khi thực hiện thao tác ví, do phần mềm chứa logic độc hại nên dẫn đến mất tài sản.
Biện pháp phòng ngừa: 1) Người dùng tải phần mềm từ kênh chính thức và cập nhật định kỳ phần mềm, firmware. 2) Sử dụng phần mềm diệt virus và tường lửa để bảo vệ thiết bị.
Câu hỏi 2: Thiết bị và cơ sở vật lý phổ biến mà người dùng sử dụng, cùng các loại rủi ro tương ứng
Đội an toàn OneKey: Những thiết bị liên quan đến an toàn tài sản người dùng thường bao gồm điện thoại, máy tính, ví phần cứng, thiết bị lưu trữ USB và thiết bị truyền thông mạng (như Wi-Fi).
Ngoài «tấn công nữ hầu ác độc (Evil Maid Attack)» khi rời khỏi thiết bị và «tấn công cờ lê 5 đô la ($5 Wrench Attack)» do hành vi phạm tội bạo lực đã nêu, dưới đây chúng tôi bổ sung thêm một số điểm cần đặc biệt chú ý.
Thứ nhất, Kỹ thuật xã hội và tấn công lừa đảo
Kỹ thuật xã hội và tấn công lừa đảo là phương thức tấn công hiện nay rất phổ biến và hiệu quả, kẻ tấn công lợi dụng điểm yếu con người để lừa người dùng thực hiện thao tác nguy hiểm. Ví dụ, liên kết và tệp đính kèm giả mạo, kẻ tấn công có thể gửi email, tin nhắn SMS hoặc tin nhắn mạng xã hội chứa liên kết độc hại, giả dạng nguồn đáng tin cậy như thông báo ngân hàng hay nhắc nhở từ nền tảng mạng xã hội. Một khi người dùng nhấn vào liên kết hoặc tải tệp đính kèm, phần mềm độc hại sẽ được cài đặt vào thiết bị, dẫn đến bị xâm nhập từ xa.
Ví dụ khác, giả danh nhân viên hỗ trợ kỹ thuật, kẻ tấn công có thể giả làm nhân viên hỗ trợ, liên hệ người dùng qua điện thoại hoặc email, tuyên bố thiết bị của họ có vấn đề và cần hành động ngay lập tức. Chúng có thể dụ người dùng cấp quyền truy cập từ xa vào thiết bị hoặc tiết lộ thông tin nhạy cảm. Hiện nay trên Twitter, chỉ cần bạn nhắc đến các thuật ngữ liên quan tiền mã hóa, rất nhanh sẽ có một đội quân robot ồ ạt đến giả danh hỗ trợ kỹ thuật để «phục vụ» bạn.
Thứ hai, Tấn công chuỗi cung ứng
Tấn công chuỗi cung ứng là khi kẻ tấn công cài cắm phần mềm độc hại trong quá trình sản xuất hoặc vận chuyển thiết bị. Biểu hiện cụ thể gồm ba điểm sau.
Điểm thứ nhất là thay đổi phần cứng. Kẻ tấn công có thể cài phần mềm độc hại trong quá trình sản xuất ví phần cứng hoặc thiết bị lưu trữ USB. Ví dụ, nếu người dùng mua thiết bị từ nguồn không đáng tin cậy, có thể nhận được thiết bị đã bị thay đổi, các thiết bị này có thể được cài sẵn phần mềm độc hại có khả năng đánh cắp thông tin hoặc cho phép truy cập từ xa.
Điểm thứ hai là thay đổi phần mềm. Kẻ tấn công có thể tấn công vào chuỗi cung ứng phần mềm thiết bị, thay đổi gói cập nhật phần mềm hoặc firmware. Khi người dùng tải và cài đặt các bản cập nhật này, thiết bị có thể bị cài chương trình cửa hậu hoặc các loại mã độc khác.
Điểm thứ ba là tấn công logistics: Trong quá trình vận chuyển thiết bị, kẻ tấn công có thể chặn và thay đổi thiết bị. Ví dụ, trong quá trình giao hàng, thiết bị phần cứng có thể bị thay thế hoặc thay đổi để phục vụ cho các cuộc tấn công sau này.
Thứ ba, Tấn công trung gian (MITM)
Tấn công trung gian (Man-in-the-Middle Attack, MITM) là khi kẻ tấn công chặn và sửa đổi dữ liệu truyền tải giữa hai bên giao tiếp.
Ví dụ, khi người dùng sử dụng mạng truyền thông chưa mã hóa, kẻ tấn công có thể dễ dàng chặn và sửa đổi dữ liệu đang truyền. Nghĩa là khi dùng website HTTP chưa mã hóa, kẻ tấn công có thể chặn và sửa đổi dữ liệu người dùng gửi và nhận.
Một ví dụ khác là Wi-Fi công cộng, khi sử dụng Wi-Fi công cộng, dữ liệu truyền tải của người dùng dễ bị kẻ tấn công chặn hơn. Thậm chí, kẻ tấn công có thể thiết lập điểm truy cập Wi-Fi công cộng giả mạo, một khi người dùng kết nối, kẻ tấn công có thể giám sát và đánh cắp thông tin nhạy cảm như thông tin đăng nhập và lịch sử giao dịch ngân hàng. Ngay cả Wi-Fi tại nhà trong trường hợp cực đoan cũng có thể bị xâm nhập và cài phần mềm độc hại.
Thứ tư, Tấn công nội bộ bên thứ ba và lỗ hổng phần mềm
Tấn công nội bộ bên thứ ba và lỗ hổng phần mềm là những rủi ro người dùng khó kiểm soát nhưng lại ảnh hưởng lớn đến an toàn thiết bị vật lý.
Phổ biến nhất là lỗ hổng an toàn phần cứng và phần mềm. Những lỗ hổng này có thể bị kẻ tấn công lợi dụng để tấn công từ xa hoặc tấn công vòng ngoài vật lý. Ví dụ, một số plugin hoặc ứng dụng có thể tồn tại lỗ hổng chưa được phát hiện, kẻ tấn công có thể sử dụng các lỗ hổng này để giành quyền kiểm soát thiết bị. Điều này thường có thể khắc phục bằng cách cập nhật an toàn định kỳ. Đồng thời, phần cứng nên sử dụng chip mã hóa mới nhất.
Hoạt động nội bộ từ phía phần mềm: Nhân viên nội bộ của nhà phát triển phần mềm hoặc nhà cung cấp dịch vụ có thể lạm dụng quyền truy cập để thực hiện hành vi độc hại, đánh cắp dữ liệu người dùng hoặc cài mã độc vào phần mềm. Hoặc do các yếu tố bên ngoài dẫn đến hành vi độc hại.
Ví dụ, trước đây từng có trường hợp «studio kiếm tiền» bị mất tài sản do sử dụng trình duyệt dấu vân tay đa tài khoản, có thể do hành vi độc hại nội bộ từ phần mềm hoặc plugin. Điều này cho thấy ngay cả phần mềm hợp pháp, nếu kiểm soát nội bộ không chặt chẽ, cũng có thể đe dọa an toàn tài sản người dùng.
Một ví dụ khác, Ledger từng trải qua một cuộc tấn công gây hoảng loạn — Connect Kit mà nhiều dapp đang dùng gặp vấn đề. Nguyên nhân là một cựu nhân viên trở thành nạn nhân của tấn công lừa đảo, kẻ tấn công chèn mã độc vào kho GitHub của Connect Kit. May mắn thay, đội an toàn Ledger đã triển khai biện pháp khắc phục trong vòng 40 phút sau khi được báo cáo, Tether cũng kịp thời đóng băng số USDT của kẻ tấn công.
Đội an toàn OKX Web3 Wallet: Chúng tôi tổng hợp một số thiết bị vật lý người dùng thường dùng và phân tích các rủi ro tiềm ẩn.
Hiện tại, các thiết bị vật lý phổ biến bao gồm: 1) Máy tính (máy để bàn và laptop), dùng để truy cập ứng dụng phi tập trung (dApps), quản lý ví tiền mã hóa, tham gia mạng blockchain,... 2) Điện thoại thông minh và máy tính bảng, dùng để truy cập dApp trên thiết bị di động, quản lý ví tiền mã hóa và thực hiện giao dịch. 3) Ví phần cứng, thiết bị chuyên dụng (như Ledger, Trezor), dùng để lưu trữ an toàn khóa riêng tư tiền mã hóa, ngăn bị hacker tấn công. 4) Cơ sở hạ tầng mạng, các thiết bị như bộ định tuyến, switch, tường lửa,... đảm bảo kết nối mạng ổn định và an toàn. 5) Thiết bị nút (node), thiết bị phần mềm chạy nút blockchain (có thể là máy tính cá nhân hoặc máy chủ chuyên dụng), tham gia đồng thuận mạng và xác thực dữ liệu. 6) Thiết bị lưu trữ lạnh, thiết bị dùng để lưu trữ khóa riêng tư ngoại tuyến, ví dụ như ổ USB, ví giấy,... ngăn chặn tấn công trực tuyến.
Các rủi ro tiềm ẩn chính từ thiết bị vật lý bao gồm:
1) Rủi ro thiết bị vật lý
• Mất hoặc hư hỏng thiết bị: Nếu ví phần cứng hoặc máy tính bị mất hoặc hư hỏng, có thể dẫn đến mất khóa riêng tư, từ đó không thể truy cập tài sản mã hóa.
• Xâm nhập vật lý: Tội phạm dùng phương tiện vật lý xâm nhập thiết bị, trực tiếp lấy khóa riêng tư hoặc thông tin nhạy cảm.
2) Rủi ro an toàn mạng
• Phần mềm độc hại và virus: Tấn công thiết bị người dùng bằng phần mềm độc hại để đánh cắp khóa riêng tư hoặc thông tin nhạy cảm.
• Tấn công lừa đảo: Giả dạng dịch vụ hợp pháp dụ người dùng cung cấp khóa riêng tư hoặc thông tin đăng nhập.
• Tấn công trung gian (MITM): Kẻ tấn công chặn và sửa đổi giao tiếp giữa người dùng và mạng blockchain.
3) Rủi ro hành vi người dùng
• Tấn công kỹ thuật xã hội: Kẻ tấn công dùng kỹ thuật xã hội dụ người dùng tiết lộ khóa riêng tư hoặc thông tin nhạy cảm khác.
• Sai sót thao tác: Người dùng thao tác sai khi giao dịch hoặc quản lý tài sản, có thể dẫn đến mất tài sản.
4) Rủi ro kỹ thuật
• Lỗ hổng phần mềm: Lỗ hổng trong dApps, ví mã hóa hoặc giao thức blockchain có thể bị hacker lợi dụng.
• Lỗ hổng hợp đồng thông minh: Lỗi trong mã hợp đồng thông minh có thể dẫn đến mất tiền.
5) Rủi ro pháp lý và quản lý
• Tuân thủ pháp luật: Các quốc gia và khu vực khác nhau có chính sách quản lý khác nhau đối với tiền mã hóa và công nghệ blockchain, có thể ảnh hưởng đến an toàn tài sản và tự do giao dịch của người dùng.
• Thay đổi quản lý: Sự thay đổi đột ngột về chính sách có thể dẫn đến đóng băng tài sản hoặc hạn chế giao dịch.
Câu hỏi 3: Ví phần cứng có phải là lựa chọn bắt buộc cho an toàn khóa riêng tư? Có những biện pháp bảo vệ khóa riêng tư nào?
Đội an toàn OneKey: Tất nhiên, dù ví phần cứng không phải lựa chọn duy nhất cho an toàn khóa riêng tư, nhưng nó thực sự là một phương pháp rất hiệu quả để tăng cường an toàn. Ưu điểm lớn nhất là nó cô lập khóa riêng tư khỏi internet trong suốt quá trình tạo, ghi và lưu trữ, đồng thời yêu cầu người dùng xác nhận chi tiết giao dịch trực tiếp trên thiết bị vật lý mỗi khi thực hiện giao dịch. Đặc điểm này hiệu quả ngăn chặn rủi ro khóa riêng tư bị đánh cắp bởi phần mềm độc hại hoặc hacker.
Chúng ta hãy cùng điểm qua ưu điểm của ví phần cứng:
1) Cô lập vật lý: Ví phần cứng lưu trữ khóa riêng tư trong thiết bị chuyên dụng, hoàn toàn tách biệt với máy tính và thiết bị di động kết nối mạng. Nghĩa là, ngay cả khi máy tính hoặc điện thoại người dùng bị nhiễm phần mềm độc hại, khóa riêng tư vẫn an toàn vì chúng chưa bao giờ tiếp xúc internet.
2) Xác minh giao dịch: Khi dùng ví phần cứng để giao dịch, người dùng phải xác nhận và xác minh chi tiết giao dịch trực tiếp trên thiết bị. Quá trình này khiến ngay cả khi kẻ tấn công có được thông tin tài khoản trực tuyến của người dùng, cũng không thể chuyển tài sản mà không được ủy quyền.
3) Chip an toàn: Nhiều ví phần cứng sử dụng chip an toàn chuyên dụng để lưu trữ khóa riêng tư. Những chip này đã qua chứng nhận an toàn nghiêm ngặt, như CC EAL6+ (ví dụ tiêu chuẩn được áp dụng trên các ví phần cứng mới như OneKey Pro và Ledger Stax), có thể hiệu quả chống lại các tấn công vòng ngoài vật lý. Chip an toàn không chỉ ngăn truy cập trái phép mà còn chống lại nhiều phương thức tấn công nâng cao như phân tích điện từ và phân tích điện năng.
Ngoài ví phần cứng, còn có nhiều phương pháp khác để tăng cường an toàn khóa riêng tư, người dùng có thể lựa chọn giải pháp phù hợp với nhu cầu của mình:
1) Ví giấy: Ví giấy là cách lưu trữ ngoại tuyến bằng cách in khóa riêng tư và khóa công khai lên giấy. Mặc dù phương pháp này đơn giản và hoàn toàn ngoại tuyến, nhưng cần lưu ý các vấn đề an toàn vật lý như chống cháy, chống ẩm, chống mất. Nếu có điều kiện, tốt nhất nên mua tấm kim loại khắc để ghi lại vật lý (hiện có nhiều lựa chọn trên thị trường, ví dụ KeyTag của OneKey).
2) Ví lạnh điện thoại: Ví lạnh là ví lưu trữ hoàn toàn ngoại tuyến khóa riêng tư hoặc tài sản mã hóa, ví dụ như điện thoại hoặc máy tính ngoại tuyến. Tương tự ví phần cứng, ví lạnh cũng hiệu quả tránh tấn công mạng, nhưng người dùng cần tự cấu hình và quản lý các thiết bị này.
3) Lưu trữ mã hóa phân mảnh: Đây là phương pháp chia khóa riêng tư thành nhiều phần và lưu trữ ở các vị trí khác nhau. Ngay cả khi kẻ tấn công lấy được một phần khóa riêng tư, cũng không thể khôi phục hoàn chỉnh. Phương pháp này tăng độ khó tấn công để nâng cao an toàn, nhưng người dùng cần quản lý tốt từng phần khóa riêng tư, tránh không thể khôi phục do mất một phần.
4) Chữ ký đa ký (Multisig): Công nghệ chữ ký đa ký yêu cầu nhiều khóa riêng tư cùng ký để hoàn tất giao dịch chuyển tiền. Phương pháp này tăng an toàn bằng cách tăng số lượng người ký, ngăn tài sản bị chuyển do một khóa riêng tư bị đánh cắp. Ví dụ, có thể thiết lập tài khoản đa ký ba bên, chỉ khi ít nhất hai khóa riêng tư đồng ý thì giao dịch mới được thực hiện. Điều này không chỉ nâng cao an toàn mà còn cho phép quản lý linh hoạt hơn.
5) Công nghệ mật mã tiên tiến: Với sự phát triển công nghệ, một số công nghệ mật mã mới đang được ứng dụng trong bảo vệ khóa riêng tư. Ví dụ, Sơ đồ chữ ký ngưỡng (Threshold Signature Scheme, TSS) và Tính toán đa bên (Multi-Party Computation, MPC), thông qua tính toán phân tán và hợp tác, tiếp tục nâng cao độ an toàn và độ tin cậy trong quản lý khóa riêng tư. Thường thì doanh nghiệp sử dụng nhiều, cá nhân ít dùng.
Đội an toàn OKX Web3 Wallet: Ví phần cứng lưu trữ khóa riêng tư trên một thiết bị độc lập, ngoại tuyến, ngăn khóa riêng tư bị đánh cắp bởi tấn công mạng, phần mềm độc hại hoặc các mối đe dọa trực tuyến khác. So với ví phần mềm và các hình thức lưu trữ khác, ví phần cứng cung cấp mức độ bảo mật cao hơn, đặc biệt phù hợp với người dùng cần bảo vệ lượng lớn tài sản mã hóa. Các biện pháp bảo vệ khóa riêng tư có thể xét theo các khía cạnh sau:
1) Sử dụng thiết bị lưu trữ an toàn: Chọn ví phần cứng đáng tin cậy hoặc thiết bị lưu trữ lạnh khác, giảm rủi ro khóa riêng tư bị đánh cắp bởi tấn công mạng.
2) Xây dựng giáo dục nhận thức an toàn toàn diện: Tăng cường tầm quan trọng và ý thức bảo vệ khóa riêng tư, luôn cảnh giác với mọi trang web hoặc chương trình yêu cầu nhập khóa riêng tư, khi sao chép dán khóa riêng tư, có thể chỉ sao chép một phần, để vài ký tự nhập tay, tránh tấn công clipboard.
3) Lưu trữ an toàn cụm từ khôi phục và khóa riêng tư: Tránh chụp ảnh, chụp màn hình hoặc ghi chú trực tuyến cụm từ khôi phục, nên viết ra giấy và cất ở nơi an toàn.
4) Lưu trữ tách biệt khóa riêng tư: Chia khóa riêng tư thành nhiều phần, lưu trữ ở các nơi khác nhau, giảm rủi ro lỗi điểm đơn.
Câu hỏi 4: Những lỗ hổng hiện tại trong xác thực danh tính và kiểm soát truy cập
Đội an toàn OneKey: Blockchain không giống Web2 cần nhận diện và lưu trữ thông tin danh tính của chúng ta, mà dùng mật mã để thực hiện tự lưu trữ tài sản và truy cập. Nghĩa là, khóa riêng tư là tất cả. Rủi ro lớn nhất trong kiểm soát truy cập tài sản mã hóa của người dùng thường đến từ việc lưu trữ khóa riêng tư không đúng cách –畢竟 khóa riêng tư là bằng chứng duy nhất truy cập tài sản tiền mã hóa. Nếu khóa riêng tư bị mất, bị đánh cắp, bị lộ hay gặp thiên tai, rất có thể tài sản sẽ mất vĩnh viễn.
Đây cũng là ý nghĩa tồn tại của các thương hiệu như OneKey, cung cấp giải pháp tự lưu trữ khóa riêng tư an toàn cho người dùng. Nhiều người dùng thiếu ý thức an toàn khi quản lý khóa riêng tư, dùng phương pháp lưu trữ không an toàn (như lưu khóa riêng tư trong tài liệu trực tuyến, chụp màn hình). Cách tốt nhất là dùng phương pháp tạo và lưu trữ ngoại tuyến, ngoài việc tự tung xúc xắc và chép tay, có thể cân nhắc dùng ví phần cứng kết hợp với tấm kim loại khắc cụm từ khôi phục như đã đề cập.
Tất nhiên, cũng có nhiều người dùng lưu trữ tài sản trực tiếp trong tài khoản sàn giao dịch, lúc này xác thực danh tính và kiểm soát truy cập sẽ tương tự Web2.
Điều này liên quan đến ý thức an toàn mật khẩu của người dùng. Việc dùng mật khẩu yếu và lặp lại mật khẩu là vấn đề phổ biến. Người dùng có xu hướng dùng mật khẩu đơn giản, dễ đoán hoặc dùng cùng một mật khẩu trên nhiều nền tảng (ví dụ email xác thực), làm tăng rủi ro bị bẻ khóa bằng vũ lực hoặc bị tấn công sau rò rỉ dữ liệu.
Mặc dù xác thực đa yếu tố (như mã xác thực SMS, Google Authenticator) có thể tăng an toàn, nhưng nếu triển khai không đúng hoặc có lỗ hổng (ví dụ cướp SMS), cũng sẽ trở thành mục tiêu tấn công. Ví dụ tấn công chuyển SIM – kẻ tấn công lừa hoặc hối lộ nhân viên nhà mạng, chuyển số điện thoại nạn nhân sang thẻ SIM do chúng kiểm soát, từ đó nhận tất cả mã xác thực SMS gửi đến điện thoại nạn nhân. Trước đây Vitalik từng bị tấn công «SIM SWAP», kẻ tấn công dùng Twitter của anh phát thông tin lừa đảo khiến nhiều người mất tài sản. Ngoài ra, việc lưu trữ mã sao lưu của xác thực đa yếu tố như «Google Authenticator» không đúng cách cũng có thể bị kẻ tấn công lấy được và dùng để tấn công tài khoản.
Đội an toàn OKX Web3 Wallet: Đây là lĩnh vực rất đáng quan tâm, hiện nay cần lưu ý:
1) Mật khẩu yếu và dùng lại mật khẩu: Người dùng thường dùng mật khẩu đơn giản, dễ đoán, hoặc dùng cùng mật khẩu trên nhiều dịch vụ, làm tăng rủi ro mật khẩu bị bẻ khóa bằng vũ lực hoặc bị lấy qua các kênh rò rỉ khác.
2) Xác thực đa yếu tố (MFA) chưa đủ: Trong Web2, MFA có thể tăng đáng kể an toàn, nhưng trong ví web3, một khi khóa riêng tư rò rỉ có nghĩa là kẻ tấn công nắm toàn quyền thao tác tài khoản, khó xây dựng cơ chế MFA hiệu quả.
3) Tấn công lừa đảo và kỹ thuật xã hội: Kẻ tấn công dụ người dùng tiết lộ thông tin nhạy cảm qua email lừa đảo, website giả mạo,... Hiện nay các website lừa đảo web3 mang đặc điểm tập đoàn hóa, dịch vụ hóa, nếu không có đủ ý thức an toàn rất dễ bị lừa.
4) Quản lý khóa API không đúng: Nhà phát triển có thể mã hóa cứng khóa API trong ứng dụng khách, hoặc không kiểm soát quyền hạn và quản lý hết hạn phù hợp, dẫn đến khóa bị rò rỉ và bị lạm dụng.
Câu hỏi 5: Người dùng nên phòng ngừa rủi ro từ các công nghệ ảo mới nổi như AI đổi mặt như thế nào?
Đội an toàn OneKey: Tại hội nghị BlackHat năm 2015, các hacker toàn cầu nhất trí rằng công nghệ nhận dạng khuôn mặt là phương pháp xác thực danh tính kém tin cậy nhất. Gần một thập kỷ sau, với sự tiến bộ của công nghệ AI, chúng ta đã có «phép thuật» gần như hoàn hảo để thay thế khuôn mặt, quả nhiên nhận dạng hình ảnh khuôn mặt thông thường không còn đảm bảo an toàn. Vì vậy, bên nhận diện cần nâng cấp thuật toán để nhận diện và ngăn chặn nội dung deepfake.
Đối với rủi ro như AI đổi mặt, ngoài việc bảo vệ dữ liệu đặc trưng sinh học riêng tư của bản thân, người dùng thực sự không thể làm được nhiều. Dưới đây là một vài lời khuyên nhỏ:
1) Cẩn trọng khi dùng ứng dụng nhận diện khuôn mặt
Khi chọn dùng ứng dụng nhận diện khuôn mặt, người dùng nên chọn những ứng dụng có hồ sơ an toàn tốt và chính sách riêng tư rõ ràng. Tránh dùng ứng dụng nguồn gốc không rõ hoặc nghi ngờ về an toàn, và cập nhật phần mềm định kỳ để đảm bảo dùng bản vá an toàn mới nhất. Trước đây trong nước có nhiều ứng dụng vay tiền nhỏ vi phạm dùng dữ liệu khuôn mặt người dùng để buôn bán, làm rò rỉ dữ liệu khuôn mặt.
2) Hiểu về xác thực đa yếu tố (MFA)
Xác thực sinh trắc học đơn lẻ có rủi ro lớn, do đó kết hợp nhiều phương pháp xác thực có thể nâng cao đáng kể an toàn. Xác thực đa yếu tố (MFA) kết hợp nhiều phương pháp xác minh, ví dụ như vân tay, quét mống mắt, nhận dạng giọng nói, thậm chí dữ liệu DNA. Đối với bên xác minh, cách xác thực kết hợp này cung cấp thêm lớp an toàn khi một phương pháp bị phá. Về phía người dùng, bảo vệ dữ liệu riêng tư liên quan cũng rất quan trọng.
3) Giữ thái độ hoài nghi, cảnh giác lừa đảo
Rõ ràng, khi khuôn mặt và giọng nói đều có thể bị AI mô phỏng, việc mạo danh một người qua mạng trở nên dễ dàng hơn nhiều. Người dùng cần đặc biệt cảnh giác với các yêu cầu liên quan thông tin nhạy cảm hoặc chuyển tiền, thực hiện xác minh kép, xác nhận danh tính đối phương qua điện thoại hoặc trực tiếp. Luôn cảnh giác, không tin tưởng yêu cầu khẩn cấp, nhận diện các thủ đoạn lừa đảo phổ biến như mạo danh lãnh đạo, người quen, chăm sóc khách hàng,... Hiện nay cũng có nhiều người mạo danh người nổi tiếng, cần cẩn thận với «sân khấu giả» khi tham gia dự án.
Đội an toàn OKX Web3 Wallet: Nói chung, công nghệ ảo mới nổi mang lại rủi ro mới, và rủi ro mới thực tế cũng thúc đẩy nghiên cứu các biện pháp phòng thủ mới, nghiên cứu biện pháp phòng thủ mới sẽ mang lại sản phẩm kiểm soát rủi ro mới.
Một, Rủi ro giả mạo AI
Trong lĩnh vực AI đổi mặt, đã xuất hiện nhiều sản phẩm phát hiện AI đổi mặt, giới công nghiệp hiện nay đã đề xuất vài phương pháp tự động phát hiện video nhân vật giả, tập trung vào phát hiện các yếu tố độc đáo (dấu vân tay) do dùng deepfake trong nội dung kỹ thuật số, người dùng cũng có thể tự nhận diện AI đổi mặt bằng cách quan sát kỹ đặc điểm khuôn mặt, xử lý viền, âm thanh và hình ảnh không đồng bộ,... Ngoài ra, Microsoft cũng ra mắt loạt công cụ giáo dục người dùng nhận diện deepfake, người dùng có thể học tập để nâng cao khả năng nhận diện cá nhân.
Hai, Rủi ro dữ liệu và riêng tư
Việc ứng dụng mô hình lớn trong nhiều lĩnh vực cũng mang lại rủi ro dữ liệu và riêng tư cho người dùng. Trong quá trình dùng chatbot, người dùng nên chú ý bảo vệ thông tin riêng tư cá nhân, cố gắng tránh nhập trực tiếp các thông tin then chốt như khóa riêng tư, key, mật khẩu,... nên dùng phương pháp thay thế, làm rối để ẩn thông tin then chốt. Về phía nhà phát triển, Github cung cấp loạt công cụ kiểm tra thân thiện, nếu mã gửi lên chứa OpenAI apikey hoặc các rò rỉ riêng tư rủi ro khác, thao tác Push tương ứng sẽ báo lỗi.
Ba, Rủi ro lạm dụng tạo nội dung
Trong công việc hàng ngày, người dùng có thể gặp nhiều kết quả nội dung do mô hình lớn tạo ra. Nội dung này tuy hiệu quả nhưng lạm dụng tạo nội dung cũng mang lại thông tin giả, vấn đề bản quyền tri thức. Hiện nay cũng xuất hiện một số sản phẩm phát hiện nội dung văn bản có phải do mô hình lớn tạo hay không, có thể giảm bớt một số rủi ro tương ứng. Ngoài ra, nhà phát triển khi dùng tạo mã bằng mô hình lớn cũng cần chú ý đến tính đúng đắn và an toàn của mã được tạo, với mã nhạy cảm hoặc cần mã nguồn mở, nhất định phải kiểm tra và kiểm toán kỹ lưỡng.
Bốn, Quan tâm và học tập hàng ngày
Khi người dùng duyệt video ngắn, video dài và các bài viết hàng ngày, cần có ý thức phán đoán và nhận diện, ghi nhớ các nội dung có thể bị giả mạo hoặc tạo bởi AI, như giọng nam, nữ phổ biến, lỗi phát âm, video đổi mặt phổ biến,... Khi gặp tình huống quan trọng, có ý thức phán đoán và nhận diện các rủi ro này.
Câu hỏi 6: Từ góc độ chuyên môn, chia sẻ lời khuyên an toàn thiết bị vật lý
Đội an toàn OneKey: Dựa trên các rủi ro đã nêu, chúng tôi tóm tắt các biện pháp phòng thủ như sau.
1. Phòng tránh rủi ro xâm nhập thiết bị kết nối mạng
Trong cuộc sống hàng ngày, thiết bị kết nối mạng đã ở khắp nơi, nhưng cũng mang lại rủi ro xâm nhập tiềm ẩn. Để bảo vệ dữ liệu nguy hiểm cao (như khóa riêng tư, mật khẩu, mã sao lưu MFA), chúng ta nên dùng phương pháp mã hóa mạnh và cố gắng chọn phương thức lưu trữ cách ly mạng, tránh lưu trữ thông tin nhạy cảm trực tiếp dưới dạng văn bản rõ trên thiết bị. Ngoài ra, cần luôn giữ thái độ cảnh giác trước các cuộc tấn công lừa đảo và phần mềm gián điệp. Có thể cân nhắc dùng riêng thiết bị chuyên dụng cho thao tác tài sản mã hóa và các thiết bị dùng cho mục đích thông thường khác, để giảm rủi ro bị tấn công. Ví dụ, chúng ta có thể tách biệt máy tính xách tay dùng hàng ngày và ví phần cứng dùng để quản lý tài sản mã hóa, như vậy ngay cả khi một thiết bị bị tấn công, thiết bị kia vẫn giữ được an toàn.
2. Duy trì giám sát và bảo vệ vật lý
Để bảo vệ thêm an toàn cho các thiết bị rủi ro cao (như ví phần cứng), chúng ta cần áp dụng các biện pháp giám sát và bảo vệ vật lý nghiêm ngặt. Những thiết bị này trong nhà nên cất trong két sắt chống trộm đạt tiêu chuẩn cao, trang bị hệ thống an ninh thông minh tích hợp, bao gồm giám sát video và chức năng báo động tự động. Nếu cần đi du lịch, việc chọn khách sạn có cơ sở lưu trữ an toàn là rất quan trọng. Nhiều khách sạn hạng sang cung cấp dịch vụ lưu trữ an toàn chuyên dụng, có thể cung cấp thêm lớp bảo vệ cho thiết bị của chúng ta. Ngoài ra, chúng ta cũng có thể cân nhắc mang theo két sắt xách tay, đảm bảo bảo vệ thiết bị quan trọng trong mọi tình huống.
3. Giảm rủi ro phơi nhiễm và phòng tránh lỗi điểm đơn
Phân tán lưu trữ thiết bị và tài sản là một chiến lược then chốt để giảm rủi ro. Chúng ta không nên lưu trữ tất cả thiết bị quyền cao và tài sản mã hóa tại một nơi hay một ví, mà nên cân nhắc phân tán lưu trữ ở các địa điểm an toàn khác nhau. Ví dụ, chúng ta có thể lưu trữ một phần thiết bị và tài sản tại nhà, văn phòng và chỗ người thân tín cậy. Ngoài ra, dùng nhiều ví nóng và ví lạnh phần cứng cũng là một phương pháp hiệu quả, mỗi ví có thể lưu trữ một phần tài sản, giảm rủi ro lỗi điểm đơn. Để tăng an toàn, chúng ta còn có thể dùng ví đa ký, yêu cầu nhiều chữ ký ủy quyền mới thực hiện giao dịch, từ đó nâng cao đáng kể mức độ an toàn tài sản.
4. Chuẩn bị biện pháp ứng phó tình huống xấu nhất
Khi đối mặt với các mối đe dọa an toàn tiềm ẩn, việc lập kế hoạch ứng phó tình huống xấu nhất là rất quan trọng. Đối với người có tài sản lớn, giữ thái độ khiêm tốn là chiến lược hiệu quả để tránh trở thành mục tiêu. Chúng ta nên tránh khoe khoang tài sản mã hóa nơi công cộng, cố gắng giữ thông tin tài sản thấp thoáng. Ngoài ra, lập kế hoạch ứng phó khi thiết bị bị mất hoặc bị đánh cắp cũng là cần thiết. Chúng ta có thể thiết lập ví mã hóa mồi nhử, tạm thời ứng phó với cướp có thể xảy ra, đồng thời đảm bảo dữ liệu thiết bị quan trọng có thể bị khóa hoặc xóa từ xa (trong trường hợp có bản sao lưu
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News










