
Hướng dẫn nhập môn an toàn Web3: Tránh rủi ro ví bị đa ký độc hại
Tuyển chọn TechFlowTuyển chọn TechFlow

Hướng dẫn nhập môn an toàn Web3: Tránh rủi ro ví bị đa ký độc hại
Trong kỳ này, chúng tôi sẽ lấy ví dụ về ví TRON để giải thích các kiến thức liên quan đến tấn công lừa đảo đa chữ ký.
Tác giả: Đội an ninh Manwu
Bối cảnh
Trong bài trước về Hướng dẫn an toàn Web3 cho người mới bắt đầu, chúng tôi đã trình bày các rủi ro khi tải xuống/mua ví, cách tìm trang web chính thức và xác minh tính xác thực của ví, cũng như nguy cơ rò rỉ khóa riêng/thụât ngữ khôi phục. Chúng ta thường nói rằng "Not your keys, not your coins", tuy nhiên vẫn có trường hợp dù bạn sở hữu khóa riêng/thuật ngữ khôi phục nhưng vẫn không thể kiểm soát tài sản của mình, đó là khi ví bị cài đặt đa ký (multi-signature) độc hại. Dựa trên biểu mẫu bị đánh cắp do MistTrack thu thập được, một số người dùng sau khi ví bị cài đa ký trái phép đã không hiểu vì sao trong tài khoản ví của họ vẫn còn số dư nhưng lại không thể chuyển tiền ra ngoài. Do đó, kỳ này chúng tôi sẽ lấy ví dụ từ ví TRON để giải thích kiến thức liên quan đến lừa đảo đa ký, bao gồm cơ chế đa ký, các thao tác thông thường của tin tặc và cách phòng tránh việc ví bị cài đa ký trái phép.

Cơ chế đa ký
Trước tiên, hãy cùng tìm hiểu đơn giản thế nào là đa ký. Cơ chế đa ký ban đầu được thiết kế nhằm tăng cường độ an toàn cho ví, cho phép nhiều người dùng cùng quản lý và kiểm soát quyền truy cập và sử dụng chung một ví tài sản kỹ thuật số. Ngay cả khi một vài quản trị viên làm mất hoặc tiết lộ khóa riêng/thuật ngữ khôi phục thì tài sản trong ví cũng chưa chắc đã bị tổn hại.
Hệ thống phân quyền đa ký của TRON được thiết kế với ba loại quyền khác nhau: Owner (Quyền sở hữu), Witness (Chứng nhân) và Active (Hoạt động), mỗi loại quyền đều có chức năng và mục đích riêng biệt.
Quyền Owner:
-
Có quyền cao nhất để thực hiện mọi hợp đồng và thao tác;
-
Chỉ những ai nắm giữ quyền này mới có thể sửa đổi các quyền khác, bao gồm việc thêm hoặc xóa các bên ký tên;
-
Sau khi tạo tài khoản mới, mặc định tài khoản đó sẽ tự sở hữu quyền này.
Quyền Witness:
Quyền này chủ yếu liên quan đến Siêu đại diện (Super Representatives). Những tài khoản sở hữu quyền này có thể tham gia bầu cử và bỏ phiếu cho Siêu đại diện, đồng thời quản lý các hoạt động liên quan đến vai trò này.
Quyền Active:
Dùng cho các thao tác hàng ngày, chẳng hạn như chuyển tiền hay gọi hợp đồng thông minh. Quyền này có thể được thiết lập và chỉnh sửa bởi quyền Owner, thường được gán cho các tài khoản cần thực hiện nhiệm vụ cụ thể. Đây là tập hợp của một số thao tác được ủy quyền (ví dụ như chuyển TRX, đặt cược tài sản).
Như đã đề cập ở trên, khi tạo tài khoản mới, địa chỉ tài khoản sẽ mặc định sở hữu quyền Owner (quyền cao nhất), có thể điều chỉnh cấu trúc quyền của tài khoản, lựa chọn cấp quyền cho những địa chỉ nào, quy định mức trọng số của từng địa chỉ được cấp quyền và thiết lập ngưỡng yêu cầu. Ngưỡng ở đây nghĩa là tổng trọng số từ các bên ký tên phải đạt đến một giá trị nhất định thì thao tác mới được thực hiện. Trong hình dưới đây, ngưỡng được đặt là 2, ba địa chỉ được cấp quyền đều có trọng số bằng 1, do đó khi thực hiện một thao tác cụ thể, chỉ cần hai bên ký tên xác nhận thì thao tác đó sẽ có hiệu lực.

(https://support.tronscan.org/hc/article_attachments/29939335264665)
Quá trình cài đặt đa ký độc hại
Sau khi tin tặc chiếm được khóa riêng/thuật ngữ khôi phục của người dùng, nếu người dùng chưa áp dụng cơ chế đa ký (tức là ví chỉ do một mình người dùng kiểm soát), tin tặc có thể cấp quyền Owner/Active cho địa chỉ của chính họ hoặc chuyển quyền Owner/Active của người dùng sang cho mình. Hai hành vi này thường được gọi chung là "đa ký độc hại". Tuy nhiên, đây là một cách gọi mang tính tổng quát. Thực tế, có thể phân biệt dựa theo việc người dùng còn giữ quyền Owner/Active hay không:
Sử dụng cơ chế đa ký
Trong hình dưới đây, quyền Owner/Active của người dùng chưa bị xóa bỏ. Tin tặc đã cấp quyền Owner/Active cho địa chỉ của mình. Lúc này, tài khoản do người dùng và tin tặc cùng kiểm soát (ngưỡng = 2), trọng số của cả địa chỉ người dùng và tin tặc đều là 1. Mặc dù người dùng vẫn nắm giữ khóa riêng/thuật ngữ khôi phục và có quyền Owner/Active, họ không thể chuyển tài sản đi vì khi khởi tạo lệnh rút tiền, cần cả chữ ký từ địa chỉ người dùng lẫn địa chỉ tin tặc thì thao tác mới được thực hiện.

Mặc dù việc rút tài sản từ tài khoản bị cài đa ký đòi hỏi sự xác nhận từ nhiều bên ký tên, nhưng việc nạp tiền vào ví thì hoàn toàn không cần. Nếu người dùng không có thói quen kiểm tra định kỳ quyền hạn tài khoản hoặc gần đây không thực hiện thao tác rút tiền, họ thường sẽ không phát hiện ra quyền hạn đã bị thay đổi và tiếp tục chịu tổn thất. Nếu lượng tài sản trong ví không nhiều, tin tặc có thể chơi trò "câu lâu", chờ đến khi tài khoản tích lũy đủ tài sản kỹ thuật số rồi mới rút sạch toàn bộ.
Sử dụng cơ chế thiết kế quản lý quyền của TRON
Trường hợp khác là tin tặc tận dụng cơ chế quản lý quyền của TRON để trực tiếp chuyển quyền Owner/Active của người dùng sang địa chỉ của mình (ngưỡng vẫn là 1), khiến người dùng mất hoàn toàn quyền Owner/Active, thậm chí không còn cả "quyền biểu quyết". Cần lưu ý rằng trong trường hợp này, tin tặc không dùng cơ chế đa ký để ngăn người dùng rút tài sản, nhưng người ta vẫn quen gọi đây là ví bị "đa ký độc hại".

Hai tình huống trên đều dẫn đến kết quả giống nhau: Dù người dùng còn giữ quyền Owner/Active hay không, họ đều mất quyền kiểm soát thực tế đối với tài khoản. Địa chỉ tin tặc giành được quyền cao nhất, có thể thay đổi quyền hạn tài khoản, chuyển tài sản, v.v.
Các con đường dẫn đến việc bị cài đa ký độc hại
Dựa trên biểu mẫu bị đánh cắp mà MistTrack thu thập được, chúng tôi đã tổng hợp một số nguyên nhân phổ biến khiến ví bị cài đa ký trái phép. Khi gặp các tình huống dưới đây, người dùng nên nâng cao cảnh giác:
1. Khi tải ví, không tìm đúng nguồn, bấm vào các liên kết giả mạo được gửi qua Telegram, Twitter hoặc từ người lạ, dẫn đến tải phải ví giả, gây rò rỉ khóa riêng/thuật ngữ khôi phục, ví bị cài đa ký độc hại.

2. Người dùng nhập khóa riêng/thuật ngữ khôi phục vào các trang web giả mạo bán thẻ nạp tiền, thẻ quà tặng hoặc dịch vụ VPN, dẫn đến mất quyền kiểm soát tài khoản ví.

3. Trong giao dịch OTC, bị kẻ xấu chụp được khóa riêng/thuật ngữ khôi phục hoặc bị lấy quyền truy cập tài khoản bằng thủ đoạn nào đó, sau đó ví bị cài đa ký độc hại và tài sản bị tổn thất.

4. Một số kẻ lừa đảo cung cấp khóa riêng/thuật ngữ khôi phục cho bạn, nói rằng họ không thể rút tài sản từ ví, nếu bạn giúp thì sẽ được trả thù lao. Dù ví thật sự có tiền, nhưng dù bạn trả phí giao dịch bao nhiêu hay thao tác nhanh đến đâu cũng không thể rút được, vì quyền rút tiền đã bị kẻ lừa đảo cấu hình cho một địa chỉ khác.

5. Một trường hợp ít gặp hơn là người dùng bấm vào liên kết giả mạo trên TRON, ký vào dữ liệu độc hại, sau đó ví bị cài đa ký độc hại.

Tổng kết
Trong hướng dẫn kỳ này, chúng tôi đã lấy ví dụ từ ví TRON để giải thích về cơ chế đa ký, quá trình và chiêu thức mà tin tặc thực hiện việc cài đa ký độc hại, hy vọng giúp người dùng hiểu rõ hơn về cơ chế này và nâng cao khả năng phòng tránh. Tất nhiên, ngoài các trường hợp bị cài đa ký độc hại, cũng có một vài trường hợp đặc biệt: một số người dùng mới có thể do thao tác sai hoặc thiếu hiểu biết, vô tình thiết lập ví thành dạng đa ký, dẫn đến việc chuyển tiền cần nhiều chữ ký mới thực hiện được. Trong trường hợp này, người dùng chỉ cần đáp ứng yêu cầu đa ký hoặc vào phần quản lý quyền, cấp quyền Owner/Active cho duy nhất một địa chỉ để khôi phục về chế độ đơn ký.

Cuối cùng, đội an ninh Manwu khuyến nghị người dùng nên kiểm tra định kỳ quyền hạn tài khoản để phát hiện bất thường; tải ví từ các kênh chính thức — chúng tôi đã từng hướng dẫn cách tìm trang web chính xác và xác minh tính xác thực của ví trong bài viết Hướng dẫn an toàn Web3 cho người mới bắt đầu | Rủi ro ví giả và rò rỉ khóa riêng/thuật ngữ khôi phục; không bấm vào các liên kết lạ, càng không được tùy tiện nhập khóa riêng/thuật ngữ khôi phục; cài đặt phần mềm diệt virus (như Kaspersky, AVG...) và tiện ích chặn lừa đảo (ví dụ Scam Sniffer) để tăng cường bảo mật thiết bị.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














