Hướng dẫn chống tin tặc tiền mã hóa: Nhiều biện pháp bảo vệ tài sản của bạn

2024.08.16

Chia sẻ đến

Tuyển chọn TechFlowTuyển chọn TechFlow

Hướng dẫn chống tin tặc tiền mã hóa: Nhiều biện pháp bảo vệ tài sản của bạn

Đừng trở thành người phải học về an toàn vì đã mất tất cả hoặc phần lớn tài sản của mình.

2024.08.16 - 07:06:10

Chuyên sâu báo cáo Web3

Đừng trở thành người phải học về an toàn vì đã mất tất cả hoặc phần lớn tài sản của mình.

Tác giả: INSIGHTFUL

Biên dịch: TechFlow

Thông báo miễn trừ trách nhiệm

Hướng dẫn này không đảm bảo bất kỳ điều gì và không được viết từ góc nhìn của "chuyên gia an ninh mã hóa hoặc mạng", mà là kết quả học hỏi liên tục dựa trên nhiều nguồn và kinh nghiệm cá nhân.

Ví dụ, chính tôi đã từng bị lừa trong giai đoạn đầu tham gia lĩnh vực này do FOMO (sợ bỏ lỡ) và lòng tham (bị lừa bởi các buổi phát trực tiếp giả mạo và robot MEV giả), vì vậy tôi đã dành thời gian để nghiêm túc học hỏi, thiết lập và hiểu về tính bảo mật.

Đừng trở thành người phải học về an ninh sau khi mất tất cả hoặc phần lớn tài sản của mình.

Tấn công hay lỗi người dùng?

Các vụ "tấn công" hoặc xâm phạm ví, token hoặc NFT thuộc mọi loại có thể được chia thành hai nhóm chính:

Lạm dụng quyền phê duyệt token đã cấp trước đó.
Rò rỉ khóa riêng hoặc cụm từ khôi phục (thường xảy ra với ví nóng).

Phê duyệt token

Phê duyệt token thực chất là cấp quyền cho hợp đồng thông minh truy cập và di chuyển một loại hoặc số lượng token nhất định trong ví của bạn.

Ví dụ:

Cấp quyền cho OpenSea để di chuyển NFT của bạn nhằm mục đích bán chúng.
Cấp quyền cho Uniswap sử dụng token của bạn để thực hiện giao dịch hoán đổi.

Theo bối cảnh, gần như mọi thứ trên mạng Ethereum, ngoại trừ ETH, đều là token ERC-20.

Một đặc điểm của token ERC-20 là khả năng cấp quyền phê duyệt cho các hợp đồng thông minh khác.

Những phê duyệt này là cần thiết ở một mức độ nào đó nếu bạn muốn thực hiện các tương tác DeFi cốt lõi (như hoán đổi hoặc cầu nối token).

NFT lần lượt là token ERC-721 và ERC-1155; cơ chế phê duyệt của chúng tương tự như ERC-20 nhưng áp dụng cho thị trường NFT.

Khi MetaMask (MM) đưa ra lời nhắc phê duyệt token ban đầu, nó cung cấp vài thông tin, trong đó quan trọng nhất gồm:

Token mà bạn đang cấp quyền phê duyệt
Trang web mà bạn đang tương tác
Hợp đồng thông minh mà bạn đang tương tác
Khả năng chỉnh sửa số lượng quyền token

Trong trình đơn thả xuống "Chi tiết đầy đủ", ta thấy thêm một thông tin: chức năng phê duyệt.

Tất cả các token ERC-20 phải có một số đặc tính và thuộc tính nhất định theo tiêu chuẩn ERC-20.

Một trong những đặc điểm đó là khả năng hợp đồng thông minh di chuyển token dựa trên số lượng được phê duyệt.

Nguy hiểm ở chỗ, nếu bạn cấp quyền token cho một hợp đồng thông minh độc hại, tài sản của bạn có thể bị đánh cắp hoặc rút sạch.

Phê duyệt không giới hạn so với giới hạn tùy chỉnh (token ERC-20)

Nhiều ứng dụng DeFi mặc định sẽ yêu cầu bạn phê duyệt không giới hạn đối với token ERC-20.

Việc này nhằm cải thiện trải nghiệm người dùng vì tiện lợi hơn, không cần thêm phê duyệt trong tương lai, giúp tiết kiệm thời gian và phí gas.

Tại sao điều này quan trọng?

Việc cho phép phê duyệt với số lượng token vô hạn có thể khiến tiền của bạn gặp rủi ro.

Việc thủ công đặt giới hạn phê duyệt token cho phép bạn giới hạn số lượng tối đa token mà dApp đó có thể di chuyển, trước khi bạn ký một phê duyệt mới với hạn mức cao hơn.

Điều này làm giảm rủi ro của bạn nếu hợp đồng thông minh bị khai thác. Nếu bạn cấp quyền phê duyệt không giới hạn cho một dApp nào đó mà dApp đó bị lỗi, bạn có thể mất toàn bộ token đã được phê duyệt từ ví đang nắm giữ tài sản và đã cấp quyền này.

Ví dụ, Multichain WETH (WETH là token ERC-20 đóng gói của ETH) từng gặp phải lỗ hổng kiểu này.

Cầu nối phổ biến này đã bị tấn công do việc lạm dụng quyền phê duyệt token không giới hạn trước đó, dẫn đến việc tiền của người dùng bị đánh cắp.

Dưới đây là một ví dụ (sử dụng ví Zerion) cho thấy cách thay đổi phê duyệt mặc định không giới hạn thành phê duyệt thủ công.

Phê duyệt NFT

"setApprovalForAll" được dùng cho NFT

Đây là một quyền phê duyệt thường dùng nhưng tiềm ẩn nguy cơ, thường được cấp cho các sàn NFT đáng tin cậy khi bạn muốn bán NFT.

Việc này cho phép hợp đồng thông minh của sàn di chuyển NFT của bạn. Do đó, khi bạn bán NFT cho người mua, hợp đồng thông minh của sàn có thể tự động chuyển NFT sang người mua.

Quyền phê duyệt này cấp quyền truy cập vào tất cả các token NFT thuộc một bộ sưu tập hoặc địa chỉ hợp đồng cụ thể.

Điều này cũng có thể bị website hoặc hợp đồng độc hại sử dụng để đánh cắp NFT của bạn.

Ví dụ về hành vi xấu lạm dụng "setApprovalForAll"

Mô hình "co rúp tài khoản ví" cổ điển trong các đợt free mint gây FOMO như sau:

Người dùng truy cập một trang web độc hại mà họ tưởng là hợp pháp.

Khi họ kết nối ví tới trang web, trang web chỉ có thể xem nội dung ví.
Tuy nhiên, trang web độc hại sẽ quét NFT có giá trị cao nhất trong ví và yêu cầu người dùng thực hiện "phê duyệt tất cả" từ MetaMask (MM) tới địa chỉ hợp đồng của NFT đó.
Người dùng tưởng rằng họ đang mint NFT, nhưng thực tế lại đang cấp quyền cho hợp đồng độc hại di chuyển các token đó.
Sau đó, kẻ lừa đảo đánh cắp token và thanh lý chúng vào các lệnh đặt giá trên OpenSea hoặc Blur trước khi vật phẩm bị đánh dấu là bị đánh cắp.

Chữ ký và phê duyệt

Phê duyệt yêu cầu trả phí gas vì chúng liên quan đến xử lý giao dịch.

Chữ ký thì không tốn gas, thường được dùng để đăng nhập vào dApp nhằm chứng minh quyền kiểm soát ví.

Chữ ký thường là thao tác ít rủi ro, nhưng vẫn có thể bị lợi dụng để khai thác các quyền phê duyệt đã cấp trước đó cho các trang đáng tin cậy như OpenSea.

Đối với token ERC-20, bạn còn có thể sửa đổi quyền phê duyệt bằng chữ ký không tốn gas, nhờ vào tính năng recency vừa được giới thiệu trên Ethereum.

Bạn có thể thấy điều này nếu sử dụng các sàn giao dịch phi tập trung (DEX) như 1inch.

Các điểm chính về phê duyệt token

Hãy thận trọng khi cấp bất kỳ quyền phê duyệt nào, đảm bảo rằng bạn biết rõ mình đang phê duyệt token nào và cho hợp đồng thông minh nào (có thể kiểm tra bằng etherscan).

Giảm thiểu rủi ro phê duyệt:

Sử dụng nhiều ví (phê duyệt là riêng biệt theo từng ví) — đừng ký phê duyệt trên ví kho bạc hoặc ví có giá trị cao.
Lý tưởng nhất là giảm hoặc hoàn toàn tránh việc cấp quyền phê duyệt không giới hạn cho token ERC-20.
Thường xuyên kiểm tra và thu hồi các quyền phê duyệt qua etherscan hoặc revoke.cash.

Ví phần cứng / ví lạnh

Ví nóng được kết nối internet thông qua máy tính hoặc điện thoại, khóa và thông tin xác thực ví được lưu trữ online hoặc cục bộ trong trình duyệt của bạn.

Ví lạnh là thiết bị phần cứng, khóa được tạo và lưu trữ hoàn toàn ngoại tuyến, và về mặt vật lý nằm gần bạn.

Xét rằng giá một chiếc Ledger khoảng 120 USD, nếu bạn sở hữu hơn 1000 USD tài sản mã hóa, bạn nên mua và thiết lập một chiếc Ledger. Bạn có thể kết nối ví Ledger với MetaMask (MM) để tận hưởng cùng chức năng như ví nóng nhưng vẫn giữ được mức độ an toàn nhất định.

Ledger và Trezor là hai lựa chọn phổ biến nhất. Tôi thích Ledger vì nó tương thích tốt nhất với các ví trình duyệt (như Rabby và MM).

Thực hành tốt nhất khi mua Ledger

Luôn luôn mua từ trang web chính thức của nhà sản xuất, tuyệt đối không mua trên Ebay hay Amazon — có thể bị can thiệp hoặc cài sẵn phần mềm độc hại.

Đảm bảo bao bì sản phẩm bạn nhận được vẫn còn niêm phong.

Khi thiết lập Ledger lần đầu tiên, thiết bị sẽ tạo một cụm từ khôi phục.

Chỉ nên ghi cụm từ khôi phục lên giấy vật lý, hoặc trong tương lai ghi lên tấm thép để đảm bảo cụm từ khôi phục chống cháy, chống nước.

Hoàn toàn không chụp ảnh hoặc nhập cụm từ khôi phục trên bất kỳ bàn phím nào (kể cả điện thoại) — việc này sẽ số hóa cụm từ khôi phục, và ví lạnh của bạn sẽ trở thành ví nóng không an toàn.

Tài sản mã hóa không được lưu trữ trên ví phần cứng, mà "nằm trong" ví được tạo ra bởi cụm từ khôi phục.

Cụm từ khôi phục (12-24 từ) làtất cả mọi thứ, phải được bảo vệ và giữ an toàn bằng mọi giá.

Nó cung cấpquyền kiểm soát và truy cập hoàn toàn vào tất cả các ví được tạo dưới cụm từ khôi phục đó.

Cụm từ khôi phụckhông phụ thuộc vào thiết bị, bạn có thể "nhập khẩu" nó vào một ví phần cứng khác như bản sao lưu (nếu cần).

Nếu cụm từ khôi phụcbị mất hoặc hư hại, và ví phần cứng gốc cũng bị mất, hư hỏng hoặc bị khóa, bạn sẽmất vĩnh viễn quyền truy cập vào tất cả tài sản.

Có nhiều phương pháp lưu trữ cụm từ khôi phục, ví dụ như chia cụm từ thành nhiều phần, tăng khoảng cách vật lý giữa các phần, cất ở nơi không dễ phát hiện (ví dụ, bên dưới hộp súp trong tủ lạnh, một nơi nào đó dưới đất trên tài sản của bạn, v.v.).

Ít nhất bạn nên có 2-3 bản sao, trong đó một bản nên làm bằng thép để chống nước và lửa.

"Khóa riêng tư" tương tự như cụm từ khôi phục, nhưng chỉ dành cho một ví cụ thể. Nó thường được dùng để nhập khẩu ví nóng vào tài khoản MetaMask (MM) mới hoặc sử dụng trong các công cụ tự động (như bot giao dịch).

Từ thứ 25 - Ledger

Ngoài cụm từ khôi phục 24 từ gốc, Ledger còn cung cấp một tính năng bảo mật bổ sung tùy chọn.

Cụm từ mật khẩu là một tính năng nâng cao, cho phép bạn thêm một từ thứ 25 tùy chọn dài tối đa 100 ký tự vào cụm khôi phục.

Việc sử dụng cụm từ mật khẩu sẽ tạo ra một tập hợp địa chỉ hoàn toàn khác, không thể truy cập chỉ bằng cụm khôi phục 24 từ.

Ngoài việc tăng thêm lớp bảo mật,cụm từ mật khẩu còn cung cấp khả năng phủ nhận hợp lý khi bạn bị đe dọa.

Nếu sử dụng cụm từ mật khẩu, hãy lưu trữ an toàn hoặc nhớ chính xác nó, từng ký tự một và phân biệt chữ hoa/thường.

Đây là biện pháp phòng thủ duy nhất và cuối cùng trước các tình huống đe dọa thể chất kiểu "tấn công $5 bằng cờ lê".

Tại sao phải chịu nhiều phiền phức để thiết lậpví phần cứng?

Ví nóng lưu trữ khóa riêng tại vị trí kết nối internet.

Việc bị lừa, đánh lừa hoặc ép buộc để tiết lộ các thông tin xác thực này qua internet là cực kỳ đơn giản.

Có ví lạnh nghĩa là kẻ lừa đảo cần phải tìm và lấy được Ledger hoặc cụm từ khôi phục của bạn về mặt vật lý mới có thể truy cập ví và tài sản bên trong.

Một khi cụm từ khôi phục bị rò rỉ, tất cả các ví nóng và tài sản bên trong sẽ gặp rủi ro, kể cả những ví chưa từng tương tác với trang web hoặc hợp đồng độc hại.

Các cách phổ biến mà người dùng từng bị "tấn công"

Các cách phổ biến mà người dùng từng bị "tấn công" qua ví nóng (rò rỉ cụm từ khôi phục) bao gồm:
Bị lừa tải phần mềm độc hại, ví dụ như qua file PDF việc làm, trò chơi bản beta, chạy macro qua Google Sheets, hoặc các trang web/dịch vụ giả mạo.
Tương tác với hợp đồng độc hại: FOMO mint trên các trang web giả mạo, hoặc tương tác với hợp đồng airdrop hoặc NFT lạ.
Nhập hoặc gửi khóa và cụm từ khôi phục cho "bộ phận hỗ trợ khách hàng" hoặc các chương trình/biểu mẫu liên quan.

Chào mừng tham gia cộng đồng chính thức TechFlow

Nhóm Telegram:https://t.me/TechFlowDaily

Tài khoản Twitter chính thức:https://x.com/TechFlowPost

Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News

Liên kết gốc

Thêm vào mục ưa thích

Chia sẻ lên mạng xã hội

Tác giả

Insightful