Đối thoại chuyên sâu: Giao dịch trên chuỗi làm thế nào phòng tránh rủi ro an toàn? Các chiều kích đánh giá niêm yết của sàn giao dịch và nhận diện rủi ro dự án
Tuyển chọn TechFlowTuyển chọn TechFlow
Đối thoại chuyên sâu: Giao dịch trên chuỗi làm thế nào phòng tránh rủi ro an toàn? Các chiều kích đánh giá niêm yết của sàn giao dịch và nhận diện rủi ro dự án
Cuộc trò chuyện lần này cùng nhau thảo luận về đánh giá rủi ro niêm yết của sàn giao dịch, các vấn đề an toàn trên chuỗi và cách nhà đầu tư bảo vệ tài sản của mình.
Chuyên sâu báo cáo Web3Chúng tôi đã mời nhà nghiên cứu Tommy từ Bitget và trưởng bộ phận vận hành của đội an toàn SlowMist, Lisa, cùng thảo luận về đánh giá rủi ro khi niêm yết token trên sàn giao dịch, các vấn đề an ninh chuỗi khối, cũng như cách nhà đầu tư bảo vệ tài sản của mình. Hai vị khách mời đã chia sẻ kinh nghiệm trong việc đánh giá dự án mới, giám sát token đã niêm yết và xử lý các vụ tấn công hacker, đồng thời trao đổi về những mối nguy hiểm an ninh mà nhà đầu tư và tổ chức cần lưu ý trong thị trường tiền mã hóa hiện nay, cũng như cách sử dụng các công cụ mới để nâng cao mức độ an toàn.
Giới thiệu mở đầu
Tommy:
Xin chào mọi người, tôi là nhà nghiên cứu tại sàn giao dịch tiền mã hóa Bitget với hơn hai năm rưỡi kinh nghiệm. Từ ban đầu chỉ có khoảng 200-300 nhân sự, tập trung vào hợp đồng và sao chép giao dịch (copy trading), đến nay Bitget đã phát triển thành một nền tảng giao dịch tiền mã hóa đa dạng, chiếm gần 27% thị phần sản phẩm hợp đồng, lượt truy cập hàng tháng vượt quá 30 triệu lần, sở hữu hơn 25 triệu người dùng đăng ký tại hơn 100 quốc gia và khu vực trên toàn thế giới.
Trong hơn hai năm làm việc, ngoài việc tổ chức các buổi chia sẻ cho khách hàng VIP, tôi hầu như không từng tạo PPT nào. Đội ngũ luôn coi trọng hiệu quả và kết quả đầu ra hơn là hình thức trình bày hay báo cáo rườm rà. Các thành viên trong viện nghiên cứu đa kỹ năng, bao gồm cả chuyên gia hàng đầu về thiết kế và triển khai sản phẩm DeFi, lẫn những người có nhiều kinh nghiệm sâu rộng trong phân tích dữ liệu trên chuỗi.
Lisa:
Xin chào, tôi là Lisa, trưởng bộ phận vận hành của SlowMist. SlowMist là một công ty an ninh blockchain hàng đầu trong ngành, sở hữu kinh nghiệm phong phú cả trên chuỗi lẫn ngoài chuỗi, đồng thời tích lũy nhiều năm trong lĩnh vực tình báo đe dọa. SlowMist chủ yếu cung cấp giải pháp an ninh toàn diện "từ phát hiện đe dọa đến phòng thủ đe dọa", tùy chỉnh theo từng hoàn cảnh cụ thể, bao gồm hai dịch vụ chính: kiểm toán an toàn và truy vết chống rửa tiền. Tên gọi SlowMist được lấy cảm hứng từ tiểu thuyết "Tam Thể", trong đó “khu vực sương mù chậm” là vùng an toàn, tượng trưng cho SlowMist như một nơi an toàn giữa "rừng tối" đầy rẫy nguy hiểm của blockchain. Chúng tôi cũng xây dựng cộng đồng mũ trắng mang tên “Khu Vực SlowMist”, hiện đã thu hút hơn 300.000 người tham gia.
Đánh giá rủi ro trước khi niêm yết như thế nào? Chiến lược đánh giá đối với dự án mới nổi và dự án nổi tiếng có khác nhau không?
Tommy:
Tại Bitget, việc đánh giá rủi ro do viện nghiên cứu dẫn dắt, với sự hỗ trợ từ đội kiểm toán và kiểm soát rủi ro. Trước tiên, chúng tôi sẽ xem xét toàn diện lĩnh vực hoạt động, tiểu sử nhóm phát triển và nhà đầu tư của dự án. Nếu dự án chạm vào các đường ranh đỏ về rủi ro của Bitget, ví dụ như liên quan đến cờ bạc, khiêu dâm, ma túy hoặc yếu tố chính trị nhạy cảm, chúng tôi sẽ từ chối thẳng thừng. Ngoài ra, các dự án bị SEC kiện tụng hoặc có tiếng xấu cũng sẽ bị từ chối. Ví dụ như Pulsechain (PLS), dù rất nóng trước TGE nhưng do tranh chấp với SEC và phản ứng tiêu cực, chúng tôi tạm thời từ chối hợp tác.
Thứ hai, chúng tôi đánh giá mô hình kinh tế học của token, FDV và vốn hóa lưu thông ban đầu khi lên sàn. Nếu các con số này quá cao, chúng tôi có thể từ chối hoặc yêu cầu điều chỉnh. Dự án vốn hóa cao nhưng tiềm năng thấp thường khiến nhà đầu tư nhỏ lẻ trở thành người chịu tổn thất. Gần đây chúng tôi nhận thấy nhiều VC Coin được gọi vốn tốt nhưng sau khi lên sàn giá giảm 90%, những token kiểu này trong tương lai sẽ được chúng tôi tránh xa. Dù sao đi nữa, xu hướng tương lai của dự án hay token khó có thể dự đoán chính xác, chúng tôi chỉ có thể giảm thiểu tổn thất cho trader bằng phương pháp luận của mình.
Với các dự án không phải lần đầu lên sàn, đặc biệt là các Memecoin gần đây, chúng tôi đặc biệt chú ý đến rủi ro hợp đồng, mức độ tập trung chip, tình trạng khóa pool LP. Với các dự án mới nổi, chúng tôi thận trọng hơn nhưng vẫn sẵn sàng chấp nhận đổi mới. Ví dụ UNIBOT là dự án đầu tiên Bitget niêm yết, ban đầu UNIBOT vì thiết kế riêng nên giữ lại quyền hạn hợp đồng như "thuế giao dịch có thể thay đổi", "cơ chế danh sách đen/trắng", tồn tại điểm yếu nhất định. Nhưng đội nghiên cứu sau khi phân tích mô hình sinh lời của Unibot cho rằng dự án có khả năng phát triển bền vững và không có lý do để rút rug, cuối cùng kiên quyết niêm yết, mang lại lợi nhuận đáng kể cho trader. Một ví dụ khác là ORDI, chúng tôi nhận định sáng kiến BRC-20 có thể tái kích hoạt hệ sinh thái Bitcoin và được cộng đồng thợ đào ủng hộ.
Cách đánh giá VC Coin và Community Coin? Quan điểm về sự khác biệt giữa hai loại này?
Tommy:
Xét về định hướng kinh doanh, mục tiêu cốt lõi của Bitget là dưới điều kiện kiểm soát rủi ro, cố gắng cung cấp càng nhiều lựa chọn tài sản và cơ hội đầu tư cho người dùng. Một số VC Coin khi TGE rất ồn ào, nhưng khi đánh giá thì thấy khái niệm hoặc thiết kế kinh tế học token không đủ để duy trì FDV; tuy nhiên, nếu không niêm yết có thể gây nghi ngờ từ phía người dùng, đặc biệt khi nhà đầu tư nhỏ lẻ và khách hàng lớn đều cho rằng chúng tôi nên cung cấp lựa chọn này. Việc người dùng có mua hay không là quyết định của họ, còn chúng tôi cần cung cấp cơ hội đó. Với các token vốn hóa lớn, chúng tôi thường ra mắt sản phẩm hợp đồng vào ngày niêm yết hoặc hôm sau, để trader có thể long hoặc short.
Bên trong nội bộ, với các dự án cấp bậc "vua" có lưu lượng truy cập lớn và tiềm năng tăng giá khổng lồ, chúng tôi dành mức độ S. Nếu dự án có lưu lượng lớn, nhà đầu tư mạnh nhưng sản phẩm chưa chắc chắn hoặc cộng đồng bình thường, chúng tôi hạ xuống mức A. Mặc dù dự án hạng A sẽ không được quảng bá mạnh như hạng S, nhưng từ góc độ sàn giao dịch, những dự án này vẫn đáng để niêm yết.
Sau khi niêm yết, làm thế nào để theo dõi liên tục hiệu suất và rủi ro của dự án?
Lisa:
So với kiểm toán toàn bộ blockchain hoặc kiểm toán hợp đồng thông minh, khi hỗ trợ sàn giao dịch đánh giá niêm yết, SlowMist chú trọng hơn vào mối đe dọa an ninh tài sản. Xem xét kỹ thuật là yếu tố then chốt. Ví dụ, chúng tôi kiểm tra tính an toàn mã nguồn, đảm bảo nó đang được duy trì và cập nhật thường xuyên. Chúng tôi chú ý đến độ an toàn của số ngẫu nhiên dùng cho khóa riêng, đảm bảo sử dụng nguồn số ngẫu nhiên đáng tin cậy, đồng thời kiểm tra tính an toàn mật mã, xác nhận thuật toán sử dụng đã qua đánh giá ngành và các thành phần mật mã trưởng thành, đáng tin cậy. Chúng tôi cũng rất coi trọng rủi ro mô hình kinh tế, như mô hình đa cấp tiềm ẩn hoặc vòng xoáy tử vong. Tất nhiên, rủi ro nhóm phát triển cũng rất quan trọng, đặc biệt là có tồn tại quyền đặc biệt hay token tập trung quá mức hay không, điều này có thể dẫn đến nguy cơ rút sạch hoặc dump.
Sàn giao dịch thường là mục tiêu tấn công của hacker, họ thường đặt máy chủ phía sau hệ thống phòng thủ, dịch vụ quản lý vốn cốt lõi thậm chí cần lưu trữ ngoại tuyến. Tuy nhiên, do yêu cầu nghiêm ngặt của hệ thống blockchain về tính toàn vẹn dữ liệu, một số giao dịch độc hại có thể vượt qua lớp bảo vệ an ninh bên ngoài, dẫn đến vấn đề nạp tiền giả. Thủ đoạn tấn công nạp tiền giả phổ biến bao gồm tiền giả, đặc biệt khi logic xác định chuyển khoản giao dịch của sàn với một số loại coin còn tồn tại lỗ hổng. Kẻ tấn công có thể tạo giao dịch nạp tiền giả khiến sàn hiểu nhầm là nạp hợp lệ, từ đó ghi có cho người dùng. Ngoài ra, việc sử dụng chức năng RBF trong giao thức Bitcoin để nạp tiền giả cũng là phương pháp phổ biến: kẻ tấn công thay thế giao dịch trước bằng cách trả phí cao hơn, khiến sàn sai lệch và gây tổn thất tài sản.
Cần nói rõ rằng, tấn công nạp tiền giả không phải lỗi của blockchain, mà là kẻ tấn công lợi dụng một số đặc điểm của blockchain để tạo ra giao dịch độc hại đặc biệt. Để phòng chống tấn công nạp tiền giả, có thể áp dụng kiểm duyệt thủ công, đặc biệt với các giao dịch lớn hoặc rủi ro cao. Ngoài ra, việc thực hiện xác thực an ninh và kiểm tra định kỳ đối với API bên ngoài cũng giúp tránh hiệu quả việc truy cập trái phép và lỗ hổng tiềm ẩn.
Tommy:
Sau khi dự án lên sàn, nếu xuất hiện rủi ro, phản ứng thị trường sẽ nhanh chóng hơn, nội bộ Bitget sẽ lập tức thảo luận về việc có nên gỡ niêm yết khẩn cấp hay không và thực hiện biện pháp bảo vệ người dùng. Chúng tôi cũng luôn theo dõi hiệu suất tất cả token đã niêm yết, gần đây bắt đầu tăng cường quản lý khía cạnh này, trong tương lai có thể xuất hiện thêm nhiều token ST (xử lý đặc biệt).
Nếu các token ST này không cải thiện cơ bản hoặc thanh khoản trong thời hạn quy định, chúng tôi sẽ cân nhắc gỡ niêm yết. Nhiều dự án sau khi lên sàn biểu hiện kém, đội phát triển có thể "bỏ bê", không tiếp tục thúc đẩy dự án, dẫn đến suy giảm độ sâu thị trường, người mới gặp trượt giá lớn khi mua bán, ảnh hưởng nghiêm trọng trải nghiệm người dùng. Chúng tôi đang tích cực giải quyết vấn đề này.
Trong việc phòng chống rủi ro token, chúng tôi hoàn thành phần lớn công việc trước khi niêm yết. Trong làn sóng Meme coin đầu tiên, Bitget đã từ chối nhiều Meme coin rủi ro cao, ví dụ như phương thức phân phối không hợp lý, đội phát triển nắm giữ quá nhiều chip token, dữ liệu địa chỉ holding trên chuỗi bị làm giả. Ngay cả khi đội phát triển đề nghị trả phí niêm yết, chúng tôi vẫn từ chối lên sàn.
SlowMist đã xử lý những sự cố an ninh trên chuỗi điển hình nào?
Lisa:
Kể từ khi thành lập, SlowMist đã xử lý rất nhiều sự cố an ninh trên chuỗi. Tôi xin chia sẻ hai dạng ví dụ: một là sự cố dự án bị tấn công, hai là trường hợp cá nhân người dùng bị mất cắp.
Đầu tiên là sự kiện Poly Network năm 2021, một trong những vụ tấn công thiệt hại lớn nhất lúc bấy giờ, liên quan đến số tiền lên tới 610 triệu USD. Sau khi xảy ra sự cố, khoảng 20h tối cùng ngày, Poly Network công bố thông tin bị tấn công; khoảng 21h, công ty Tether kịp thời đóng băng một phần USDT tại địa chỉ hacker. Khoảng 23h đêm, chúng tôi phát hiện một phần thông tin danh tính và địa chỉ IP của hacker, bắt đầu truy dấu dòng tiền. Chiều hôm sau, hacker bắt đầu hoàn trả tiền. Sự kiện này là cột mốc quan trọng với SlowMist. Qua đó, chúng tôi tổng kết ra quy trình cảnh báo và phòng thủ khẩn cấp, bao gồm phản ứng nhanh và chống rửa tiền trên chuỗi nhằm giảm thiểu tổn thất và khóa tài sản.
Một dạng khác là người dùng cá nhân bị mất cắp. Tháng 2 năm nay, một người dùng tìm đến chúng tôi, cho biết bị đánh cắp. Hacker giả danh phóng viên truyền thông nổi tiếng, dụ nạn nhân nhấp vào liên kết chứa script độc hại, cuối cùng đánh cắp quyền tài khoản và tiền. Sau khi bị mất cắp, nạn nhân liên hệ chúng tôi và công khai câu chuyện. Chúng tôi phát hiện tiền bị chuyển đến một sàn giao dịch, lập tức liên hệ sàn để tạm đóng băng. Dù quá trình khởi tố phức tạp, nhưng sau ba tháng rưỡi, nạn nhân đã thành công đòi lại tiền bị đánh cắp. Đây là vụ đầu tiên trong lịch sử tư pháp Đài Loan, không có thông tin nghi phạm cụ thể, nhưng nhờ truy dấu phân tích và chứng minh chủ sở hữu ví, hỗ trợ cơ quan thực thi pháp luật đóng băng và hoàn trả tiền cho nạn nhân.
Qua các ví dụ này, tôi muốn chia sẻ vài kinh nghiệm. Nếu không may bị mất cắp, trước tiên hãy dừng tổn thất kịp thời, xem còn cơ hội cứu vãn không. Ví dụ, khi bị đánh cắp quyền ủy quyền, hãy hủy ngay lập tức; nếu khóa riêng hoặc cụm từ khôi phục bị đánh cắp, hãy chuyển ngay tài sản còn lại; nếu PC nhiễm virus Trojan, hãy ngắt mạng ngay lập tức nhưng không tắt máy để thuận tiện thu thập chứng cứ sau này, thay đổi mật khẩu các nền tảng lưu trên máy, và đổi ví. Ghi lại dòng thời gian bị mất cắp và mô tả chi tiết, tìm kiếm sự giúp đỡ từ đội an ninh bên thứ ba, yêu cầu cơ quan thực thi pháp luật hỗ trợ sau khi khởi tố. Những biện pháp này đều là bước quan trọng để bảo vệ tài sản cá nhân.
Cách nhận biết một hợp đồng token hoặc dự án tương tác có an toàn hay không?
Lisa:
Phương pháp đơn giản nhất là xem mã nguồn. Nhưng nếu không am hiểu kỹ thuật, với người mới hay người ít hiểu biết công nghệ, có thể tìm hiểu thêm các vụ lừa đảo,钓鱼的经典案例,识别其特征和形式,以提高警惕。要特别注意项目中的陷阱,比如只能买不能卖的假代币。在判断项目时,注意高收益、高回报率通常伴随高风险。考察团队是否公开透明、成员是否知名,可以减少遇到跑路或诈骗的概率。此外,查看代码是否经过安全审计也是一个保障。建议大家尽量参与头部项目,因为即使遭遇攻击,通常也有赔偿方案,相对更能保障资产安全。
Tommy:
Tôi cho rằng phần lớn người chơi thông thường có thể không có khả năng hoặc thời gian kiểm tra an toàn mã nguồn. Cách đơn giản nhất là sử dụng một số công cụ bên thứ ba đáng tin cậy, ví dụ như GoPlus, công cụ này hỗ trợ nhiều chuỗi, đặc biệt là chuỗi EVM. Người dùng Solana có thể thử RugCheck và gmgn ai, giúp phát hiện rủi ro token. Khi giao dịch token trên chuỗi, một số token có thể chưa công bố hợp đồng, hoặc giữ quyền sửa thuế giao dịch, điều này có thể dẫn đến hành vi xấu, ví dụ như đội phát triển sau khi có lượng lớn vốn đổ vào, điều chỉnh thuế bán lên 99% hoặc 100%, đây cũng là một hình thức lừa đảo.
Ngoài ra, hiện nay các ví phi tập trung như Bitget Wallet cũng tích hợp chức năng cảnh báo rủi ro, khi giao dịch token rủi ro cao sẽ nhận được nhắc nhở, rất thân thiện với người dùng mới. Đối với bạn bè tham gia DeFi kiếm lời, ngoài các dự án nổi tiếng, tôi còn chú ý đến TVL của dự án. Nếu TVL một dự án vượt 50 triệu USD, tôi có thể cân nhắc tham gia, nhưng cần lưu ý liệu điều này đến từ nhiều người dùng góp hay chỉ một hai ví lớn. Các pool lớn có TVL hàng chục triệu USD, ngay cả khi xảy ra rủi ro đạo đức, vấn đề cũng dễ giải quyết hơn.
Đối với người dùng cá nhân và tổ chức, có khuyến nghị an toàn thao tác trên chuỗi nào tương ứng?
Tommy:
Đối với người dùng cá nhân, tôi có các đề xuất sau: Thứ nhất, khi truy cập website cần kiểm tra kỹ tính xác thực của URL. Thứ hai, khi ủy quyền token, tránh ủy quyền không giới hạn và nên hủy bỏ kịp thời quyền hợp đồng của các dự án nhỏ. Nếu không tham gia thao tác DeFi, có thể chọn sàn giao dịch tập trung có minh bạch dự trữ (proof of reserves) để thực hiện các thao tác tài chính đơn giản. Nếu là người nắm giữ Bitcoin, sử dụng ví phần cứng là lựa chọn không tồi.
Đối với người dùng tổ chức, họ thường am hiểu các biện pháp an toàn hơn, nhưng vẫn nên sử dụng ví đa chữ ký (multi-sig) và quản lý chặt chẽ quyền hạn. Khi xảy ra sự cố an toàn, cần khắc phục kịp thời, tránh bỏ qua các vấn đề nhỏ ban đầu vì chúng có thể dẫn đến tổn thất lớn hơn. Việc thuê chuyên gia an toàn thực hiện kiểm toán và đánh giá cũng rất quan trọng, ví dụ như hợp tác với đơn vị an ninh để thực hiện kiểm thử xâm nhập.
Lisa:
Khi nói đến thao tác trên chuỗi, an toàn ví là then chốt. Tài sản ví bị đánh cắp thường chia làm ba loại: khóa riêng hoặc cụm từ khôi phục bị đánh cắp, chữ ký ủy quyền bị钓鱼, và địa chỉ chuyển khoản bị sửa đổi.
Điểm then chốt phòng chống khóa riêng và cụm từ khôi phục bị đánh cắp là tránh dùng ví giả. Nhiều người dùng tải ví qua quảng cáo công cụ tìm kiếm hoặc trang tải bên thứ ba, các kênh này có nguy cơ bị đánh cắp khóa riêng và cụm từ khôi phục. Ngoài ra, tiện ích mở rộng trình duyệt độc hại cũng có thể đánh cắp thông tin xác thực và dữ liệu nhạy cảm của người dùng. Khuyến nghị người dùng chỉ cài đặt tiện ích từ nguồn đáng tin cậy, sử dụng trình duyệt riêng biệt để cô lập plugin duyệt web và giao dịch tài chính, đồng thời định kỳ quét thiết bị bằng phần mềm diệt virus.
Về钓鱼, phổ biến nhất là blind signing – ký khi không rõ nội dung. Đặc biệt trong ký ngoại chuỗi, người dùng thường nghĩ ký không lên chuỗi và không tốn gas nên lơ là cảnh giác, dẫn đến mất tiền. Dấu vết ủy quyền từ blind signing chỉ hiển thị trong địa chỉ kẻ钓鱼, nạn nhân khó phát hiện.
Chìa khóa phòng chống rủi ro thao tác trên chuỗi nằm ở tên miền và chữ ký. Khuyến nghị người dùng cố gắng đạt đến mức “what you see is what you sign” (những gì bạn thấy là những gì bạn ký), từ chối blind signing. Nếu không hiểu nội dung chữ ký, tốt nhất nên từ bỏ thao tác. Ngoài ra, cài phần mềm diệt virus, bật xác thực hai yếu tố, thận trọng nhấp vào liên kết lạ cũng giúp nâng cao an toàn tài khoản. Cuối cùng, học hỏi từ các case study để nâng cao nhận thức an toàn. Không nên thao tác bốc đồng vì cảm xúc, khi nghi ngờ hãy xác minh nhiều chiều để đảm bảo an toàn. Cuốn sách "Hướng dẫn tự cứu trong rừng tối blockchain" của Cosine – người sáng lập SlowMist – rất đáng để đọc.
Memecoin giao dịch có những rủi ro an toàn phổ biến nào?
Tommy:
Đối với Memecoin bán trước (presale), nhiều trader sẽ nhanh chóng tham gia ngay khi mở cửa, thông qua bot, code tự viết hoặc nền tảng như gmgn ai để snipe. Tuy nhiên, đội phát triển có thể trì hoãn thời gian mở cửa vì nhiều lý do, khiến nhiều người snipe phải token giả. Các token này có ticker name và hình ảnh giống nhau, khi token thật mở cửa, trên thị trường đã có bốn năm token giả chuẩn bị rút rug. Do đó, khi tham gia các token presale nóng độ cao, phải đợi đến khi đội phát triển xác nhận hợp đồng lên sàn, nếu không dễ bị lừa.
Hiện nay, việc từ bỏ quyền hạn hợp đồng Memecoin, phân tán chip, hủy LP đã trở thành yêu cầu cơ bản. Cộng đồng Meme Trader rất nghiêm khắc với những điều này, nếu phát hiện nghi ngờ đội phát triển mua trước, người khác sẽ không muốn tham gia nữa.
Ngoài những yêu cầu cơ bản này, tôi cho rằng thanh khoản pool LP ít nhất phải đạt 300.000 đến 500.000 USD, đây là tiêu chuẩn tối thiểu. Pool nhỏ rủi ro rug rất cao, lợi nhuận lại hạn chế. Ngoài ra, FDV tại TGE không được quá cao. Nếu một Memecoin khối lượng giao dịch trên chuỗi không lớn, thảo luận mạng xã hội không sôi nổi, nhưng lại có FDV hàng chục triệu, điều này rất đáng ngờ.
Ngoài ra, nhiều nhà phát triển Memecoin không chỉ phát hành một token, mà đồng thời phát hành nhiều token. Nếu nhà phát triển trước đó từng phát hành nhiều Memecoin rug, khả năng anh ta tiếp tục rug trong dự án mới cũng rất cao. Vì vậy, mọi người cần cảnh giác với các dự án mới của những nhà phát triển này.
Lisa:
Khi giao dịch Memecoin trên chuỗi Ethereum và Solana, tồn tại một số rủi ro khác nhau. Chuỗi công khai dòng EVM có độ tự do phát hành token cao, logic token do nhà phát triển lập trình; còn Solana phát hành token qua kênh chính thức, do đó rủi ro giao dịch trên chuỗi cũng khác biệt.
Các dạng rủi ro phổ biến bao gồm token độc hại và token Rug Pull. Ví dụ, một số Memecoin được thảo luận rất nhiều, nhưng khi người dùng muốn bán thì phát hiện địa chỉ bị chặn, không thể bán. Các token này thường thiết lập logic đặc biệt hạn chế chuyển khoản khiến người dùng không thể bán. Ngoài ra, token Rug Pull có thể chứa logic hậu môn in ấn lượng lớn token, đội phát triển có thể thực hiện thao tác độc hại qua hàm đặc quyền hoặc đóng băng địa chỉ người dùng.
Có công nghệ và công cụ mới nào giúp người dùng nâng cao an toàn trên chuỗi không?
Lisa:
Ở phần đầu chúng tôi đã nhắc đến Scam Sniffer, tiện ích mở rộng chặn rủi ro钓鱼rất hữu ích, bản thân tôi cũng đang dùng. Ngoài ra, công cụ quản lý ủy quyền của họ cũng đáng được giới thiệu. Revoke.Cash cũng là công cụ kinh điển, dùng để hủy và kiểm tra ủy quyền. Thêm nữa, phần mềm diệt virus như AVG và Kaspersky cũng là lựa chọn khá đáng tin cậy.
Ngoài các công cụ chặn ủy quyền và钓鱼này, GoPlus cũng là công cụ rất tốt, có thể hiệu quả phát hiện các dự án và token "Pīxiū" (chỉ mua không bán), tôi rất khuyến nghị. Ngoài ra, còn có một số công cụ liên quan thiết bị cục bộ, ví dụ như trình quản lý mật khẩu nổi tiếng 1Password, và công cụ xác thực 2FA, dù cần sao lưu đề phòng mất mát, nhưng mức độ an toàn vượt xa việc không dùng xác thực kép.
Ngoài ra, tôi muốn đặc biệt giới thiệu hệ thống truy vết chống rửa tiền MistTrack của SlowMist. Chúng tôi ra mắt công cụ phát hiện blacklisted USDT dựa trên MistTrack, người dùng có thể nhập địa chỉ giao dịch để xem điểm số, giúp nhận diện và tránh rủi ro rửa tiền.
Các công cụ này giúp nâng cao an toàn trên chuỗi, nhưng không thể đảm bảo an toàn tuyệt đối. Phiên bản mới có thể xuất hiện lỗi, thậm chí bị cài cắm hậu môn. Vì vậy, tôi khuyên mọi người khi dùng công cụ này cần giữ tư duy độc lập, thực hành nguyên tắc zero trust, và liên tục xác minh. Nhớ rằng không có an toàn tuyệt đối, tâm thế này rất quan trọng.
Theo các bạn, ngành tiền mã hóa còn lĩnh vực nào cần tăng cường biện pháp an toàn không?
Lisa:
Ngành tiền mã hóa không thể bỏ qua vấn đề an toàn, một sai lầm có thể dẫn đến tổn thất hàng triệu USD, khiến dự án tê liệt hoặc cá nhân phá sản, mọi lĩnh vực đều đối mặt rủi ro bị hacker tấn công. Dựa trên hiệu ứng thùng gỗ an toàn, việc tăng cường an toàn là nhu cầu tổng thể, bởi mỗi khâu — bao gồm người dùng, đội phát triển và chuỗi cung ứng — đều quan trọng, không chỗ nào được có điểm yếu an toàn, bất kỳ sơ hở nào cũng phá vỡ vòng an toàn toàn diện, cần kết hợp phòng thủ kỹ thuật + phòng thủ thủ công để xây dựng hệ thống phòng thủ toàn diện.
Trước hết, cần nâng cao nhận thức an toàn người dùng. SlowMist cung cấp hệ thống biểu mẫu gửi thông tin khi bị mất cắp/lừa đảo, người dùng sau khi bị đánh cắp/có thể gửi thông tin liên quan, chúng tôi sẽ hỗ trợ truy dấu tiền miễn phí và đánh giá cộng đồng. Qua phản hồi này, chúng tôi nhận thấy nhận thức an toàn của nhiều người dùng cấp thiết cần nâng cao. Họ thường bỏ qua cảnh báo và sự cố an toàn, đắm chìm trong cảm xúc FOMO, thiếu hiểu biết về các thủ đoạn tấn công phổ biến.
Dù là đội phát triển hay người dùng cá nhân, đều cần hiểu rõ các thủ đoạn tấn công phổ biến, và lập kế hoạch ứng phó khẩn cấp trước, để khi tổn thất xảy ra có thể định vị vấn đề và kiểm soát kịp thời. Tại SlowMist, chúng tôi truyền bá kiến thức an toàn qua cuốn "Hướng dẫn tự cứu trong rừng tối blockchain" và Twitter, nhưng nhiều người dùng quan tâm hơn đến tiền mà không muốn tìm hiểu sâu về an toàn. Điều này cần nỗ lực chung từ các bên, để bảo vệ tốt hơn tài sản người dùng.
Gần đây trên Twitter xuất hiện nhiều bình luận钓鱼giả mạo đội phát triển dự án. Các kỹ sư SpaceX đã ra mắt tính năng mới, cho phép người dùng vô hiệu hóa liên kết trong phần trả lời, đây là biện pháp an toàn hiệu quả, có thể giảm đáng kể rủi ro钓鱼trực tuyến. Đây là tiến triển tích cực của ngành, hy vọng tương lai sẽ có thêm nhiều dịch vụ an toàn như vậy, giúp người dùng nâng cao khả năng phòng ngừa rủi ro.
Tommy:
Là một người làm nghề, người dùng và người chơi, tôi mong các sản phẩm công cụ có thể không ngừng hoàn thiện, giảm bớt lo lắng của tôi về các vấn đề an toàn. Tôi kỳ vọng các công cụ này khi xuất hiện rủi ro có thể cảnh báo kịp thời, thậm chí trực tiếp ngăn chặn các thao tác nguy hiểm tiềm tàng. Cách thức này thân thiện với người dùng hơn, tôi tin trải nghiệm Web3 cuối cùng sẽ đạt đến hoặc thậm chí vượt qua mức Web2 hiện tại.
Chỉ khi ngày càng nhiều người ngoài ngành có thể dễ dàng hòa nhập vào lĩnh vực Crypto, ngành này mới thực sự phát triển mạnh mẽ. Việc hoàn thiện cơ sở hạ tầng này không chỉ giúp người dùng chống rủi ro, mà còn mang lại trải nghiệm tốt hơn cho người mới, tránh cảm giác phản cảm với toàn ngành do bị lừa đảo.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
吴说区块链
