
Bản đồ sinh tồn trên chuỗi: Vượt qua bẫy an toàn của bot giao dịch trong Khải Huyền DEXX
Tuyển chọn TechFlowTuyển chọn TechFlow

Bản đồ sinh tồn trên chuỗi: Vượt qua bẫy an toàn của bot giao dịch trong Khải Huyền DEXX
Luôn có sự đánh đổi giữa lợi nhuận cao và an toàn tuyệt đối.
Tác giả: SafePal
“Rừng Đen”, một nguyên tắc xã hội học vũ trụ học bắt nguồn từ tác phẩm “Tam Thể”, cũng là cách mô tả trần trụi nhất về lĩnh vực an toàn Web3 hiện nay: Blockchain mang lại không gian sáng tạo và trải nghiệm phong phú, nhưng đồng thời giống như một “rừng đen”, tràn ngập những cuộc đấu tranh sinh tồn kiểu zero-sum tàn khốc, trong đó nhà đầu tư thông thường thường đóng vai trò của "con mồi" bị săn đuổi do sự bất cân xứng thông tin.
Ngày 16 tháng 11, nhiều người dùng cộng đồng phản ánh việc nền tảng giao dịch trên chuỗi DEXX bị đánh cắp. Phân tích sau sự cố cho thấy DEXX có lỗ hổng rõ ràng trong quản lý khóa riêng, thậm chí từng truyền và lưu trữ dưới dạng văn bản thuần túy. Tính đến nay, tổng thiệt hại được thống kê sơ bộ đã vượt quá 20 triệu USD.
Trong bối cảnh này, làm thế nào để người dùng phổ thông hoàn thiện cơ chế tự bảo vệ trên chuỗi trở thành chủ đề quan trọng được đông đảo mọi người chú ý. Veronica, đồng sáng lập kiêm CEO của SafePal, đã tham gia buổi nói chuyện trực tuyến (𝕏 Space) do 137Labs tổ chức với chủ đề “Suy ngẫm về an ninh sau sự cố DEXX: Làm sao tránh 'bẫy' trong đầu tư tiền mã hóa?”, cùng thảo luận về sự kiện an ninh DEXX và đưa ra các lời khuyên thiết thực cho nhà đầu tư tiền mã hóa, cùng với Andy – người sáng lập BlockSec, Huisuo Ge – một trader giàu kinh nghiệm, và OneOne – nhà nghiên cứu tại 137Labs.
Bài viết này là bản tóm tắt nội dung chia sẻ nổi bật từ các diễn giả trong buổi Twitter Space trên, được biên tập đặc biệt nhằm phục vụ bạn đọc.
Gánh nặng “không thể chịu đựng” từ công cụ Bot抢跑 (Bot giao dịch)
Trong đầu tư tiền mã hóa, lợi nhuận cao và an toàn tuyệt đối thường khó đạt được đồng thời. Các công cụ giao dịch như DEXX, Unibot mặc dù được người dùng ưa chuộng nhờ tính năng sao chép lệnh một cú nhấp và chuyển tiền nhanh chóng, nhưng sự tiện lợi này dựa trên kiến trúc tập trung, yêu cầu người dùng cấp quyền truy cập ví hoặc ủy quyền tài sản, dẫn đến rủi ro tài sản tăng đáng kể.
Tuy nhiên, người dùng thường đánh giá thấp yêu cầu an toàn của các công cụ giao dịch này. Họ có thói quen tin tưởng vào các sàn giao dịch lớn, nhưng lại bỏ qua rủi ro từ các nền tảng nhỏ hơn. Sự cố DEXX lần này đã phơi bày lỗ hổng chết người trong quản lý khóa riêng của một số công cụ giao dịch ——một ví phi giám sát (“non-custodial”) thật sự phải đảm bảo khóa riêng chỉ được lưu trữ trên thiết bị của người dùng, chứ không phụ thuộc vào máy chủ tập trung, ngay cả khi khóa riêng đã được mã hóa, nếu thiếu hỗ trợ kỹ thuật bảo mật ở cấp độ bộ nhớ (ví dụ như TEE hay enclave), vẫn không thể ngăn chặn khả năng bị đánh cắp.
Đồng thời, thủ đoạn tấn công lần này rất phức tạp: tin tặc phân tán chuyển tiền nhằm làm khó việc truy vết. Điều này không chỉ khiến việc truy hồi tài sản trở nên khó khăn hơn mà còn báo hiệu rằng các sự kiện tương tự trong tương lai có thể ngày càng phức tạp và khó phòng tránh hơn, từ đó mở ra hai khả năng: hoặc nền tảng bị xâm nhập do lỗi kỹ thuật, hoặc có hành vi ăn cắp nội bộ hoặc bị xâm nhập sâu bên trong; nếu là trường hợp thứ hai, rủi ro về sau sẽ nghiêm trọng hơn nhiều.
Dữ liệu từ Dune cho thấy, các Bot có khối lượng giao dịch lớn nhất 5 hàng đầu hiện nay gồm: Trojan, BonkBot, Maestro, Banana Gun, Sol Trading Bot, mỗi cái đều có khối lượng giao dịch 7 ngày vượt quá 100 triệu USD, số lượng người dùng tích lũy đều trên 300.000 người. Chính vì vậy, tâm lý “hoặc phát tài, hoặc mất trắng” khiến phần lớn người dùng phớt lờ rủi ro tiềm tàng cực kỳ lớn.

Nguồn ảnh: Dune
Theo Veronica, gần như tất cả các công cụ giao dịch kiểu “抢跑” này đều có thể đối mặt với những rủi ro an toàn tương tự. Lý do các Bot này có thể thực hiện giao dịch siêu nhanh trên chuỗi, tránh việc phải ký tên thủ công mỗi lần, chính là vì chúng đánh đổi một phần an toàn và tính chất phi giám sát:
Thông thường, dù dùng ví phần cứng, ví ứng dụng hay ví tiện ích trình duyệt, người dùng đều cần vài giây để xác nhận ký kết thủ công. Nhưng để nâng cao tốc độ giao dịch và cải thiện trải nghiệm người dùng, các Bot này thường chấp nhận thỏa hiệp, hạ thấp mức bảo mật khóa riêng xuống mức tối thiểu để đạt được tốc độ khớp lệnh nhanh hơn.
Thiết kế này không hoàn toàn sai, cũng không thể đơn giản quy kết rằng các dự án này đều không an toàn. Tuy nhiên, điều này đặt ra yêu cầu cực kỳ cao đối với năng lực bảo vệ an toàn của đội ngũ phát triển. Để đạt được trải nghiệm mượt mà, nếu đội ngũ phát triển không đảm bảo được năng lực phòng thủ an toàn mạnh mẽ, hậu quả khi bị tấn công sẽ vô cùng nghiêm trọng, cả người dùng lẫn dự án đều có thể chịu tổn thất lớn.
Ngoài ra, hiện nay phần lớn thiết kế của các Bot giao dịch thực sự đang đối diện với một mối nguy hiểm an toàn rõ rệt —— để thực hiện giao dịch tự động, chúng thường tạo và lưu giữ khóa riêng cho từng người dùng. Cách làm này tuy thuận tiện cho việc sao chép lệnh tự động, nhưng cũng đi kèm rủi ro an toàn cực cao: nếu kẻ tấn công xâm nhập được vào nền tảng, tất cả khóa riêng người dùng được lưu trữ có thể bị rò rỉ, dẫn đến mất tài sản.

Nguồn ảnh: Trang “Quản lý ví” của DEXX
Tuy nhiên thực tế tồn tại một kiến trúc giao dịch an toàn hơn, có thể thực hiện giao dịch tự động mà không cần sử dụng khóa riêng của người dùng:
Kiến trúc này dựa vào hợp đồng thông minh, bằng cách tạo một tài khoản PDA liên kết với tài khoản người dùng, cho phép hoàn tất giao dịch mà không cần chữ ký khóa riêng của người dùng. Nền tảng có thể sử dụng một “tài khoản vận hành” bị giới hạn để thực thi lệnh giao dịch, song quyền hạn của tài khoản vận hành này được kiểm soát chặt chẽ, chỉ được phép thực hiện thao tác giao dịch, không thể tùy ý chuyển tài sản của người dùng.
Thiết kế dựa trên hợp đồng thông minh này có thể nâng cao đáng kể mức độ an toàn, bởi khóa riêng của người dùng luôn nằm trong tay họ, không bị lưu trữ trên máy chủ tập trung. Mặc dù thiết kế này phức tạp hơn, đòi hỏi năng lực kỹ thuật và an toàn cao hơn từ đội ngũ phát triển, nhưng nó hoàn toàn khả thi và an toàn hơn.
Hiện tại, phần lớn người dùng không hiểu rõ sự khác biệt giữa hai mô hình thiết kế này, hoặc vì theo đuổi sự tiện lợi mà bỏ qua yếu tố an toàn. Tuy nhiên, khi các sự cố an toàn xảy ra ngày càng thường xuyên, người dùng và đội ngũ phát triển có thể ngày càng coi trọng hơn các kiến trúc an toàn, và giải pháp thiết kế tiên tiến này có khả năng sẽ dần phổ biến trong tương lai, giảm thiểu các sự kiện tương tự DEXX.
Chuỗi an toàn Web3: Từ ủy quyền giao dịch đến bảo vệ khóa riêng
Theo OneOne, hiện nay có thể phân loại rủi ro an toàn trên chuỗi thành hai nhóm lớn, bao gồm các khía cạnh từ ủy quyền giao dịch đến bảo vệ khóa riêng.
Hình thức tấn công phổ biến đầu tiên là “lừa đảo Approve”. Ví dụ điển hình là gửi một lượng nhỏ tài sản mã hóa hoặc NFT airdrop thông qua “tấn công bụi”, dụ người dùng nhấp vào và thực hiện ủy quyền giao dịch. Thao tác này có thể cho phép kẻ tấn công giành quyền truy cập ví người dùng, từ đó đánh cắp tài sản (bao gồm tiền mã hóa và NFT). Người dùng cần thận trọng xử lý các token và airdrop đến từ nguồn không rõ, tránh dễ dàng cấp quyền.
Việc khóa riêng bị đánh cắp thường xảy ra theo một số cách sau:
-
Thứ nhất là “tấn công phần mềm độc hại”: ví dụ, kẻ tấn công giả vờ mời người dùng thử nghiệm dự án mới, dụ họ tải xuống file thực thi chứa virus Trojan. Một khi trúng bẫy, khóa riêng và mật khẩu tài khoản người dùng sẽ bị đánh cắp dễ dàng;
-
Thứ hai là “tấn công bảng tạm (clipboard)”: kẻ tấn công thông qua website钓鱼 lấy quyền truy cập bảng tạm của người dùng. Khi người dùng sao chép-dán khóa riêng, thông tin nhạy cảm này sẽ bị đánh cắp và lợi dụng;
-
Thêm vào đó là một số trường hợp “tấn công kiểm soát từ xa”: ví dụ, sử dụng phần mềm độc hại từ xa điều khiển máy tính người dùng, thậm chí trực tiếp đánh cắp khóa riêng khi người dùng nghỉ ngơi. Chẳng hạn như các “trình duyệt dấu vân tay” mà người dùng airdrop hay dùng thường có chức năng lưu trữ đám mây, nếu bị xâm nhập, tài sản người dùng sẽ rất dễ bị đánh cắp. Nhiều người dùng khi dùng các công cụ này không thiết lập xác thực hai yếu tố (2FA), làm tăng thêm rủi ro;
-
Cuối cùng là “nguy cơ từ bàn phím nhập liệu”: nhiều người dùng thích dùng bàn phím thông minh, nhưng các bàn phím này có thể thu thập dữ liệu nhập liệu và lưu trữ lên đám mây, làm tăng khả năng rò rỉ khóa riêng. Khuyên người dùng nên dùng bàn phím mặc định của hệ thống, dù chức năng ít hơn nhưng an toàn hơn.
Nhìn chung, khi giao dịch trên chuỗi, đặc biệt khi sử dụng ứng dụng DeFi hay công cụ giao dịch, người dùng cần thực hiện các biện pháp phòng ngừa an toàn bổ sung, trong đó quản lý ủy quyền là vấn đề cần đặc biệt coi trọng —— do cơ chế Ethereum yêu cầu người dùng cấp quyền token cho hợp đồng thông minh, kẻ tấn công có thể lợi dụng cơ chế ủy quyền này để thực hiện thao tác độc hại. Vì vậy người dùng nên thường xuyên kiểm tra danh sách ủy quyền trong ví, kịp thời hủy bỏ các quyền không còn cần thiết, đặc biệt là những quyền cấp sớm có thể đã quên lãng, nhằm giảm thiểu rủi ro.
Ngoài ra, khi lựa chọn nền tảng DeFi, người dùng nên xem xét các biện pháp an toàn của nền tảng, bao gồm có báo cáo kiểm toán đầy đủ hay không, có giám sát an toàn tự động liên tục hay không, và nền tảng có thường xuyên nâng cấp, vá lỗ hổng hay không. Khi dùng Trading Bot, khuyến nghị người dùng nên phân tán quản lý tài sản, không nên lưu trữ số tiền lớn trong tài khoản bị kiểm soát bởi robot giao dịch, sau khi có lợi nhuận nên nhanh chóng chuyển tiền về ví an toàn hơn, để giảm thiểu tổn thất có thể xảy ra.
Huisuo Ge cho biết, với tư cách là một trader, việc nắm rõ cơ chế của công cụ và nền tảng giao dịch là cực kỳ quan trọng. Trong môi trường giao dịch “doge đất” hiện nay, nhiều người chỉ quan tâm đến cảm giác kích thích từ tăng/giảm mạnh, mà bỏ qua nguy cơ an toàn của công cụ giao dịch. Người dùng nên thiết lập cảnh báo an toàn, ví dụ như cảnh báo bể bị rút sạch hoặc cảnh báo thanh lý, để luôn kiểm soát rủi ro.
Veronica nhấn mạnh một nguyên tắc đơn giản nhưng quan trọng: luôn có sự đánh đổi giữa hiệu suất kiếm lợi nhuận và an toàn toàn diện. Lời khuyên then chốt nhất là phải cách ly tài chính. Nếu bạn nhận ra mình lo lắng quá mức đến mức không ngủ được, kiểm tra điện thoại liên tục vì vị thế đầu tư quá lớn, thì rất có thể cấu trúc tài chính của bạn đã vượt quá khả năng chịu rủi ro của bản thân.
Có những công cụ truy vấn an toàn trên chuỗi nào hữu ích?
Veronica khuyến nghị người dùng sử dụng các công cụ nhỏ tích hợp sẵn trong ví phi giám sát như SafePal, ví dụ chức năng kiểm tra định kỳ ủy quyền —— người dùng có thể quét toàn bộ lịch sử ủy quyền trên nhiều chuỗi khác nhau và hủy bỏ một cách nhanh chóng các quyền không cần thiết, giảm rủi ro bị tin tặc lợi dụng.

Nguồn ảnh: Chức năng “Approval Manager” của SafePal
Bên cạnh đó, hiện nay các kẻ lừa đảo thường dùng giao dịch nhỏ để giả mạo địa chỉ chuyển tiền của người dùng nhằm chiếm đoạt tiền. Hiện nay OKX Web3 Wallet, SafePal và các ví chính thống khác đã tích hợp dịch vụ chặn giao dịch rủi ro nhằm chống lại “tấn công đầu cuối”. Đồng thời, ví phần cứng + cụm mật khẩu (Passphrase) là một tính năng ít người biết đến nhưng rất hữu ích, đặc biệt phù hợp với người dùng có nhiều tài khoản đầu tư:
Cụm mật khẩu đóng vai trò như từ thứ 13, kết hợp với 12 từ khôi phục ban đầu để tạo ra một địa chỉ ví hoàn toàn mới. Ngay cả khi ai đó có được cụm từ khôi phục của bạn, họ cũng không thể truy cập tài sản nếu không có cụm mật khẩu, điều này nghĩa là người dùng có thể tạo nhiều tài khoản ví theo cách này, đảm bảo an toàn.
Phương pháp này không chỉ tăng cường độ an toàn của khóa riêng, mà còn cho phép người dùng linh hoạt quản lý tài sản giữa các tài khoản, đồng thời cụm mật khẩu có thể chỉ tồn tại trong trí nhớ người dùng, nâng cao hơn nữa lớp bảo vệ.
Andy cũng nhấn mạnh rằng, trong nhiều trường hợp người dùng gặp sự cố an toàn, ngoài việc dự án có rủi ro, còn có thể liên quan đến thói quen an toàn cá nhân chưa tốt. Ngay cả khi người dùng nhận thức được họ sở hữu nhiều tài sản mã hóa, hoặc biết rõ đầu tư giao dịch có rủi ro, họ vẫn thường vì thói quen xấu mà khiến tài sản rơi vào nguy hiểm.
Khuyến nghị người dùng duy trì ý thức và thói quen cách ly an toàn, ví dụ như lưu trữ tài sản lớn trong ví lạnh, chỉ dùng để tương tác chứ không thể trực tiếp chuyển tiền, đồng thời dùng một chiếc điện thoại chuyên dụng (ví dụ iPhone) để quản lý tài sản mã hóa, chỉ dùng nó để giao dịch tiền mã hóa hoặc quản lý khóa riêng, không cài đặt phần mềm không liên quan hay thực hiện hoạt động khác trên thiết bị này. Việc này có thể giảm đáng kể rủi ro rò rỉ khóa riêng.
Kết luận
Sự cố an ninh DEXX đã vạch rõ nghịch lý cốt lõi trong lĩnh vực công cụ giao dịch trên chuỗi: làm sao tìm được điểm cân bằng giữa tiện lợi và an toàn?
Khi theo đuổi giao dịch hiệu quả và trải nghiệm người dùng, thiết kế an toàn của nền tảng không thể trở thành vật hy sinh. Dù là lưu trữ tập trung khóa riêng hay thiếu sót kỹ thuật ở cấp độ bảo vệ bộ nhớ, đều khiến tài sản người dùng đối diện rủi ro cao.
“Luôn có sự đánh đổi giữa lợi nhuận cao và an toàn tuyệt đối”. Đối với nhà đầu tư, việc hiểu rõ logic rủi ro đằng sau công cụ giao dịch, nuôi dưỡng thói quen an toàn tốt, là nền tảng để vượt qua “rừng đen” trên chuỗi. Trong hệ sinh thái phi tập trung và đầy bất định này, chỉ khi tự kiểm soát khóa riêng của mình, người dùng mới thực sự kiểm soát được tài sản của bản thân, thúc đẩy toàn bộ hệ sinh thái trên chuỗi phát triển lành mạnh hơn.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News










