Hướng dẫn chống lừa đảo NFT: Ba kỹ năng giúp bạn bảo vệ tài sản NFT
Tuyển chọn TechFlowTuyển chọn TechFlow
Hướng dẫn chống lừa đảo NFT: Ba kỹ năng giúp bạn bảo vệ tài sản NFT
Một email lừa đảo đã chiếm đoạt 4,16 triệu USD.
Chuyên sâu báo cáo Web3
Tác giả: NFT Labs, Viện nghiên cứu律动
Thế giới Crypto tựa như một khu rừng tối tăm, xung quanh bạn có thể tiềm ẩn vô số nguy cơ. Gần đây, khi OpenSea nâng cấp hợp đồng, tin tặc đã lợi dụng thời điểm này gửi một email lừa đảo đến hộp thư của tất cả người dùng. Nhiều người dùng nhầm tưởng đây là email chính thức và trao quyền cho ví của mình, dẫn đến việc bị đánh cắp ví. Theo thống kê, chỉ riêng một email này đã khiến ít nhất 3 BAYC, 37 Azuki, 25 NFT Worlds... bị đánh cắp. Tính theo giá sàn, hacker thu về tới 4,16 triệu USD.
Vào cùng đêm hôm đó, chiếc Doodle 1/1 mà Niq – sinh viên trường Đại học Đồng Tế thuộc cộng đồng «All in NFT» – sở hữu lâu dài cũng bị đánh cắp. Nguyên nhân là do đối phương liên hệ riêng với Niq để thương lượng giao dịch, sau khi làm Niq giảm cảnh giác đã gửi cho anh một liên kết website giao dịch giả mạo.
Ngày nay, các cuộc tấn công mà chúng ta cần đề phòng không chỉ tồn tại ở khía cạnh kỹ thuật, mà còn đến từ kỹ thuật xã hội (social engineering). Cộng thêm việc giá cả của nhiều dự án NFT tăng vọt, chỉ cần lơ là một chút là có thể mất mát tài sản khổng lồ. Trước tình hình gần đây lừa đảo trong lĩnh vực NFT diễn ra thường xuyên, TechFlow đã tổng hợp một vài thủ đoạn lừa đảo phổ biến, hy vọng đông đảo độc giả luôn cảnh giác cao độ, đừng để bị lừa.
Các thủ đoạn lừa đảo
1. Gửi liên kết website lừa đảo qua tin nhắn riêng trên Discord
Gửi liên kết qua tin nhắn riêng trên Discord là thủ đoạn lừa đảo phổ biến của hacker. Chúng thường gửi tin nhắn hàng loạt tới thành viên trong các cộng đồng Discord khác nhau, hoặc giả danh quản trị viên cộng đồng lấy lý do hỗ trợ giải quyết vấn đề để nhắn tin riêng, nhằm đánh cắp khóa riêng ví. Hoặc gửi các trang web giả mạo, thông báo người dùng có thể nhận miễn phí NFT, v.v. Một khi người dùng cấp quyền cho trang web giả mạo do hacker tạo ra, họ sẽ phải chịu tổn thất nghiêm trọng.
2. Tấn công máy chủ Discord
Việc máy chủ Discord bị hacker tấn công gần như là điều mà mọi dự án NFT nổi bật đều phải trải qua. Hacker sẽ tấn công tài khoản quản trị viên máy chủ, sau đó đăng thông báo giả trên các kênh của máy chủ, dụ dỗ thành viên cộng đồng truy cập vào website giả do hacker dựng sẵn để mua NFT giả. Hiện nay, hacker còn có thể lấy token của quản trị viên bằng cách gửi các liên kết lừa đảo, khiến dù quản trị viên đã bật xác thực hai yếu tố (2FA) thì cũng vô dụng. Nếu trang web lừa đảo yêu cầu cấp quyền ví, hậu quả về tài sản với người dùng sẽ càng nghiêm trọng hơn.
3. Gửi liên kết giao dịch giả
Chiêu trò này thường xuất hiện trong quá trình giao dịch NFT riêng tư giữa kẻ lừa đảo và người dùng. Các nền tảng như Sudoswap, NFTtrader khuyến khích người dùng trao đổi NFT hoặc token với nhau thông qua thương lượng riêng, đồng thời cung cấp biện pháp bảo đảm an toàn cho những giao dịch đạt được thỏa thuận. Điều này vốn là điều tốt cho thị trường NFT, nhưng hiện nay hacker đã bắt đầu sử dụng các website giả mạo Sudoswap, NFTtrader để lừa đảo.
Sau khi thương lượng xong, Sudoswap và NFTtrader yêu cầu người dùng khởi tạo một giao dịch, bước này sẽ tạo ra một trang xác nhận đơn hàng. Sau khi cả hai bên xác nhận, giao dịch sẽ được thực hiện tự động thông qua hợp đồng thông minh. Kẻ lừa đảo ban đầu sẽ giả vờ thương lượng với bạn về việc trao đổi NFT nào, đồng thời gửi cho bạn một liên kết thật. Sau đó, hắn ta đề xuất sửa đổi giao dịch, và khi người dùng đã giảm cảnh giác, sẽ gửi một liên kết lừa đảo. Người dùng chỉ cần nhấn xác nhận giao dịch, NFT tương ứng trong ví sẽ lập tức được chuyển vào ví của kẻ lừa đảo.
4. Lừa lấy cụm từ khôi phục (seed phrase)
Kẻ lừa đảo sẽ dùng đủ mọi cách dụ người dùng gửi khóa riêng hoặc cụm từ khôi phục cho mình, ví dụ như tạo website lừa đảo, giả vờ là quản trị viên đến hỗ trợ người dùng, v.v., tất cả nhằm mục đích làm giảm sự cảnh giác của người dùng để chiếm đoạt khóa riêng và cụm từ khôi phục.
5. Tạo bộ sưu tập giả, tìm kiếm giao dịch trên kênh công khai của Discord dự án
Bộ sưu tập NFT giả là điều dễ gặp nhất trước khi nhiều dự án hot ra mắt. Ngay trước khi hộp bí ẩn NFT chính thức lên sóng, kẻ lừa đảo sẽ sớm tải lên các nền tảng giao dịch NFT như OpenSea một bộ sưu tập NFT có tên tương tự, đồng thời "thiết kế" đẹp mắt bộ sưu tập này dựa trên thông tin chính thức đã được công bố. Trong trường hợp bộ sưu tập NFT thật chưa ra mắt, người dùng sẽ ưu tiên tìm kiếm những bộ sưu tập có tên gần giống nhất. Một số kẻ lừa đảo còn tạo ra vài giao dịch giả để tăng độ tin cậy, gửi Offer đặt giá cho các NFT giả đang niêm yết.
Để tiết kiệm phí bản quyền cho nền tảng và dự án, các thành viên cộng đồng thường giao dịch trực tiếp với nhau. Ngoài việc giả mạo website Sudoswap, NFTtrader như đã nói ở trên, cũng có kẻ lừa đảo gửi liên kết bộ sưu tập NFT giả có giá thấp hơn giá sàn trên các kênh cộng đồng. Người dùng thường vội vàng mua NFT rẻ hơn giá sàn mà quên kiểm tra tính xác thực của NFT, dẫn đến bị lừa.
6. Email giả mạo
Hầu hết các nền tảng NFT đều yêu cầu người dùng liên kết email để tiện thông báo kịp thời về tình trạng giao dịch NFT. Do đó, email cũng trở thành nơi tập trung nhiều vụ lừa đảo. Kẻ lừa đảo thường giả dạng tài khoản chính thức của nền tảng OpenSea, gửi liên kết website lừa đảo tới người dùng với lý do như cần sửa đổi địa chỉ hợp đồng hoặc xác minh lại ví. Gần đây, sau khi OpenSea công bố nâng cấp hợp đồng, hacker đã dùng cách này để chiếm đoạt tài sản người dùng trị giá gần 4 triệu USD. Tính đến thời điểm viết bài, đội ngũ OpenSea vẫn đang rà soát các người dùng bị ảnh hưởng.
Hướng dẫn phòng tránh lừa đảo
1. Xác minh địa chỉ website
Dù hacker dùng lời lẽ hoa mỹ hay hấp dẫn đến đâu, cuối cùng để đánh cắp tài sản mã hóa của bạn, chúng vẫn cần một con đường tương tác với ví của bạn. Người dùng thông thường có thể không có khả năng phân tích rủi ro hợp đồng, nhưng may mắn thay, chúng ta vẫn đang sống trong thế giới internet do web2 chi phối. Hầu hết các hợp đồng mã hóa đều cần một giao diện web2 để tương tác với người dùng.
Do đó, phần lớn các vụ trộm cắp tài sản mã hóa hướng đến người dùng (không phải nhà phát triển) đều xảy ra trên các website giả mạo. Chỉ cần biết cách nhận diện website lừa đảo, bạn đã có thể tránh khỏi 99% các vụ trộm cắp tài sản mã hóa.
Đối với thế hệ Z lớn lên cùng điện thoại thông minh, họ sống trong những "hệ sinh thái" do từng ứng dụng tạo nên, có thể đã khá xa lạ với khái niệm website truyền thống. Trong thời đại web2, hệ thống DNS cấp cho mỗi website một định danh duy nhất trên toàn mạng. Hiểu rõ quy tắc cấu tạo tên miền sẽ giúp bạn xử lý hầu hết các website lừa đảo.
Trong hệ thống tên miền DNS truyền thống, tên miền được chia thành ba cấp. Bắt đầu từ dấu phân cách đầu tiên (/), đọc từ phải sang trái, mỗi dấu chấm ngăn cách một cấp. Ví dụ, với https://www.opensea.io/, thì «.io» giống như «.com», «.cn»... gọi là tên miền cấp cao nhất (top-level domain), trường này không thể tùy chỉnh. «opensea» gọi là tên miền cấp hai, cũng là chủ thể của tên miền, trong cùng một tên miền cấp cao nhất (ví dụ cùng .io) thì trường này không được trùng lặp. Phần «www» là tên miền cấp ba, trường này có thể do người vận hành website tự thiết lập. Thậm chí, người vận hành còn có thể thêm tên miền cấp bốn, cấp năm trước «www».
Thứ tự phân cấp tên miền này ngược với trực giác: tức là từ phải sang trái, cấp bậc giảm dần. Thiết kế này trái ngược với thói quen đọc thông thường của đa số người, tạo điều kiện cho kẻ tấn công. Ví dụ, địa chỉ https://www.opensea.io.example.com tuy rất giống địa chỉ opensea, nhưng tên miền thực tế lại là «example.com» chứ không phải «opensea.io».
Chúng ta chưa thể dự đoán liệu Web3 có còn tồn tại tấn công lừa đảo hay không. Nhưng trong thế giới Web2, hệ thống DNS đảm bảo tính duy nhất của tên miền (hay địa chỉ website), nếu tên miền là thật, người dùng gần như không thể truy cập vào website giả.
2. Không tiết lộ khóa riêng hay cụm từ khôi phục
Ví tiền mã hóa khác với các tài khoản web2 như email, khóa riêng và cụm từ khôi phục không thể thay đổi hay khôi phục lại. Một khi bị rò rỉ, ví này sẽ đồng thời thuộc về bạn và hacker. Mọi tài sản trong ví của bạn có thể bị hacker chuyển đi bất cứ lúc nào. Do tính ẩn danh của địa chỉ Ethereum, bạn cũng không thể xác định được hacker là ai, tổn thất đương nhiên không thể đòi lại, và ví này cũng không thể sử dụng tiếp.
3. Hủy cấp quyền ví kịp thời
Nếu bạn đã từng cấp quyền ví trên một website lừa đảo, hãy nhanh chóng kiểm tra tình trạng cấp quyền và hủy bỏ kịp thời tại ba địa chỉ sau:
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
