Các vụ trộm tiền điện tử xảy ra thường xuyên. Chúng ta cần biết gì về việc bảo vệ tài sản tiền điện tử?

Làm thế nào để xác định địa chỉ ví giả? Tại sao ví lạnh vẫn có nguy cơ bị hack? Những cuộc tấn công này xảy ra như thế nào? Những người nào trở thành mục tiêu của tin tặc? Làm thế nào để tránh những vấn đề như vậy?

Gần đây, Web3 thường xuyên chứng kiến tình trạng trộm coin, đặc biệt là vụ việc trộm 1.155 WBTC được nhiều người theo dõi, thu hút sự chú ý rộng rãi của công chúng. Việc bảo vệ tài sản được mã hóa cũng trở thành tâm điểm chú ý của mọi người. Để ứng phó với vụ việc này, PoPP và OneKey đã cùng nhau tổ chức một Không gian để chia sẻ với cộng đồng các vấn đề về bảo mật trên chuỗi, nơi chứa đầy thông tin thực tế và cung cấp bài học khoa học phổ biến cho những người mới tham gia chưa có nhận thức về phòng ngừa.

Khách mời:

• PoPP CTO: Neo
• Đầu OneKey Eco: Cavin

Người dẫn chương trình: JY

Không gian này chủ yếu thảo luận về các vấn đề sau:

1. Làm thế nào để xác định địa chỉ ví giả?

2. Lưu trữ tiền điện tử trên sàn giao dịch hay trong ví, cách nào an toàn hơn?

3. Tại sao ví lạnh vẫn có nguy cơ bị hack? Các cuộc tấn công này xảy ra như thế nào?

4. Những người nào sẽ trở thành mục tiêu của tin tặc? Làm thế nào để tránh những cạm bẫy giao dịch/chia sẻ kinh nghiệm của bạn?

5. Hiện nay, PoPP đã thu hút được nhiều người dùng. Nó đảm bảo an ninh tài sản như thế nào?

1. Làm thế nào để xác định địa chỉ ví giả?

Về cách nhận dạng địa chỉ ví giả, Cavin đề cập đến hai phương pháp. Đầu tiên là kiểm tra cẩn thận từng con số và chữ cái khi chuyển tiền để tránh bị làm giả. Thứ hai, các ví phần mềm chính thống hiện nay đều có chức năng thư viện địa chỉ này, bao gồm OKX và OneKey Classic. Bạn có thể đưa các địa chỉ thường dùng của mình vào thư viện địa chỉ này để nhanh chóng chọn đúng địa chỉ. Nhắc nhở mọi người đảm bảo môi trường an toàn trước khi chuyển tiền và tránh sao chép địa chỉ từ hồ sơ giao dịch.

Neo đã thêm một số bổ sung khác vào phần chia sẻ của mình. Neo đã chia sẻ một nhà phát triển trong nhóm của họ, người chưa bao giờ tin vào bất kỳ ví nóng nào. Anh ấy chỉ sử dụng ví nút của riêng mình để chuyển tất cả tiền và kiểm soát nó bằng một ngân hàng nhỏ. Tất nhiên, những người bình thường như chúng ta không thể làm điều này. Những người bình thường có thể thực hiện các biện pháp phòng ngừa từ 4 khía cạnh sau:

• a. Đầu tiên, đảm bảo môi trường an toàn, bao gồm mạng, VPN, điện thoại di động và môi trường máy tính.
• b. Thứ hai, hãy chọn một thiết bị an toàn, chẳng hạn như thiết bị Apple hoặc ví phần cứng.

• Không còn nghi ngờ gì nữa, các thiết bị Apple tương đối an toàn, và sau đó là một số ví phần cứng. Khi chúng ta phải cài đặt phần mềm khác trên Android, nên sử dụng một hoặc hai ví chính thống. Nếu bạn cần nhập mã ghi nhớ thường xuyên, hãy tránh sử dụng bảng dán. Nhắc nhở mọi người không tải xuống quá nhiều ví và chỉ cập nhật chúng trong APP.

• c. Ngoài ra, hãy hình thành thói quen tốt là thực hiện một lần chuyển tiền thử nghiệm nhỏ trước khi xác nhận giao dịch. Bạn nên quét mã để chuyển tiền cho bên kia, và xác nhận với nhau trước và sau khi chuyển tiền.
• d. Cuối cùng, hãy kiểm tra trình duyệt blockchain để xác nhận thông tin chi tiết chuyển tiền sau mỗi lần chuyển tiền.

• Nếu bạn thấy số tiền không đúng hoặc địa chỉ mục tiêu không đúng, bạn vẫn có thể thực hiện các biện pháp khắc phục ngay lập tức. Bạn cũng có thể ngay lập tức bắt đầu một giao dịch mới với phí gas cao hơn để bù đắp cho giao dịch trước đó. Bạn vẫn có thể khôi phục, nhưng nếu bạn chuyển tiền thành công hoặc nhấp vào phần mềm lừa đảo, bạn có thể không thể làm gì được.

2. Lưu trữ tiền điện tử trên sàn giao dịch hay trong ví sẽ an toàn hơn?

Người dẫn chương trình JY:

Cảm ơn Neo và Cavin đã chia sẻ. Tôi muốn hỏi một câu, cái nào an toàn hơn, sàn giao dịch hay ví điện tử?

Cavin:

Xét về mức độ bảo mật, ví phần cứng có mức độ bảo mật cao nhất. Mặc dù ngưỡng sử dụng ví phần cứng và độ khó thao tác cao hơn ví nóng, nhưng không tiện lợi bằng ví nóng.

Các sàn giao dịch và ví nóng kém an toàn hơn, nhưng chúng rất thiết thực. Bạn nên gửi một phần tiền của mình vào một sàn giao dịch đáng tin cậy, chẳng hạn như Binance hoặc OKX. Sẽ không có vấn đề lớn nào trong ngắn hạn, nhưng bạn không thể hoàn toàn tin tưởng vào chúng.

Nên đặt một số tiền vào một sàn giao dịch đáng tin cậy, nhưng không quá nhiều. Đối với các giao thức không phổ biến, có thể sử dụng ví nóng mới để quản lý riêng biệt.

Neo:

Ở cấp độ kỹ thuật, sự an toàn luôn mang tính tương đối. Không có sự an toàn tuyệt đối; đó chỉ là vấn đề chi phí.

cái ví:

Nếu bạn giữ nó trong ví và không chạm vào Internet, nó tương đối an toàn. Tuy nhiên, sau khi bạn tương tác với các dApp khác và liên kết thường xuyên, chỉ số bảo mật của bạn sẽ tiếp tục giảm trong quá trình này.

Trao đổi:

Tiền mã hóa tương đối an toàn hơn trong các sàn giao dịch so với ví nóng. Không có điểm lỗi duy nhất nào trong các sàn giao dịch. Bạn sẽ không mất tài sản khi giao dịch, mua, bán hoặc chuyển nhượng. Và lợi thế mà các sàn giao dịch có thể cung cấp là khả năng bù đắp. Ngay cả khi bạn mất tiền trong sàn giao dịch, sàn giao dịch vẫn có thể bù đắp cho bạn.

Người điều hành JY: Ví dụ, ví của tôi có nhiều tương tác và ủy quyền. Khi tôi hoàn tất việc bán NFT, tôi có thể hủy ủy quyền trước đó không?

Cavin: Đúng vậy. Nếu bạn không có thói quen kiểm tra thường xuyên xem hợp đồng ủy quyền đã bị hủy hay chưa, rủi ro sẽ tăng dần.

3. Tại sao ví lạnh vẫn có nguy cơ bị hack? Các cuộc tấn công này xảy ra như thế nào?

Người dẫn chương trình JY:

Tôi hiểu rồi. Tôi có một người bạn đã mất 1,26 triệu USDT khi anh ấy giao dịch tiền từ OKX sang ví OKX. Nhân viên nói rằng số tiền có thể bị đóng băng trong hai giờ, nhưng sau đó anh ấy lại nói rằng tiền của anh ấy trước đây đã ở trong ví lạnh. Tại sao vẫn có nguy cơ ví lạnh bị hack? Những cuộc tấn công này xảy ra như thế nào?

Cavin:

Tôi nghĩ điều này không liên quan gì đến ví lạnh và có thể có vấn đề trong quá trình chuyển tiền. Ví phần cứng thường đảm bảo an ninh bằng cách lưu trữ khóa riêng hoặc mã ghi nhớ trong chip. Tuy nhiên, khi sử dụng ví phần cứng, bạn cần phải kết nối Internet và khóa riêng được lưu trữ trong bộ nhớ đệm của trình duyệt hoặc tệp dữ liệu, do đó chúng dễ bị tin tặc tấn công.

Ví phần cứng phải được sử dụng cùng với ví phần mềm. Quá trình ký được hoàn tất trên ví phần cứng và khóa riêng của bạn sẽ không bao giờ chạm vào Internet.

Trên thực tế, quá trình này được chuyển đến thiết bị vật lý. Nó thực sự có một con chip bảo mật (Secure). Chữ ký được hoàn thành bằng cách sử dụng khóa riêng trong chip. Sau khi ký, nó sẽ chuyển chữ ký đến ví phần mềm. Sau khi ví phần mềm có được ví, nó sẽ gửi giao dịch đến chuỗi. Vì vậy, quá trình ký được hoàn thành trên ví phần cứng mà không cần bạn kết nối với Internet.

Nếu ví phần cứng bị mất, bạn chỉ cần nhập cụm từ ghi nhớ vào ví phần cứng mới. Tuy nhiên, có nguy cơ bị tấn công kỹ thuật xã hội và tin tặc có thể lấy được mã mở khóa ví để đánh cắp tài sản.

Nguyên tắc thiết kế của ví phần cứng là thêm xác nhận thứ hai trong quá trình ký giao dịch để tăng tính bảo mật. Các cuộc tấn công chuỗi cung ứng và tấn công nội bộ cũng là rủi ro, vì vậy nên mua ví phần cứng nguồn mở. Với tiền đề đảm bảo rằng ví phần cứng không bị can thiệp, ngay cả khi ví phần cứng bị mất, tài sản vẫn an toàn.

Người dẫn chương trình JY:

Mặc dù ví phần cứng yêu cầu chữ ký trực tuyến, nhưng chúng không an toàn 100%. Làm thế nào chúng ta có thể tránh những tình huống như vậy càng nhiều càng tốt? Có phương pháp nhận dạng nào khác không?

Cavin:

Các sản phẩm OneKey đã đạt chứng nhận EAL 6+ và có tính bảo mật cao. Tin tặc khó có thể xuất khóa riêng từ ví phần cứng và bẻ khóa bằng cách dùng vũ lực là cực kỳ khó. Ví phần mềm dễ bị tấn công mạng và ví phần cứng có thể cô lập quá trình này.

Neo:

Bảo mật là tương đối và có vấn đề với hệ thống khóa riêng. Hãy thận trọng khi quản lý tài sản và không dựa vào một thiết bị duy nhất để lưu trữ tất cả tài sản của bạn. Hãy sao lưu và không tin tưởng bất kỳ thiết bị nào có vẻ an toàn. Chúng tôi sẽ đề xuất các giải pháp về cách quản lý tài sản tốt hơn.

4. Những người nào là mục tiêu của tin tặc? Những điều kiện nào phải được đáp ứng?

Host JY: Những người nào là mục tiêu của hacker? Phải đáp ứng những điều kiện gì?

Cavin:

Từ các trường hợp của 1.155 WBTC, chúng tôi suy đoán rằng tin tặc đã thực hiện va chạm băm và mô phỏng địa chỉ trước khi phát động cuộc tấn công, tung ra một mạng lưới rộng, có thể bao phủ hàng chục nghìn địa chỉ. Các hành động thường xuyên của tin tặc có thể được tìm thấy thông qua hồ sơ cuộc họp giao dịch. Người dùng cần thực hiện các biện pháp bảo vệ, bao gồm quản lý quỹ, cô lập ví trong các tình huống khác nhau, thường xuyên kiểm tra quyền hạn địa chỉ và phát triển thói quen giao dịch chuyển tiền tốt.

Neo:

Tin tặc có thể đánh cắp tài sản một cách bừa bãi bằng cách đặt các liên kết lừa đảo, bao gồm các phương pháp ủy quyền, phương pháp chuyển tiền giả và đánh cắp khóa riêng tư.

Tin tặc cũng có thể nhắm vào cá nhân. Khi chúng phát hiện có nhiều tiền trên chuỗi, chúng sẽ tấn công và gửi cho bạn một số liên kết thông qua tin nhắn xã hội. Hoặc chúng có thể yêu cầu bạn mua USDT, gửi email cho bạn, mạo danh đồng nghiệp và đánh cắp theo nhiều cách khác. Vì vậy, hãy cẩn thận đừng tin tưởng bất kỳ ai và nhấp vào các liên kết lạ.

Đối với phía dự án, tin tặc có thể nhắm vào địa chỉ hợp đồng để tìm lỗ hổng và tấn công. Phía dự án cần phải thực hiện tốt việc kiểm toán và xác minh tài sản của người dùng. Ngoài ra, tin tặc có thể tấn công nhân viên dịch vụ khách hàng của phía dự án, xâm nhập máy tính bằng cách thêm bạn bè, gửi tin nhắn, v.v., lấy thông tin mạng nội bộ và đánh cắp tài sản. Tin tặc có nhiều khả năng xâm nhập có tổ chức và có chủ đích vào các doanh nghiệp và người dùng có tài sản lớn. Đội ngũ cần được đào tạo và thiết lập các biện pháp phòng ngừa hiệu quả.

Người dùng A đã hỏi một câu hỏi

Làm thế nào để xác định và ngăn chặn tấn công lừa đảo và liên kết?

Neo:

Đầu tiên, cho dù trên điện thoại di động hay PC, khi bạn không chắc chắn liệu liên kết có hợp lệ hay không, bạn có thể sử dụng chế độ riêng tư hoặc chế độ ẩn danh của Google Chrome để mở liên kết.

Thứ hai, khi bạn cần cài đặt phần mềm trên máy tính, tôi khuyên bạn nên sử dụng một bộ sưu tập như CMC. Bạn có thể sử dụng chế độ riêng tư để truy cập vào các dự án Twitter hoặc trang web công khai của nền tảng tổng hợp. Thứ hai, sử dụng liên kết ví rỗng. Sử dụng mắt thường để xác định địa chỉ chính thức. Nhìn chung, tên miền chính thức không quá phức tạp.

Cavin:

Đã thêm: Bạn cũng có thể cài đặt một số plugin bảo mật. Thứ hai, không nên tìm kiếm trang web dự án từ Google.

Người dùng B đặt một câu hỏi

Có an toàn khi giữ tài sản tiền điện tử hoặc giao dịch sản phẩm trên sàn giao dịch không?

Neo:

Bất kỳ sàn giao dịch nào cũng tương đối an toàn. Tùy thuộc vào sàn giao dịch mà bạn đặt vào. Một số sàn giao dịch có khả năng bồi thường nhất định. Ngay cả khi bạn mất một lượng tài sản nhỏ, họ vẫn có thể bồi thường cho bạn, chẳng hạn như Binance. Tuy nhiên, tài sản trong hợp đồng có thể biến mất; vị trí có thể ổn. Cần lưu ý rằng việc các sàn giao dịch nhỏ chạy trốn là bình thường và các sàn giao dịch nhỏ có thể không chịu được các cuộc tấn công của tin tặc và có thể bị đánh cắp. Nên đặt nó vào một sàn giao dịch chính thống có khả năng bồi thường.

5. Hiện nay, PoPP đã thu hút được nhiều người dùng. Nó đảm bảo an ninh tài sản như thế nào?

Host JY: Hiện nay PoPP đã thu hút được rất nhiều người dùng, nó đảm bảo an toàn tài sản như thế nào?

Neo:

Chúng tôi đặt an ninh tài sản lên hàng đầu. Sau đây là một số biện pháp chính mà chúng tôi đã thực hiện:

Đầu tiên là quản lý bảo mật toàn bộ hệ thống tài khoản:

Hiện tại chúng tôi đang sử dụng phương pháp MPC để quản lý hệ thống tài khoản và trong phiên bản 2.0, tức là Q2 và Q3, chúng tôi sẽ cập nhật lại. Cá nhân tôi nghĩ rằng có một số vấn đề nhất định khi sử dụng tài khoản EOA làm phương pháp quản lý tài sản, vì vậy cách an toàn hơn là tận dụng tối đa tài khoản EUA và tài khoản hợp đồng thông minh và chỉ sử dụng khóa riêng cho mục đích ký. Ngoài ra, đây là cách hợp lý hơn để tách biệt tài sản và hoạt động. Ví phần cứng và ví phần mềm có thể cải thiện tính bảo mật của khóa riêng. Đây là cách an toàn hơn để đưa tính bảo mật của tiền vào hợp đồng thông minh. Trong hệ thống tài khoản, chúng tôi sẽ sử dụng giải pháp MPC để chia khóa riêng thành ba phần để tăng tính bảo mật. (Ví dụ: nếu khóa riêng của bạn bị rò rỉ hoặc khóa riêng của nền tảng bị rò rỉ, bạn sẽ không thể hoàn tất quy trình ký. Vì một phần khác được cung cấp cho cơ quan an ninh.)

Tài khoản hợp đồng thông minh được chia thành tài khoản xã hội và tài khoản ảo. Tài khoản xã hội sử dụng giao thức ERC-6551 để lưu trữ tài sản xã hội và có thể thực hiện nhiều chữ ký và xác minh trong quá trình tương tác. (Khi bạn đang giao dịch, nếu khóa riêng bị rò rỉ, bạn có thể thay đổi khóa riêng mà không mất toàn bộ tài sản.) Một tài khoản ảo ERC-4337 phổ biến khác. Mặc dù hiện tại không có nhiều kịch bản sử dụng, nhưng tài khoản ảo là xu hướng phát triển tiềm năng sẽ dần dần khiến hệ thống tài khoản trở nên thông minh. Hiện tại, chúng tôi chủ yếu sử dụng ERC-6551 để hỗ trợ hợp đồng thông minh cho tài khoản xã hội của bạn.

Thứ hai là tính bảo mật của quá trình tương tác:

Chúng tôi nhận thấy rằng có nhiều tổn thất tài sản hơn xảy ra ở lớp tương tác, vì vậy trong PoPP 2.0, chúng tôi sẽ phát hành một plug-in xã hội có thể truy cập thông tin bên tham gia dự án. Khi tương tác, plug-in xã hội của chúng tôi sẽ xác định các dự án cần được đưa vào danh sách trắng để tính phí ủy quyền và đưa ra lời nhắc cảnh báo sớm. Ngoài ra, thông qua DEID và plug-in tích hợp, chúng tôi cung cấp một lớp cô lập trong quy trình tương tác để bảo vệ tài sản của người dùng và bảo mật danh tính xã hội.

Cuối cùng, nguồn thông tin AI của chúng tôi: PoPP sẽ hợp tác với các bên dự án bảo mật và các bên dữ liệu để tiết lộ thông tin danh sách trắng và danh sách đen để giúp người dùng có được thông tin bảo mật. Thông qua ba cấp độ này, chúng tôi cam kết đảm bảo an toàn cho tài sản và trải nghiệm xã hội của người dùng. Cảm ơn bạn đã lắng nghe.

Bài viết này có nguồn từ internet: Các vụ trộm tiền xu xảy ra thường xuyên. Chúng ta cần biết gì về việc bảo vệ tài sản tiền điện tử?

Có liên quan: Hướng dẫn sử dụng Pump PVP: Lưỡi hái và Leek thúc đẩy sự tiến hóa lẫn nhau

Bản gốc | Tác giả Odaily Planet Daily | Nanzhi Trước khi Pump.fun trở nên phổ biến, các nhà đầu tư Solana Meme chủ yếu là 10u War Gods vì lý do bảo mật để ngăn chặn các hoạt động Rug như DEV loại bỏ thanh khoản. Vào tháng 3, chịu ảnh hưởng của BOME và SLERF, các nhóm token Meme siêu lớn bắt đầu trở nên phổ biến trên Solana, nhưng nó cũng đạt đến điểm đóng băng một lần nữa do các yếu tố như sự suy thoái chung của thị trường và số lượng các sự cố mất kiểm soát ngày càng tăng. Kể từ đó, Pump đã tiếp quản - các phương pháp mở thuận tiện và xác nhận token an toàn đã khiến token Meme trở nên phổ biến trở lại trên Solana. Chịu ảnh hưởng của cuộc tấn công, Pump.fun đã tung ra sự kiện không mất phí trong 7 ngày. Số lượng token mới trên Solana tiếp tục lập mức cao lịch sử mới, với hơn 20.000 token mới được thêm vào mỗi ngày. Tuy nhiên,…