Cẩm nang tự bảo vệ rừng tối Blockchain
(nguồn:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)
Lời mở đầu
Trước hết, xin chúc mừng bạn đã tìm thấy cuốn sổ tay này! Bất kể bạn là ai – nếu bạn là người nắm giữ tiền điện tử hoặc muốn nhảy vào thế giới tiền điện tử trong tương lai, cuốn sổ tay này sẽ giúp bạn rất nhiều. Bạn nên đọc kỹ cuốn sổ tay này và áp dụng những lời dạy trong đó vào đời sống thực tế.
Ngoài ra, để hiểu đầy đủ cuốn sổ tay này cần có một số kiến thức nền tảng. Tuy nhiên, xin đừng lo lắng. Còn với những người mới bắt đầu, đừng ngại những rào cản kiến thức có thể vượt qua. Nếu bạn gặp phải điều gì đó mà bạn không hiểu và cần khám phá thêm, Google rất khuyến khích. Ngoài ra, điều quan trọng là phải ghi nhớ một quy tắc bảo mật: Hãy hoài nghi! Bất kể bạn thấy thông tin gì trên web, bạn phải luôn tìm kiếm ít nhất hai nguồn để tham khảo chéo.
Một lần nữa, hãy luôn hoài nghi 🙂 kể cả những kiến thức được đề cập trong cuốn sổ tay này.
Blockchain là một phát minh vĩ đại mang lại sự thay đổi trong quan hệ sản xuất và giải quyết vấn đề về niềm tin ở một mức độ nào đó. Cụ thể, blockchain tạo ra nhiều kịch bản “tin cậy” mà không cần đến sự tập trung hóa và bên thứ ba, chẳng hạn như tính bất biến, thực thi theo thỏa thuận và ngăn chặn sự thoái thác. Tuy nhiên, sự thật là tàn khốc. Có rất nhiều hiểu lầm về blockchain và kẻ xấu sẽ lợi dụng những hiểu lầm này để lợi dụng sơ hở và trộm tiền của người dân, gây ra rất nhiều tổn thất về tài chính. Ngày nay, thế giới tiền điện tử đã trở thành một khu rừng tối tăm.
Hãy nhớ hai quy tắc bảo mật sau đây để tồn tại trong khu rừng tối blockchain.
- Không tin tưởng: Nói một cách đơn giản, hãy luôn hoài nghi và luôn như vậy.
- Xác thực bảo mật liên tục: Để tin tưởng điều gì đó, bạn phải xác thực những gì bạn nghi ngờ và biến việc xác thực đó thành thói quen.
Lưu ý: Hai quy tắc bảo mật nêu trên là nguyên tắc cốt lõi của sổ tay này và tất cả các nguyên tắc bảo mật khác được đề cập trong sổ tay này đều bắt nguồn từ chúng.
Được rồi, đó là tất cả phần giới thiệu của chúng tôi. Hãy bắt đầu bằng một sơ đồ và khám phá khu rừng tối tăm này để xem chúng ta sẽ gặp phải những rủi ro gì và nên giải quyết chúng như thế nào.
Một biểu đồ
Bạn có thể lướt qua sơ đồ này trước khi xem kỹ hơn phần còn lại của cuốn sổ tay. Đó là tất cả về các hoạt động chính trên thế giới này (bạn muốn gọi nó là gì: blockchain, tiền điện tử hoặc Web3), bao gồm ba quy trình chính: tạo ví, sao lưu ví và sử dụng ví.
Hãy theo dõi ba quy trình này và phân tích từng quy trình.
Tạo ví
Cốt lõi của ví là khóa riêng (hoặc cụm từ hạt giống).
Đây là cách khóa riêng trông như thế nào:
0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584
Ngoài ra, đây là cách cụm từ hạt giống trông như thế nào:
điểm cuối tuần độc ác vô tội chóng mặt người ngoài hành tinh sử dụng gợi lên nhà kho điều chỉnh sai
Lưu ý: Chúng tôi đang sử dụng Ethereum làm ví dụ ở đây. Vui lòng tự mình kiểm tra thêm chi tiết về khóa riêng/cụm từ hạt giống.
Khóa riêng là danh tính của bạn. Nếu khóa riêng bị mất/bị đánh cắp thì bạn đã mất danh tính. Có rất nhiều ứng dụng ví nổi tiếng và cuốn sổ tay này sẽ không đề cập đến tất cả chúng.
Tuy nhiên, tôi sẽ đề cập đến một số ví cụ thể. Xin lưu ý, các ví được đề cập ở đây có thể đáng tin cậy ở một mức độ nào đó. Nhưng tôi không thể đảm bảo rằng chúng sẽ không gặp vấn đề hoặc rủi ro bảo mật, dù dự kiến hay không, trong quá trình sử dụng (Tôi sẽ không nhắc lại thêm. Hãy luôn ghi nhớ hai quy tắc bảo mật chính được đề cập trong phần mở đầu)
Được phân loại theo ứng dụng, có ví PC, ví mở rộng trình duyệt, ví di động, ví phần cứng và ví web. Về kết nối internet, chúng có thể được chia chủ yếu thành ví lạnh và ví nóng. Trước khi bước vào thế giới tiền điện tử, trước tiên chúng ta phải nghĩ về mục đích của ví. Mục đích không chỉ xác định chúng ta nên sử dụng ví nào mà còn xác định cách chúng ta sử dụng ví.
Dù bạn chọn loại ví nào thì chắc chắn một điều: sau khi bạn đã có đủ kinh nghiệm trên thế giới này thì một chiếc ví là không đủ.
Ở đây chúng ta nên ghi nhớ một nguyên tắc bảo mật khác: sự cô lập, tức là không bỏ tất cả trứng vào một giỏ. Ví càng được sử dụng thường xuyên thì càng có nhiều rủi ro. Hãy luôn nhớ: khi thử bất cứ điều gì mới, trước tiên hãy chuẩn bị một chiếc ví riêng và dùng thử một lúc với số tiền nhỏ. Ngay cả đối với một người kỳ cựu về tiền điện tử như tôi, nếu đùa với lửa, bạn sẽ dễ bị bỏng hơn.
Tải xuống
Điều này nghe có vẻ đơn giản nhưng thực tế lại không hề dễ dàng. Những lý do như sau:
- Nhiều người không thể tìm thấy trang web chính thức thực sự hoặc thị trường ứng dụng phù hợp và cuối cùng cài đặt ví giả.
- Nhiều người không biết cách nhận biết ứng dụng tải về có bị giả mạo hay không.
Vì vậy, đối với nhiều người, trước khi bước vào thế giới blockchain, ví của họ đã trống rỗng.
Để giải quyết vấn đề đầu tiên ở trên, có một số kỹ thuật để tìm đúng trang web chính thức, chẳng hạn như
- sử dụng Google
- sử dụng các trang web chính thức nổi tiếng, chẳng hạn như CoinMarketCap
- hỏi những người đáng tin cậy và bạn bè
Bạn có thể tham khảo chéo thông tin thu được từ các nguồn khác nhau này và cuối cùng chỉ có một sự thật duy nhất :) Xin chúc mừng, bạn đã tìm thấy đúng trang web chính thức.
Tiếp theo, bạn phải tải xuống và cài đặt ứng dụng. Nếu là ví PC, sau khi tải xuống từ trang web chính thức, bạn cần phải tự cài đặt. Bạn nên xác minh xem liên kết có bị giả mạo hay không trước khi cài đặt. Mặc dù việc xác minh này có thể không ngăn chặn được các trường hợp mã nguồn bị thay đổi hoàn toàn (do lừa đảo nội bộ, bị hack nội bộ hoặc trang web chính thức có thể bị hack, v.v.) Tuy nhiên, nó có thể ngăn ngừa các trường hợp như giả mạo một phần mã nguồn, tấn công trung gian, v.v.
Phương pháp để xác minh xem một tập tin có bị giả mạo hay không là kiểm tra tính nhất quán của tập tin. Thông thường có hai cách:
- Kiểm tra băm: chẳng hạn như MD5, SHA256, v.v. MD5 hoạt động trong hầu hết các trường hợp, nhưng vẫn có một chút nguy cơ xung đột băm, vì vậy chúng tôi thường chọn SHA256, đủ an toàn.
- Xác minh chữ ký GPG: phương pháp này cũng rất phổ biến. Bạn nên thành thạo các công cụ, lệnh và phương thức GPG. Mặc dù phương pháp này hơi khó đối với người mới nhưng bạn sẽ thấy nó rất hữu ích khi đã quen với nó.
Tuy nhiên, không có nhiều dự án trong thế giới tiền điện tử cung cấp khả năng xác minh. Vì vậy, thật may mắn khi tìm thấy một. Ví dụ: đây là ví bitcoin có tên Sparrow Wallet. Trang tải xuống của nó có nội dung “Xác minh bản phát hành”, điều này thực sự ấn tượng và có hướng dẫn rõ ràng cho cả hai phương pháp nêu trên, vì vậy bạn có thể sử dụng để tham khảo:
Trang tải xuống đề cập đến hai công cụ GPG:
- GPG Suite, dành cho MacOS.
- Gpg4win, dành cho Windows.
Nếu để ý, bạn sẽ thấy các trang tải xuống của cả hai công cụ GPG đều đưa ra một số hướng dẫn về cách kiểm tra tính nhất quán của cả hai phương pháp. Tuy nhiên không có hướng dẫn từng bước, tức là bạn phải tự học và thực hành :)
Nếu đó là ví mở rộng trình duyệt, chẳng hạn như MetaMask, điều duy nhất bạn phải chú ý là số lượt tải xuống và xếp hạng trong cửa hàng Chrome trực tuyến. Ví dụ: MetaMask có hơn 10 triệu lượt tải xuống và hơn 2.000 xếp hạng (mặc dù xếp hạng tổng thể không cao). Một số người có thể nghĩ rằng số lượt tải xuống và xếp hạng có thể bị thổi phồng. Thực sự mà nói, rất khó để làm giả một con số lớn như vậy.
Ví di động tương tự như ví mở rộng trình duyệt. Tuy nhiên, cần lưu ý rằng App Store có các phiên bản khác nhau cho từng khu vực. Tiền điện tử bị cấm ở Trung Quốc đại lục, vì vậy nếu bạn đã tải xuống ví bằng tài khoản App Store Trung Quốc của mình, chỉ có một đề xuất duy nhất: không sử dụng nó, hãy đổi nó sang tài khoản khác ở khu vực khác như Hoa Kỳ rồi tải xuống lại Nó. Ngoài ra, việc truy cập đúng trang web chính thức cũng sẽ dẫn bạn đến phương thức tải xuống chính xác (chẳng hạn như imToken, Trust Wallet, v.v. Điều quan trọng là các trang web chính thức phải duy trì tính bảo mật cao cho trang web. Nếu trang web chính thức bị hack sẽ gặp vấn đề lớn. ).
Nếu đó là ví phần cứng, chúng tôi khuyên bạn nên mua nó từ trang web chính thức. Đừng mua chúng từ các cửa hàng trực tuyến. Khi nhận được ví, bạn cũng nên chú ý xem ví có còn nguyên vẹn hay không. Tất nhiên, có một số hành vi tai quái trên bao bì rất khó phát hiện. Trong mọi trường hợp, khi sử dụng ví phần cứng, bạn nên tạo cụm từ hạt giống và địa chỉ ví ít nhất ba lần từ đầu. Và hãy chắc chắn rằng chúng không lặp lại.
Nếu đó là ví web, chúng tôi thực sự khuyên bạn không nên sử dụng nó. Trừ khi bạn không có lựa chọn nào khác, hãy đảm bảo rằng nó là hàng thật rồi sử dụng một cách tiết kiệm và không bao giờ dựa vào nó.
Cụm từ ghi nhớ
Sau khi tạo ví, điều quan trọng mà chúng ta xử lý trực tiếp là cụm từ ghi nhớ/cụm từ hạt giống chứ không phải khóa riêng, dễ nhớ hơn. Có những quy ước tiêu chuẩn cho các cụm từ ghi nhớ (ví dụ: BIP39); có 12 từ tiếng Anh nói chung; nó có thể là các số khác (bội số của 3), nhưng không quá 24 từ. Nếu không thì nó quá phức tạp và không dễ nhớ. Nếu số lượng từ ít hơn 12 thì độ bảo mật không đáng tin cậy. Người ta thường thấy 15/12/18/21/24 từ. Trong thế giới blockchain, 12 từ là đủ phổ biến và an toàn. Tuy nhiên, vẫn có những ví phần cứng cứng như Ledger bắt đầu bằng 24 từ. Ngoài các từ tiếng Anh, một số ngôn ngữ khác cũng có sẵn như tiếng Trung, tiếng Nhật, tiếng Hàn, v.v. Dưới đây là danh sách 2048 từ để tham khảo:
https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md
Khi tạo ví, cụm từ hạt giống của bạn dễ bị tấn công. Xin lưu ý rằng xung quanh bạn không có người, webcam hay bất kỳ thứ gì khác có thể đánh cắp cụm từ hạt giống của bạn.
Ngoài ra, hãy chú ý xem cụm từ hạt giống có được tạo ngẫu nhiên hay không. Thông thường các ví nổi tiếng có thể tạo ra đủ số lượng cụm từ hạt giống ngẫu nhiên. Tuy nhiên, bạn nên luôn luôn cẩn thận. Thật khó để biết liệu có vấn đề gì với chiếc ví hay không. Hãy kiên nhẫn vì việc phát triển những thói quen này có thể rất có lợi cho sự an toàn của bạn. Cuối cùng, đôi khi bạn thậm chí có thể cân nhắc việc ngắt kết nối Internet để tạo ví, đặc biệt nếu bạn định sử dụng ví đó làm ví lạnh. Ngắt kết nối Internet luôn hoạt động.
Không cần chìa khóa
Keyless có nghĩa là không có khóa riêng. Ở đây chúng tôi chia Keyless thành hai kịch bản chính (để dễ giải thích. Cách phân chia như vậy không phải là tiêu chuẩn ngành)
- quyền giám hộ. Ví dụ như trao đổi tập trung và ví, nơi người dùng chỉ cần đăng ký tài khoản và không sở hữu khóa riêng. Bảo mật của họ hoàn toàn phụ thuộc vào các nền tảng tập trung này.
- Không giam giữ. Người dùng có quyền kiểm soát giống như khóa riêng, không phải là khóa riêng thực tế (hoặc cụm từ hạt giống). Nó dựa trên các nền tảng Đám mây nổi tiếng để lưu trữ và xác thực/ủy quyền. Do đó, tính bảo mật của nền tảng Đám mây trở thành phần dễ bị tổn thương nhất. Những người khác sử dụng điện toán đa bên (MPC) an toàn để loại bỏ một điểm rủi ro duy nhất và cũng hợp tác với các nền tảng Đám mây phổ biến để tối đa hóa trải nghiệm người dùng.
Cá nhân tôi đã sử dụng nhiều loại công cụ Keyless khác nhau. Trao đổi tập trung với túi tiền sâu và danh tiếng tốt mang lại trải nghiệm tốt nhất. Miễn là bạn không phải chịu trách nhiệm cá nhân về việc mất token (chẳng hạn như nếu thông tin tài khoản của bạn bị hack), các sàn giao dịch tập trung thường sẽ hoàn trả khoản lỗ cho bạn. Chương trình Keyless dựa trên MPC có vẻ rất hứa hẹn và cần được quảng bá . Tôi có kinh nghiệm tốt với ZenGo, Fireblocks và Safeheron. Những lợi thế là rõ ràng:
- Kỹ thuật thuật toán MPC ngày càng trở nên hoàn thiện hơn trên các chuỗi khối nổi tiếng và chỉ cần được thực hiện đối với các khóa riêng tư.
- Một tập hợp ý tưởng có thể giải quyết vấn đề các chuỗi khối khác nhau có sơ đồ đa chữ ký rất khác nhau, tạo ra trải nghiệm người dùng nhất quán, đó là điều chúng ta thường gọi: đa chữ ký phổ quát.
- Nó có thể đảm bảo rằng khóa riêng thực sự không bao giờ xuất hiện và giải quyết điểm rủi ro duy nhất thông qua tính toán đa chữ ký.
- Kết hợp với Cloud (hoặc công nghệ Web2.0) giúp MPC không chỉ bảo mật mà còn tạo ra trải nghiệm tốt.
Tuy nhiên, vẫn còn một số nhược điểm:
- Không phải tất cả các dự án nguồn mở đều có thể đáp ứng các tiêu chuẩn được ngành chấp nhận. Cần phải làm nhiều việc hơn nữa.
- Về cơ bản, nhiều người chỉ sử dụng Ethereum (hoặc blockchain dựa trên EVM). Như vậy, một giải pháp đa chữ ký dựa trên cách tiếp cận hợp đồng thông minh như Gnosis Safe là đủ.
Nhìn chung, dù bạn sử dụng công cụ nào, miễn là bạn cảm thấy an toàn, dễ kiểm soát và có trải nghiệm tốt thì đó là một công cụ tốt.
Cho đến nay chúng ta đã đề cập đến những điều chúng ta cần biết về việc tạo ví. Các vấn đề bảo mật chung khác sẽ được đề cập trong các phần sau.
Sao lưu ví của bạn
Đây là nơi mà nhiều bàn tay tốt sẽ rơi vào bẫy, trong đó có cả tôi. Tôi đã không sao lưu đúng cách và tôi biết điều đó sớm hay muộn sẽ xảy ra. May mắn thay, đó không phải là chiếc ví có số lượng tài sản lớn và bạn bè tại SlowMist đã giúp tôi lấy lại nó. Tuy nhiên, đó là một trải nghiệm đáng sợ mà tôi không nghĩ có ai muốn trải qua. Vì vậy, hãy thắt dây an toàn và tìm hiểu cách sao lưu ví của bạn một cách an toàn.
Cụm từ ghi nhớ/Khóa riêng
Khi nói về việc sao lưu ví, về cơ bản chúng ta đang nói về việc sao lưu cụm từ ghi nhớ (hoặc khóa riêng. Để thuận tiện, chúng tôi sẽ sử dụng cụm từ ghi nhớ sau đây). Hầu hết các cụm từ ghi nhớ có thể được phân loại như sau:
- Văn bản thô
- Với mật khẩu
- Đa chữ ký
- Chia sẻ bí mật của Shamir, hay gọi tắt là SSS
Tôi sẽ giải thích ngắn gọn từng loại.
Văn bản thô, Văn bản thuần túy rất dễ hiểu. Khi bạn có 12 từ tiếng Anh đó, bạn sở hữu tài sản trong ví. Bạn có thể cân nhắc thực hiện một số thao tác xáo trộn đặc biệt hoặc thậm chí thay thế một trong các từ bằng một từ khác. Cả hai đều sẽ làm tăng độ khó cho tin tặc xâm nhập vào ví của bạn, tuy nhiên, bạn sẽ phải đau đầu nếu quên quy tắc. Trí nhớ của bạn không chống đạn được. Tin tôi đi, trí nhớ của bạn sẽ rối tung sau vài năm. Cách đây vài năm, khi sử dụng ví phần cứng Ledger, tôi đã thay đổi thứ tự của cụm từ ghi nhớ 24 từ. Sau một vài năm, tôi quên thứ tự đó và không chắc mình đã thay thế từ nào. Như đã đề cập trước đó, vấn đề của tôi đã được giải quyết bằng một chương trình phá mã đặc biệt sử dụng vũ lực để đoán đúng trình tự và từ.
Với mật khẩu, Theo tiêu chuẩn, các cụm từ ghi nhớ có thể có mật khẩu. Vẫn là cụm từ đó nhưng với mật khẩu, bạn sẽ nhận được một cụm từ hạt giống khác. Cụm từ hạt giống được sử dụng để lấy ra một loạt khóa riêng, khóa chung và địa chỉ tương ứng. Vì vậy, bạn không chỉ nên sao lưu các cụm từ ghi nhớ mà còn cả mật khẩu. Nhân tiện, khóa riêng cũng có thể có mật khẩu và nó có tiêu chuẩn riêng, chẳng hạn như BIP 38 cho bitcoin và Keystore cho ethereum.
Đa chữ kýĐúng như tên gọi, nó yêu cầu chữ ký của nhiều người để truy cập vào ví. Nó rất linh hoạt vì bạn có thể đặt ra các quy tắc của riêng mình. Ví dụ: nếu có 3 người có khóa (từ ghi nhớ hoặc khóa riêng), bạn có thể yêu cầu ít nhất hai người ký để truy cập vào ví. Mỗi blockchain có giải pháp đa chữ ký riêng. Hầu hết các ví Bitcoin nổi tiếng đều hỗ trợ đa chữ ký. Tuy nhiên, trong Ethereum, đa chữ ký chủ yếu được hỗ trợ thông qua các hợp đồng thông minh, chẳng hạn như Gnosis Safe. Hơn nữa, MPC, hay Tính toán nhiều bên an toàn đang ngày càng trở nên phổ biến.. Nó cung cấp trải nghiệm tương tự như đa chữ ký truyền thống, nhưng với công nghệ khác. Không giống như đa chữ ký, MPC là blockchain bất khả tri và có thể hoạt động với tất cả các giao thức.
SSS, Chia sẻ bí mật của Shamir, SSS chia hạt giống thành nhiều lượt chia sẻ (thông thường, mỗi lượt chia sẻ chứa 20 từ). Để lấy lại ví, một số lượng cổ phiếu nhất định phải được thu thập và sử dụng. Để biết chi tiết, hãy tham khảo các phương pháp hay nhất trong ngành dưới đây:
https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup
Việc sử dụng các giải pháp như đa chữ ký và SSS sẽ giúp bạn yên tâm và tránh được những rủi ro tập trung, nhưng có thể khiến việc quản lý tương đối phức tạp và đôi khi sẽ có nhiều bên tham gia. Luôn có sự dung hòa giữa sự thuận tiện và an ninh. Tùy mỗi cá nhân quyết định nhưng đừng bao giờ lười biếng về nguyên tắc.
Mã hóa
Mã hóa là một khái niệm rất, rất rộng. Không thành vấn đề nếu mã hóa đối xứng, bất đối xứng hoặc sử dụng các công nghệ tiên tiến khác; miễn là bạn hoặc nhóm xử lý trường hợp khẩn cấp của bạn có thể dễ dàng giải mã một tin nhắn được mã hóa một cách dễ dàng chứ không ai khác sau nhiều thập kỷ thì đó là mã hóa tốt.
Dựa trên nguyên tắc bảo mật “không tin cậy”, khi sao lưu ví, chúng tôi phải giả định rằng bất kỳ bước nào cũng có thể bị hack, bao gồm cả môi trường vật lý như két an toàn. Hãy nhớ rằng không có ai ngoài chính bạn có thể được tin cậy hoàn toàn. Trên thực tế, đôi khi bạn thậm chí không thể tin tưởng vào chính mình vì ký ức của bạn có thể mờ dần hoặc thất lạc. Tuy nhiên, tôi sẽ không lúc nào cũng đưa ra những giả định bi quan, nếu không nó sẽ dẫn tôi đến một số kết quả không mong muốn.
Khi sao lưu, phải đặc biệt chú ý đến việc khắc phục thảm họa. Mục đích chính của việc khắc phục thảm họa là tránh một điểm rủi ro duy nhất. Điều gì sẽ xảy ra nếu bạn đi vắng hoặc môi trường nơi bạn lưu trữ bản sao lưu bị hỏng? Vì vậy, đối với những việc quan trọng phải có người khắc phục sự cố và phải có nhiều người dự phòng.
Tôi sẽ không giải thích quá nhiều về cách chọn người khắc phục thảm họa vì điều đó phụ thuộc vào việc bạn tin tưởng vào ai. Tôi sẽ tập trung vào cách thực hiện nhiều bản sao lưu. Chúng ta hãy xem xét một số dạng vị trí dự phòng cơ bản:
- Đám mây
- Giấy
- Thiết bị
- Não
Đám mâyNhiều người không tin tưởng việc sao lưu trên Cloud, họ cho rằng nó dễ bị hacker tấn công. Cuối cùng, vấn đề là bên nào - bên tấn công hay bên phòng thủ - nỗ lực nhiều hơn, cả về nhân lực và ngân sách. Cá nhân tôi có niềm tin vào các dịch vụ đám mây do Google, Apple, Microsoft, v.v. cung cấp, vì tôi biết đội ngũ bảo mật của họ mạnh đến mức nào và họ đã chi bao nhiêu cho bảo mật. Ngoài việc chống lại các hacker bên ngoài, tôi còn quan tâm rất nhiều đến việc kiểm soát rủi ro bảo mật nội bộ và bảo vệ dữ liệu riêng tư. Một số nhà cung cấp dịch vụ mà tôi tin tưởng đang hoạt động tương đối tốt hơn trong các lĩnh vực này. Nhưng không có gì là tuyệt đối. Nếu tôi chọn bất kỳ dịch vụ đám mây nào trong số này để sao lưu dữ liệu quan trọng (chẳng hạn như ví), tôi chắc chắn sẽ mã hóa ví ít nhất một lần nữa.
Tôi thực sự khuyên bạn nên thành thạo GPG. Nó có thể được sử dụng để “xác minh chữ ký” và cung cấp tính bảo mật mạnh mẽ về mã hóa và giải mã trong thời gian chờ đợi. Bạn có thể tìm hiểu thêm về GPG tại:
Được rồi, bạn đã thành thạo GPG 🙂 Bây giờ bạn đã mã hóa dữ liệu liên quan trong ví của mình (cụm từ ghi nhớ hoặc khóa riêng) bằng GPG trong môi trường bảo mật ngoại tuyến, giờ đây bạn có thể ném trực tiếp các tệp được mã hóa vào các dịch vụ đám mây này và lưu nó ở đó. Tất cả sẽ tốt. Nhưng tôi cần nhắc bạn ở đây: đừng bao giờ làm mất khóa riêng của GPG hoặc quên mật khẩu của khóa riêng…
Tại thời điểm này, bạn có thể thấy mức độ bảo mật bổ sung này khá rắc rối: bạn phải tìm hiểu về GPG và sao lưu khóa riêng cũng như mật khẩu GPG của mình. Trên thực tế, nếu bạn đã thực hiện tất cả các bước nói trên thì bạn đã quen với quy trình này và sẽ không thấy khó khăn hay rắc rối. Tôi sẽ không nói thêm nữa vì thực hành sẽ tạo nên sự hoàn hảo.
Nếu bạn muốn tiết kiệm công sức, có một khả năng khác nhưng tính bảo mật của nó có thể bị giảm sút. Tôi không thể đo lường chính xác mức giảm giá nhưng đôi khi tôi sẽ lười sử dụng một số công cụ nổi tiếng để được hỗ trợ. Công cụ đó là 1Password. Phiên bản mới nhất của 1Password đã hỗ trợ lưu trữ trực tiếp dữ liệu liên quan đến ví, chẳng hạn như từ ghi nhớ, mật khẩu, địa chỉ ví, v.v., thuận tiện cho người dùng. Các công cụ khác (chẳng hạn như Bitwarden) có thể đạt được điều gì đó tương tự, nhưng chúng không thuận tiện bằng.
GiấyNhiều ví phần cứng đi kèm với một số thẻ giấy chất lượng cao để bạn có thể viết ra các cụm từ ghi nhớ của mình (ở dạng văn bản gốc, SSS, v.v.). Ngoài giấy, một số người còn sử dụng thép tấm (chống cháy, chống nước và chống ăn mòn, tất nhiên là tôi chưa thử). Hãy kiểm tra nó sau khi bạn sao chép các cụm từ ghi nhớ và nếu mọi thứ đều ổn, hãy đặt nó ở nơi bạn cảm thấy an toàn, chẳng hạn như két sắt. Cá nhân tôi rất thích sử dụng giấy vì nếu bảo quản đúng cách, giấy sẽ có tuổi thọ cao hơn nhiều so với đồ điện tử.
Thiết bị, Nó đề cập đến tất cả các loại thiết bị; thiết bị điện tử là loại dự phòng phổ biến, chẳng hạn như máy tính, iPad, iPhone hoặc ổ cứng, v.v., tùy thuộc vào sở thích cá nhân. Chúng tôi cũng phải suy nghĩ về việc truyền tải an toàn giữa các thiết bị. Tôi cảm thấy thoải mái khi sử dụng các phương pháp ngang hàng như AirDrop và USB, nơi người trung gian khó có thể chiếm quyền điều khiển quy trình. Tất nhiên, tôi thấy lo lắng về việc thiết bị điện tử có thể hỏng sau vài năm nên tôi duy trì thói quen kiểm tra thiết bị ít nhất mỗi năm một lần. Có một số bước lặp lại (chẳng hạn như mã hóa) mà bạn có thể tham khảo phần Đám mây.
Não, Dựa vào trí nhớ của bạn thật thú vị. Trên thực tế, mỗi người đều có “cung điện ký ức” của riêng mình. Trí nhớ không có gì bí ẩn và có thể được rèn luyện để hoạt động tốt hơn. Có một số thứ thực sự an toàn hơn với trí nhớ. Việc chỉ dựa vào bộ não hay không là lựa chọn cá nhân. Nhưng hãy chú ý đến hai nguy cơ: thứ nhất, trí nhớ sẽ mờ dần theo thời gian và có thể gây nhầm lẫn; nguy cơ khác là bạn có thể gặp tai nạn. Tôi sẽ dừng ở đây và để bạn khám phá thêm.
Bây giờ tất cả các bạn đã được sao lưu. Đừng mã hóa quá nhiều, nếu không bạn sẽ phải chịu đựng chính mình sau vài năm. Theo nguyên tắc bảo mật “xác minh liên tục”, các phương pháp mã hóa và sao lưu của bạn, dù có thừa hay không, đều phải được xác minh liên tục, cả thường xuyên lẫn ngẫu nhiên. Tần suất xác minh tùy thuộc vào trí nhớ của bạn và bạn không cần phải hoàn thành toàn bộ quá trình. Miễn là quy trình diễn ra đúng, việc xác minh một phần cũng có hiệu quả. Cuối cùng, cũng cần chú ý đến tính bảo mật và an toàn của quá trình xác thực.
Được rồi, hãy hít một hơi thật sâu ở đây. Bắt đầu là phần khó nhất. Bây giờ bạn đã sẵn sàng, hãy tiến vào khu rừng tối tăm này 🙂
Cách sử dụng Ví của bạn
Một khi bạn đã tạo và sao lưu ví của mình, đó sẽ là thách thức thực sự. Nếu bạn không di chuyển tài sản của mình thường xuyên hoặc hầu như không tương tác với bất kỳ hợp đồng thông minh nào của DeFi, NFT, GameFi hoặc Web3, thuật ngữ phổ biến được nhắc đến thường xuyên hiện nay, thì tài sản của bạn sẽ tương đối an toàn.
AML
Tuy nhiên, “tương đối an toàn” không có nghĩa là “không có rủi ro gì cả”. Bởi vì “bạn không bao giờ biết cái gì đến trước, ngày mai hay tai nạn”, phải không?. Tại sao lại như vậy? Hãy nghĩ xem, bạn lấy tiền điện tử ở đâu? Nó không đến từ đâu cả, phải không? Bạn có thể gặp phải AML (Chống rửa tiền) trên tất cả các loại tiền điện tử mà bạn nhận được bất cứ lúc nào. Điều này có nghĩa là tiền điện tử bạn đang nắm giữ vào lúc này có thể bị bẩn và nếu bạn không may mắn, nó thậm chí có thể bị đóng băng trực tiếp trên chuỗi. Theo báo cáo công khai, Tether đã từng đóng băng một số tài sản USDT theo yêu cầu từ các cơ quan thực thi pháp luật. Danh sách các quỹ bị đóng băng có thể được tìm thấy ở đây.
Bạn có thể xác minh xem một địa chỉ có bị Tether đóng băng từ hợp đồng USDT hay không.
https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract
Sử dụng địa chỉ ví mục tiêu làm đầu vào int isBlackListed để kiểm tra. Các chuỗi khác lấy USDT cũng có cách xác minh tương tự.
Tuy nhiên, BTC và ETH của bạn sẽ không bao giờ bị đóng băng. Nếu điều này xảy ra vào một ngày nào đó trong tương lai, niềm tin về sự phân cấp cũng sẽ sụp đổ. Hầu hết các trường hợp đóng băng tài sản tiền điện tử mà chúng tôi nghe nói hôm nay thực sự xảy ra trên các nền tảng tập trung (chẳng hạn như Binance, Coinbase, v.v.) nhưng không xảy ra trên blockchain. Khi tiền điện tử của bạn vẫn nằm trong các nền tảng Sàn giao dịch tập trung, bạn thực sự không sở hữu bất kỳ nền tảng nào trong số đó. Khi các nền tảng tập trung đóng băng tài khoản của bạn, họ thực sự đang thu hồi quyền giao dịch hoặc rút tiền của bạn. Khái niệm đóng băng có thể gây nhầm lẫn cho người mới trong khu vực. Kết quả là, một số phương tiện truyền thông liều lĩnh sẽ truyền bá tất cả các loại thuyết âm mưu về BitCoin.
Mặc dù tài sản BTC và ETH của bạn sẽ không bị đóng băng trên blockchain, nhưng các sàn giao dịch tập trung có thể đóng băng tài sản của bạn theo yêu cầu của AML sau khi tài sản của bạn được chuyển vào các nền tảng này và chúng có liên quan đến bất kỳ trường hợp mở nào mà cơ quan thực thi pháp luật đang giải quyết.
Để tránh các vấn đề AML tốt hơn, hãy luôn chọn các nền tảng và cá nhân có danh tiếng tốt làm đối tác của bạn. Thực tế có một số giải pháp cho loại vấn đề này. Ví dụ: trên Ethereum, hầu hết tất cả kẻ xấu và những người quan tâm nhiều đến quyền riêng tư của họ đều sử dụng Tornado Cash để trộn tiền. Tôi sẽ không đào sâu thêm về chủ đề này vì hầu hết các phương pháp ở đây đang được sử dụng để làm điều ác.
Ví lạnh
Có nhiều cách khác nhau để sử dụng ví lạnh. Từ góc độ của một chiếc ví, nó có thể được coi là ví lạnh miễn là nó không được kết nối với bất kỳ mạng nào. Nhưng làm thế nào để sử dụng nó khi nó ngoại tuyến? Trước hết, nếu bạn chỉ muốn nhận tiền điện tử thì đó không phải là vấn đề lớn. Ví lạnh có thể mang lại trải nghiệm tuyệt vời khi làm việc với ví chỉ dành cho Đồng hồ, chẳng hạn như imToken, Trust Wallet, v.v. Những ví này có thể được chuyển thành ví chỉ dành cho đồng hồ bằng cách thêm địa chỉ ví mục tiêu.
Nếu chúng tôi muốn gửi tiền điện tử bằng ví lạnh, đây là những cách được sử dụng phổ biến nhất:
- Mã QR
- USB
- Bluetooth
Tất cả những điều này đều yêu cầu một ứng dụng chuyên dụng (được gọi là Ứng dụng nhẹ ở đây) để hoạt động với ví lạnh. Ứng dụng Light sẽ trực tuyến cùng với ví chỉ dành cho Đồng hồ nói trên. Một khi hiểu được nguyên tắc thiết yếu cơ bản, chúng ta sẽ có thể hiểu được những cách tiếp cận này. Nguyên tắc cơ bản là: cuối cùng, vấn đề chỉ là tìm ra cách phát nội dung đã ký lên blockchain. Quy trình chi tiết như sau:
- Nội dung cần ký sẽ được Light App truyền tới Ví lạnh bằng một trong những phương tiện này.
- Chữ ký được xử lý bằng ví lạnh có khóa riêng rồi truyền trở lại Light App bằng cách tương tự
- Ứng dụng Light phát nội dung đã ký trên blockchain.
Vì vậy, dù sử dụng phương pháp nào, mã QR, USB hay Bluetooth, đều phải tuân theo quy trình trên. Tất nhiên, chi tiết có thể khác nhau tùy theo các phương pháp khác nhau. Ví dụ: mã QR có dung lượng thông tin hạn chế nên khi dữ liệu chữ ký quá lớn, chúng ta sẽ phải chia nhỏ ra.
Nó có vẻ hơi rắc rối, nhưng nó sẽ trở nên tốt hơn khi bạn quen với nó. Bạn thậm chí sẽ cảm thấy một cảm giác an toàn đầy đủ. Tuy nhiên, đừng coi 100% là an toàn vì ở đây vẫn có rủi ro và đã có nhiều trường hợp thua lỗ nặng vì những rủi ro này. Dưới đây là những điểm rủi ro:
- Địa chỉ đích của việc chuyển xu không được kiểm tra cẩn thận, dẫn đến việc xu được chuyển cho người khác. Con người đôi khi lười biếng và bất cẩn. Ví dụ: hầu hết họ chỉ kiểm tra phần đầu và phần cuối của địa chỉ ví thay vì kiểm tra toàn bộ địa chỉ. Điều này để lại một cửa hậu cho kẻ xấu. Chúng sẽ chạy các chương trình để lấy địa chỉ ví có cùng một số bit đầu tiên và cuối cùng với địa chỉ mục tiêu mong muốn của bạn, sau đó thay thế địa chỉ mục tiêu chuyển tiền của bạn bằng địa chỉ dưới sự kiểm soát của chúng bằng một số thủ thuật.
- Tiền xu được ủy quyền đến các địa chỉ không xác định. Thông thường ủy quyền là cơ chế của mã thông báo hợp đồng thông minh Ethereum, chức năng “phê duyệt”, với một đối số là địa chỉ ủy quyền mục tiêu và đối số còn lại là số lượng. Nhiều người không hiểu cơ chế này nên có thể ủy quyền số lượng token không giới hạn đến địa chỉ đích, lúc này địa chỉ đích có quyền chuyển tất cả số token đó đi. Điều này được gọi là hành vi trộm cắp tiền xu được ủy quyền và có nhiều biến thể khác của kỹ thuật này, nhưng tôi sẽ không mở rộng nó ở đây.
- Một số chữ ký tưởng chừng như không quan trọng thực ra lại có những cái bẫy rất lớn ở phía sau, tôi sẽ không đi sâu vào nó bây giờ mà sẽ giải thích chi tiết sau.
- Ví lạnh có thể chưa cung cấp đủ thông tin cần thiết khiến bạn bất cẩn và đánh giá sai.
Tất cả đều tóm gọn lại ở hai điểm:
- Cơ chế bảo mật tương tác của người dùng “Những gì bạn thấy là những gì bạn ký” bị thiếu.
- Thiếu kiến thức nền tảng liên quan của người dùng.
Ví nóng
So với ví lạnh, ví nóng về cơ bản có tất cả những rủi ro mà ví lạnh có thể gặp phải. Ngoài ra, còn một điều nữa: nguy cơ bị đánh cắp cụm từ bí mật (hoặc khóa riêng). Tại thời điểm này, có nhiều vấn đề bảo mật hơn cần xem xét với ví nóng, chẳng hạn như tính bảo mật của môi trường thời gian chạy. Nếu có vi-rút liên quan đến môi trường thời gian chạy thì sẽ có nguy cơ bị đánh cắp. Ngoài ra còn có các ví nóng có một số lỗ hổng nhất định mà qua đó cụm từ bí mật có thể bị đánh cắp trực tiếp.
Ngoài chức năng chuyển xu thông thường, nếu bạn muốn tương tác với các DApp khác (DeFi, NFT, GameFi, v.v.), bạn phải truy cập chúng trực tiếp bằng trình duyệt của riêng bạn hoặc tương tác với các DApp được mở trong trình duyệt PC của bạn thông qua giao thức WalletConnect.
Lưu ý: Các tài liệu tham khảo về DApp trong sổ tay này theo mặc định đề cập đến các dự án hợp đồng thông minh chạy trên chuỗi khối Ethereum.
Theo mặc định, những tương tác như vậy không dẫn đến việc đánh cắp cụm từ bí mật, trừ khi có vấn đề với chính thiết kế bảo mật của ví. Từ lịch sử kiểm tra bảo mật và nghiên cứu bảo mật của chúng tôi, có nguy cơ các cụm từ bí mật của ví bị đánh cắp trực tiếp bởi JavaScript độc hại trên trang mục tiêu. Tuy nhiên, đây là một trường hợp hiếm gặp vì đây thực sự là một sai sót cực kỳ thấp mà không một ví tiền nổi tiếng nào có thể mắc phải.
Không có điều nào trong số này thực sự là mối quan tâm thực sự của tôi ở đây, chúng có thể quản lý được đối với tôi (và đối với bạn nữa). Mối quan tâm/mối lo ngại lớn nhất của tôi là: làm thế nào để mỗi lần lặp lại của một ví nổi tiếng đảm bảo rằng không có mã độc hoặc cửa sau nào được cài đặt? Hàm ý của câu hỏi này rất rõ ràng: Tôi đã xác minh rằng phiên bản hiện tại của ví không có vấn đề bảo mật và tôi cảm thấy thoải mái khi sử dụng nó, nhưng tôi không biết phiên bản tiếp theo sẽ an toàn đến mức nào. Suy cho cùng, tôi hoặc nhóm bảo mật của tôi không thể có nhiều thời gian và sức lực để thực hiện tất cả các bước xác minh.
Đã xảy ra một số vụ trộm coin do mã độc hoặc backdoor như mô tả ở đây, chẳng hạn như CoPay, AToken, v.v. Bạn có thể tự tìm kiếm các vụ việc cụ thể.
Trong trường hợp này, có một số cách làm điều ác:
- Khi ví đang chạy, mã độc sẽ đóng gói và tải cụm từ bí mật có liên quan trực tiếp lên máy chủ do hacker kiểm soát.
- Khi ví đang chạy và người dùng bắt đầu chuyển khoản, các thông tin như địa chỉ đích và số tiền sẽ được thay thế bí mật trong phần phụ trợ của ví và người dùng rất khó nhận ra.
- Làm hỏng các giá trị entropy số ngẫu nhiên liên quan đến việc tạo ra các cụm từ bí mật, khiến chúng tương đối dễ giải mã.
Bảo mật là thứ của sự thiếu hiểu biết và kiến thức, và có rất nhiều thứ có thể dễ dàng bị bỏ qua hoặc bỏ qua. Vì vậy, đối với những ví chứa tài sản quan trọng, quy tắc bảo mật của tôi cũng rất đơn giản: không dễ dàng cập nhật khi đủ sử dụng.
Bảo mật DeFi là gì
Khi chúng ta nói về DApp, nó có thể là DeFi, NFT hoặc GameFi, v.v. Các nguyên tắc bảo mật cơ bản của chúng hầu hết giống nhau, nhưng chúng sẽ có các chi tiết cụ thể tương ứng. Trước tiên hãy lấy DeFi làm ví dụ để giải thích. Khi chúng ta nói về bảo mật DeFi, chính xác thì chúng ta muốn nói gì? Những người trong ngành hầu như chỉ nhìn vào hợp đồng thông minh. Có vẻ như khi hợp đồng thông minh tốt thì mọi chuyện sẽ ổn. Vâng thực sự, điều này là xa sự thật.
Bảo mật DeFi bao gồm ít nhất các thành phần sau:
- Bảo mật hợp đồng thông minh
- Bảo mật nền tảng Blockchain
- Bảo mật giao diện người dùng
- An ninh truyền thông
- An ninh con người
- An ninh tài chính
- Bảo mật tuân thủ
Bảo mật hợp đồng thông minh
Bảo mật hợp đồng thông minh thực sự là điểm đầu vào quan trọng nhất để kiểm tra bảo mật và bạn có thể tìm thấy các tiêu chuẩn kiểm tra bảo mật của SlowMist cho hợp đồng thông minh tại:
https://www.slowmist.com/service-smart-contract-security-audit.html
Đối với những người chơi nâng cao, nếu bản thân tính bảo mật của phần hợp đồng thông minh có thể kiểm soát được (cho dù họ có thể tự kiểm tra hoặc hiểu các báo cáo kiểm tra bảo mật do các tổ chức chuyên nghiệp đưa ra) thì việc các phần khác có an toàn hay không cũng không thành vấn đề. Có thể điều khiển được là một khái niệm phức tạp, một số trong đó phụ thuộc vào sức mạnh của chính người chơi. Ví dụ: người chơi có những yêu cầu nhất định liên quan đến rủi ro từ thẩm quyền hợp đồng thông minh quá mức. Nếu bản thân dự án mạnh và những người đứng đằng sau nó có danh tiếng tốt thì việc tập trung hoàn toàn sẽ không thành vấn đề. Tuy nhiên, đối với những dự án ít nổi tiếng, gây tranh cãi hoặc mới nổi, nếu bạn nhận ra rằng hợp đồng thông minh của dự án có rủi ro cấp phép quá cao, đặc biệt nếu các cấp phép đó cũng có thể ảnh hưởng đến tiền gốc hoặc thu nhập của bạn, bạn chắc chắn sẽ miễn cưỡng.
Nguy cơ của sự cho phép quá mức là rất tinh tế. Trong nhiều trường hợp, quản trị viên của dự án có thể tiến hành quản trị có liên quan và dự phòng rủi ro. Nhưng đối với người dùng, đây là một phép thử về bản chất con người. Điều gì sẽ xảy ra nếu đội quyết định làm điều ác? Vì vậy, có một phương pháp đánh đổi trong ngành: thêm Timelock để giảm thiểu rủi ro về việc cấp phép quá mức, ví dụ:
Hợp chất, một dự án DeFi nổi tiếng và đã được thành lập, các mô-đun hợp đồng thông minh cốt lõi Comptroller và Governance, cả hai đều có cơ chế Timelock được thêm vào quyền quản trị viên của họ:
Trình kiểm soát (0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
Quản trị(0xc0da02939e1441f497fd74f78ce7decb17b66529)
Admin 2 module này
Khóa thời gian (0x6d903f6003cca6255d85cca4d3b5e5146dc33925)
Bạn có thể trực tiếp tìm ra trên chuỗi rằng Timelock (biến độ trễ) là 48 giờ (172.800 giây):
Điều đó có nghĩa là, nếu quản trị viên của Hợp chất cần thay đổi một số biến chính của hợp đồng thông minh mục tiêu, giao dịch sẽ được ghi lại sau khi nó được bắt đầu trên blockchain, nhưng phải đợi 48 giờ trước khi giao dịch có thể được hoàn tất và thực hiện. Điều này có nghĩa là nếu muốn, bạn có thể kiểm tra từng hoạt động từ quản trị viên và bạn sẽ có ít nhất 48 giờ để hành động. Ví dụ: nếu bạn không chắc chắn, bạn có thể rút tiền trong vòng 48 giờ.
Một cách khác để giảm thiểu nguy cơ quản trị viên cho phép quá mức là thêm nhiều chữ ký, chẳng hạn như sử dụng Gnosis Safe để quản lý nhiều chữ ký, để ít nhất sẽ không có kẻ độc tài. Cần lưu ý ở đây rằng multisig có thể là “quần áo mới của hoàng đế”. Ví dụ: một người có thể giữ nhiều chìa khóa. Vì vậy, chiến lược multisig của dự án mục tiêu cần phải được nêu rõ. Người giữ chìa khóa và danh tính của từng người giữ chìa khóa phải uy tín.
Điều đáng nói ở đây là bất kỳ chiến lược an ninh nào cũng có thể dẫn đến vấn đề “áo mới của hoàng đế”, chiến lược này có vẻ như được thực hiện tốt nhưng thực tế lại không phải vậy, dẫn đến ảo tưởng về an ninh. Lấy một ví dụ khác, Timelock trông đẹp trên giấy. Trên thực tế đã có trường hợp Timelock được triển khai bởi một số dự án có backdoor. Nói chung, người dùng không xem mã nguồn của Timelock và họ cũng không nhất thiết phải hiểu nó ngay cả khi họ làm vậy, vì vậy quản trị viên đã đặt một cửa hậu ở đó và không ai thực sự chú ý đến nó trong một thời gian đủ dài.
Ngoài nguy cơ cấp phép quá mức, các yếu tố khác của bảo mật hợp đồng thông minh cũng rất quan trọng. Tuy nhiên, tôi sẽ không mở rộng ở đây vì xét đến những điều kiện tiên quyết để hiểu được. Đây là lời khuyên của tôi: ít nhất bạn nên học cách đọc báo cáo kiểm tra bảo mật và thực hành sẽ khiến nó trở nên hoàn hảo.
Bảo mật nền tảng Blockchain
Bảo mật nền tảng chuỗi khối đề cập đến tính bảo mật của chính chuỗi khối, chẳng hạn như bảo mật sổ cái đồng thuận, bảo mật máy ảo, v.v. Nếu tính bảo mật của chính chuỗi khối là đáng lo ngại, các dự án hợp đồng thông minh chạy trên chuỗi sẽ bị ảnh hưởng trực tiếp. Điều quan trọng là phải chọn một blockchain có đủ cơ chế bảo mật và danh tiếng, đồng thời tốt hơn với xác suất tồn tại lâu dài cao hơn.
Bảo mật giao diện người dùng
Bảo mật Frontend thực sự là ma quỷ. Nó quá gần với người dùng và đặc biệt dễ đánh lừa người dùng. Có lẽ mọi người đều tập trung chủ yếu vào ví và bảo mật hợp đồng thông minh, dẫn đến việc bảo mật giao diện người dùng dễ bị bỏ qua. Tôi muốn nhấn mạnh một lần nữa rằng bảo mật lối vào là ma quỷ! Cho phép tôi đào sâu hơn.
Mối quan tâm lớn nhất của tôi về bảo mật giao diện người dùng là: Làm cách nào để biết rằng hợp đồng mà tôi đang tương tác từ trang giao diện người dùng cụ thể này là hợp đồng thông minh mà tôi mong đợi?
Sự bất an này chủ yếu là do hai yếu tố:
- Công việc nội bộ
- Bên thứ ba
Thật đơn giản để hiểu công việc bên trong. Ví dụ: các nhà phát triển bí mật thay thế địa chỉ hợp đồng thông minh mục tiêu trong trang giao diện người dùng bằng địa chỉ hợp đồng có cửa sau hoặc tạo tập lệnh lừa đảo ủy quyền. Khi bạn truy cập trang giao diện người dùng gian lận này, một loạt các hoạt động tiếp theo liên quan đến tiền điện tử trong ví của bạn có thể được thực hiện trong một cái bẫy. Trước khi bạn nhận ra, số tiền đó đã biến mất.
Bên thứ ba chủ yếu đề cập đến hai loại:
-
Một là chuỗi phụ thuộc bị xâm nhập. Ví dụ: phần phụ thuộc của bên thứ ba được sử dụng bởi trang giao diện người dùng có một cửa sau được lẻn vào trang giao diện người dùng mục tiêu cùng với việc đóng gói và phát hành. Sau đây là cấu trúc phụ thuộc gói của SushiSwap (chỉ để minh họa, điều đó không nhất thiết có nghĩa là dự án trong ảnh chụp màn hình có vấn đề như vậy):
-
Ví dụ khác là các tệp JavaScript từ xa của bên thứ ba được nhập bởi trang giao diện người dùng. Nếu tệp JavaScript này bị tấn công, có thể trang giao diện mục tiêu cũng bị ảnh hưởng, chẳng hạn như OpenSea (chỉ để minh họa, điều đó không nhất thiết có nghĩa là dự án trong ảnh chụp màn hình có vấn đề như vậy):
Lý do tại sao chúng tôi nói điều đó là có thể nhưng không chắc chắn là rủi ro có thể được giảm thiểu nếu nhà phát triển tham chiếu tệp JavaScript từ xa của bên thứ ba trên trang giao diện người dùng theo cách sau:
<script src=”https://example.com/example-framework.js” tính toàn vẹn=”sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin=”ẩn danh”>
Điểm mấu chốt ở đây là cơ chế bảo mật tốt của HTML5: thuộc tính toàn vẹn trong thẻ (cơ chế SRI). tính toàn vẹn hỗ trợ SHA256, SHA384 và SHA512. Nếu tệp JavaScript của bên thứ ba không đáp ứng yêu cầu kiểm tra tính toàn vẹn của hàm băm thì tệp sẽ không được tải. Đây có thể là một cách tốt để ngăn chặn việc thực thi mã ngoài ý muốn. Tuy nhiên, việc sử dụng cơ chế này yêu cầu tài nguyên đích phải hỗ trợ phản hồi CORS. Để biết chi tiết, hãy tham khảo như sau:
https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity
An ninh truyền thông
Hãy tập trung vào bảo mật HTTPS trong phần này. Đầu tiên, trang web mục tiêu phải sử dụng HTTPS và không bao giờ được phép truyền văn bản gốc HTTP. Điều này là do việc truyền văn bản gốc HTTP quá dễ bị tấn công bởi kẻ trung gian. Ngày nay HTTPS rất phổ biến như một giao thức truyền an toàn. Nếu có một cuộc tấn công trung gian vào HTTPS và những kẻ tấn công đã đưa JavaScript độc hại vào giao diện người dùng của ứng dụng web, một cảnh báo lỗi chứng chỉ HTTPS rất rõ ràng sẽ được hiển thị trong trình duyệt của người dùng.
Hãy lấy sự cố MyEtherWallet làm ví dụ để minh họa điểm này.
MyEtherWallet từng là một ví ứng dụng web rất phổ biến và cho đến nay nó vẫn được nhiều người biết đến. Tuy nhiên, nó không còn chỉ là một ví ứng dụng web nữa. Như đã đề cập trước đó, tôi đặc biệt không khuyến khích việc sử dụng ví ứng dụng web vì lý do bảo mật. Ngoài các vấn đề khác nhau về bảo mật giao diện người dùng, việc chiếm quyền điều khiển HTTPS cũng là một rủi ro tiềm ẩn lớn.
Vào ngày 24 tháng 4 năm 2018, đã xảy ra sự cố bảo mật lớn liên quan đến việc chiếm quyền điều khiển HTTPS trong MyEtherWallet. Tóm tắt sự việc có thể được tìm thấy ở đây:
https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/
Trong cuộc tấn công, hacker đã chiếm quyền điều khiển dịch vụ DNS (Google Public DNS) được một lượng lớn người dùng MyEtherWallet sử dụng thông qua BGP, một giao thức định tuyến cổ xưa, trực tiếp dẫn đến việc hiển thị cảnh báo lỗi HTTPS trên trình duyệt của mọi người dùng khi họ cố gắng truy cập. Trang web MyEtherWallet. Trên thực tế, người dùng nên dừng lại khi nhìn thấy cảnh báo này, vì về cơ bản nó chỉ ra rằng trang web mục tiêu đã bị tấn công. Tuy nhiên, trên thực tế, nhiều người dùng chỉ nhanh chóng bỏ qua cảnh báo và tiếp tục tương tác với trang web bị tấn công vì họ hoàn toàn không hiểu rủi ro bảo mật đằng sau cảnh báo lỗi HTTPS.
Vì trang web mục tiêu đã bị tấn công và tin tặc đã chèn JavaScript độc hại vào đó, nên khi tương tác với người dùng, tin tặc sẽ đánh cắp thành công khóa riêng dạng văn bản gốc của họ và chuyển tiền của họ (chủ yếu là ETH).
Đây chắc chắn là một trường hợp kinh điển khi tin tặc sử dụng kỹ thuật chiếm quyền điều khiển BGP để đánh cắp tiền điện tử. Nó chỉ là quá mức cần thiết. Sau này đã có nhiều trường hợp tương tự và tôi sẽ không đề cập chi tiết ở đây. Đối với người dùng, chỉ có một điều thực sự cần chú ý: nếu bạn quyết định sử dụng ví ứng dụng web hoặc cố gắng tương tác với DApp, hãy luôn đảm bảo dừng và đóng trang bất cứ khi nào bạn thấy cảnh báo lỗi chứng chỉ HTTPS! Và tiền của bạn sẽ ổn. Có một thực tế tàn khốc trong lĩnh vực bảo mật: khi có rủi ro, đừng cho người dùng bất kỳ lựa chọn nào. Nếu bạn làm vậy, sẽ luôn có người dùng rơi vào bẫy vì bất cứ lý do gì. Trên thực tế, nhóm dự án cần phải chịu trách nhiệm. Tính đến hôm nay, đã có các giải pháp bảo mật rất hiệu quả cho vấn đề chiếm quyền điều khiển HTTPS được đề cập ở trên: nhóm dự án cần định cấu hình HSTS đúng cách. HSTS là viết tắt của Bảo mật truyền tải nghiêm ngặt HTTP; nó là một cơ chế chính sách bảo mật web được hầu hết các trình duyệt hiện đại hỗ trợ. Nếu HSTS được bật, trong trường hợp xảy ra lỗi chứng chỉ HTTPS, trình duyệt sẽ buộc người dùng ngừng truy cập các ứng dụng web mục tiêu và không thể bỏ qua hạn chế này. Bây giờ bạn hiểu ý tôi rồi chứ?
An ninh bản chất con người
Phần này rất dễ hiểu. Ví dụ, nhóm dự án có đầu óc xấu xa và hành động không trung thực. Tôi đã đề cập đến một số nội dung liên quan ở các phần trước nên ở đây tôi sẽ không đi sâu vào chi tiết. Nhiều hơn nữa sẽ được đề cập trong các phần sau.
An ninh tài chính
An ninh tài chính cần được tôn trọng sâu sắc. Trong DeFi, người dùng hết sức chú ý đến giá token và lợi nhuận. Họ muốn lợi tức đầu tư cao hơn hoặc ít nhất là ổn định. Nói cách khác, với tư cách là người dùng, tôi chơi trò chơi để thắng và nếu tôi thua, ít nhất tôi cần được thuyết phục rằng đó là một trò chơi công bằng. Đây chỉ là bản chất của con người.
An ninh tài chính trong DeFi dễ bị tấn công dưới các hình thức:
- Các hoạt động ra mắt không công bằng như khai thác trước hoặc bán trước;
- Cuộc tấn công của cá voi tiền điện tử;
- Bơm và bãi;
- Sự kiện thiên nga đen, như thác chợ bất chợt; hoặc giả sử khi một giao thức DeFi được lồng hoặc tương tác với các DeFi/Token khác, thì tính bảo mật/độ tin cậy của nó sẽ phụ thuộc nhiều vào các giao thức khác
- Các cuộc tấn công kỹ thuật khác hoặc những gì chúng tôi gọi là kỹ thuật khoa học như chạy trước, tấn công bánh sandwich, tấn công cho vay chớp nhoáng, v.v.
Yêu cầu tuân thủ
Yêu cầu tuân thủ là một chủ đề rất lớn, AML (Chống rửa tiền) được đề cập trước đây chỉ là một trong những điểm. Ngoài ra còn có các khía cạnh như KYC (Biết khách hàng của bạn), các biện pháp trừng phạt, rủi ro chứng khoán, v.v. Trên thực tế, đối với người dùng chúng tôi, đây không phải là thứ nằm trong tầm kiểm soát của chúng tôi. Khi chúng tôi tương tác với một dự án nhất định, vì dự án đó có thể phải tuân theo các quy định liên quan ở một số quốc gia nhất định nên thông tin quyền riêng tư của chúng tôi có thể được thu thập. Bạn có thể không quan tâm đến những vấn đề riêng tư như vậy, nhưng vẫn có những người quan tâm.
Ví dụ: vào đầu năm 2022 đã xảy ra một sự cố nhỏ: một số ví đã quyết định hỗ trợ giao thức Giao thức chứng minh quyền sở hữu địa chỉ (AOPP):
Tôi đã xem xét thiết kế giao thức, hóa ra các ví hỗ trợ AOPP có thể làm rò rỉ quyền riêng tư của người dùng. Các cơ quan quản lý có thể biết được mối liên kết giữa một sàn giao dịch tiền điện tử được quản lý và một địa chỉ ví bên ngoài không xác định.
Không có gì ngạc nhiên khi nhiều ví hướng tới quyền riêng tư rất quan tâm đến phản hồi của người dùng và nhanh chóng loại bỏ hỗ trợ AOPP khỏi sản phẩm của họ. Nhưng thành thật mà nói: Thiết kế giao thức khá thú vị. Tôi nhận thấy rằng một số ví không có kế hoạch loại bỏ hỗ trợ cho AOPP, chẳng hạn như EdgeWallet. Ý kiến của họ là AOPP không nhất thiết phải tiết lộ nhiều quyền riêng tư của người dùng hơn, ngược lại, nó giúp tăng cường lưu thông tiền điện tử. Trong nhiều sàn giao dịch tiền điện tử được quản lý, người dùng không được phép rút tiền đến một địa chỉ ví bên ngoài cụ thể trước khi có thể chứng minh quyền sở hữu của mình với địa chỉ đó.
Lúc đầu, ví phần cứng nổi tiếng Trezor từ chối xóa hỗ trợ AOPP. Nhưng sau đó nó buộc phải thỏa hiệp và làm như vậy do áp lực từ cộng đồng và người dùng trên Twitter.
Như bạn có thể thấy, đó chỉ là một sự cố nhỏ nhưng đối với một số người, quyền riêng tư thực sự quan trọng. Điều này không có nghĩa là chúng ta nên đi ngược lại các quy định và hoàn toàn bỏ qua các yêu cầu tuân thủ. Trên thực tế, tôi tin rằng cần phải có một mức độ thỏa hiệp nhất định đối với các yêu cầu tuân thủ. Chúng tôi sẽ không tiếp tục đi sâu vào chủ đề này, hãy thoải mái tìm hiểu nội dung theo cách riêng của bạn.
Cho đến nay, chúng tôi đã đề cập đến phần lớn nội dung trong phần Bảo mật DeFi.
Hơn nữa, còn có các vấn đề bảo mật do các bổ sung hoặc cập nhật trong tương lai gây ra. Chúng ta thường nói “thế trận an ninh là động chứ không phải tĩnh”. Ví dụ: ngày nay hầu hết các nhóm dự án đều thực hiện kiểm tra bảo mật và hiển thị các báo cáo kiểm tra bảo mật rõ ràng. Nếu bạn từng đọc kỹ các báo cáo chất lượng tốt, bạn sẽ nhận thấy rằng các báo cáo này sẽ giải thích rõ ràng phạm vi, khung thời gian và mã định danh duy nhất của nội dung được kiểm toán (ví dụ: địa chỉ hợp đồng thông minh nguồn mở đã được xác minh hoặc địa chỉ cam kết trên repo GitHub, hoặc hàm băm của tệp mã nguồn đích). Điều này có nghĩa là báo cáo là tĩnh, nhưng nếu trong một dự án bạn quan sát thấy bất kỳ sai lệch nào so với những gì được đề cập trong báo cáo, bạn có thể chỉ ra điều đó.
Bảo mật NFT
Tất cả các nội dung được đề cập trước đây về bảo mật DeFi đều có thể được áp dụng cho bảo mật NFT và bản thân NFT có một số chủ đề bảo mật rất cụ thể và độc đáo, ví dụ:
- Bảo mật siêu dữ liệu
- Bảo mật chữ ký
Siêu dữ liệu chủ yếu đề cập đến hình ảnh được nhúng, hình ảnh chuyển động và các nội dung khác. Nên tham khảo OpenSea về các tiêu chuẩn cụ thể:
Có hai mối lo ngại chính về bảo mật có thể phát sinh ở đây:
- Một là URI nơi đặt hình ảnh (hoặc hình ảnh chuyển động) có thể không đáng tin cậy. Nó chỉ có thể là một dịch vụ tập trung được chọn ngẫu nhiên, một mặt không có gì đảm bảo về tính khả dụng, mặt khác nhóm dự án có thể sửa đổi hình ảnh theo ý muốn, do đó NFT sẽ không còn trở thành một “bộ sưu tập kỹ thuật số” bất biến. Nói chung, bạn nên sử dụng các giải pháp lưu trữ tập trung như IPFS, Arweave và chọn dịch vụ cổng URI nổi tiếng.
- Một điều nữa là khả năng rò rỉ quyền riêng tư. Dịch vụ URI được chọn ngẫu nhiên có thể nắm bắt thông tin cơ bản của người dùng (chẳng hạn như IP, Tác nhân người dùng, v.v.)
Bảo mật ký kết là một mối quan tâm lớn khác ở đây và chúng tôi sẽ minh họa nó bên dưới.
HÃY CẨN THẬN với việc ký kết!
Bảo mật chữ ký là điều mà tôi muốn đề cập cụ thể vì có RẤT NHIỀU cạm bẫy và bạn nên luôn cẩn thận. Đã có một số sự cố xảy ra, đặc biệt là trong giao dịch NFT. Tuy nhiên, tôi nhận thấy rằng không có nhiều người hiểu cách chuẩn bị và giải quyết những vấn đề bảo mật như vậy. Lý do cơ bản là rất ít người có thể giải thích rõ ràng vấn đề.
Nguyên tắc bảo mật số 1 và quan trọng nhất trong bảo mật chữ ký là: Những gì bạn thấy là những gì bạn ký. Nghĩa là, thông điệp trong yêu cầu chữ ký mà bạn nhận được chính là những gì bạn mong đợi sau khi ký. Sau khi bạn ký tên, kết quả sẽ là điều bạn mong đợi thay vì điều bạn sẽ hối tiếc.
Một số chi tiết về bảo mật chữ ký đã được đề cập trong phần “Ví Lạnh”. Nếu bạn không thể nhớ lại, tôi khuyên bạn nên xem lại phần đó. Trong phần này, chúng ta sẽ tập trung vào các khía cạnh khác.
Đã có một số vụ hack NFT nổi tiếng trên OpenSea vào khoảng năm 2022. Vào ngày 20 tháng 2 năm 2022, đã có một đợt bùng phát lớn. Nguyên nhân sâu xa là:
- Người dùng đã ký yêu cầu niêm yết NFT trên OpenSea.
- Tin tặc lừa đảo để lấy chữ ký có liên quan từ người dùng.
Thực ra không khó để tin tặc có được chữ ký liên quan. Hacker cần phải 1). xây dựng thông điệp được ký, 2). băm nó, 3). lừa người dùng mục tiêu ký vào yêu cầu (đây sẽ là ký mù, có nghĩa là người dùng không thực sự biết họ đang ký gì), 4). lấy nội dung đã ký và xây dựng dữ liệu. Tại thời điểm này, người dùng đã bị hack.
Tôi sẽ lấy Opensea làm ví dụ (trên thực tế, đó có thể là BẤT KỲ thị trường NFT nào). Sau khi người dùng mục tiêu cho phép hoạt động niêm yết NFT trên thị trường, tin tặc sẽ tạo thông báo để ký. Sau khi băm nó bằng Keccak256, một yêu cầu chữ ký sẽ xuất hiện trên trang lừa đảo. Người dùng sẽ thấy một cái gì đó như sau:
Nhìn kĩ. Chúng tôi có thể nhận được loại thông tin nào từ cửa sổ bật lên MetaMask này? Thông tin tài khoản và số dư tài khoản, trang web nguồn nơi yêu cầu chữ ký đến, thông báo mà người dùng sắp ký và…không có gì khác. Làm sao người dùng có thể nghi ngờ rằng thảm họa đang xảy ra? Và làm sao họ có thể nhận ra rằng một khi họ nhấp vào nút “Ký”, NFT của họ sẽ bị đánh cắp.
Đây thực sự là một ví dụ về việc ký mù. Người dùng không bắt buộc phải đăng nhập vào thị trường NFT. Thay vào đó, người dùng có thể bị lừa vào bất kỳ trang web lừa đảo nào để ký vào tin nhắn mà không hiểu hết ý nghĩa thực tế cũng như hậu quả của những chữ ký này. Thật không may, tin tặc biết. Với tư cách là người dùng, chỉ cần ghi nhớ: KHÔNG BAO GIỜ ĐĂNG NHẬP BẤT CỨ ĐIỀU GÌ. OpenSea từng gặp phải vấn đề về chữ ký mù và họ đã khắc phục nó bằng cách áp dụng EIP-712 sau ngày 20 tháng 2 năm 2022. Tuy nhiên, nếu không ký mù, người dùng vẫn có thể bất cẩn và bị hack theo những cách khác.
Lý do quan trọng nhất khiến điều này xảy ra là việc ký không bị hạn chế tuân theo chính sách cùng nguồn gốc của trình duyệt. Bạn có thể hiểu đơn giản là: chính sách cùng nguồn gốc có thể đảm bảo rằng một hành động chỉ xảy ra dưới một miền cụ thể và sẽ không vượt qua các miền, trừ khi nhóm dự án cố tình muốn việc vượt miền xảy ra. Nếu việc ký tuân theo chính sách cùng nguồn gốc thì ngay cả khi người dùng ký yêu cầu chữ ký được tạo bởi miền không phải mục tiêu, tin tặc không thể sử dụng chữ ký cho các cuộc tấn công dưới miền mục tiêu. Tôi sẽ dừng ở đây trước khi đi vào chi tiết hơn. Tôi đã nhận thấy các đề xuất mới về cải thiện bảo mật ở cấp độ giao thức và tôi hy vọng tình trạng này có thể được cải thiện càng sớm càng tốt.
Chúng tôi đã đề cập đến hầu hết các định dạng tấn công chính có thể xảy ra khi ký một tin nhắn, nhưng thực tế có khá nhiều biến thể. Cho dù chúng trông khác nhau đến đâu thì chúng cũng theo những khuôn mẫu giống nhau. Cách tốt nhất để hiểu chúng là tự mình tái tạo lại một cuộc tấn công từ đầu đến cuối hoặc thậm chí tạo ra một số phương thức tấn công độc đáo. Ví dụ: cuộc tấn công yêu cầu chữ ký được đề cập ở đây thực sự chứa rất nhiều chi tiết, chẳng hạn như cách xây dựng thông báo được ký và nội dung nào được tạo chính xác sau khi ký? Có phương thức ủy quyền nào khác ngoài “Phê duyệt” (có, ví dụ: tăngAllowance). Chà, sẽ quá kỹ thuật nếu chúng ta mở rộng ở đây. Điều tốt là bạn đã hiểu tầm quan trọng của việc ký tin nhắn.
Người dùng có thể ngăn chặn các cuộc tấn công như vậy tại nguồn bằng cách hủy ủy quyền/phê duyệt. Sau đây là một số công cụ nổi tiếng mà bạn có thể sử dụng.
-
Phê duyệt mã thông báo
https://etherscan.io/tokenapprovalchecker
Đây là công cụ kiểm tra và hủy ủy quyền được cung cấp bởi trình duyệt chính thức của Ethereum. Các chuỗi khối tương thích EVM khác có tính năng tương tự vì trình duyệt chuỗi khối của chúng về cơ bản được phát triển bởi Etherscan. Ví dụ:
https://bscscan.com/tokenapprovalchecker
https://hecoinfo.com/tokenapprovalchecker
https://polygonscan.com/tokenapprovalchecker
https://snowtrace.io/tokenapprovalchecker
https://cronoscan.com/tokenapprovalchecker -
Thu hồi.cash
https://revoke.cash/
Trường học siêu cũ với danh tiếng tốt &Hỗ trợ đa chuỗi với sức mạnh ngày càng tăng -
Ví mở rộng Rabby
https://rabby.io/
Một trong những ví mà chúng tôi đã cộng tác rất nhiều. Số lượng chuỗi khối tương thích EVM nơi họ cung cấp chức năng “kiểm tra và hủy ủy quyền” là nhiều nhất mà tôi từng thấy
⚠️Ghi chú: Nếu bạn muốn hiểu toàn diện và sâu hơn về BẢO MẬT CHỮ KÝ, vui lòng kiểm tra các tiện ích mở rộng trong phần bổ sung kho lưu trữ sau để tham khảo:
https://github.com/evilcos/darkhandbook
Đúng là kiến thức về BẢO MẬT CHỮ KÝ khá khó khăn đối với người mới bắt đầu. Kho lưu trữ biên soạn nội dung liên quan và đọc kỹ sẽ giúp bạn nắm bắt được kiến thức bảo mật. Như vậy, bạn sẽ không còn cảm thấy khó khăn nữa. (Nếu bạn có thể đọc và hiểu được mọi thứ, tôi tin kiến thức bảo mật sẽ không còn khó khăn với bạn nữa 🙂
Hãy THẬN TRỌNG với những yêu cầu chữ ký phản trực giác!
Tôi muốn đặc biệt đề cập đến một rủi ro khác: rủi ro phản trực giác.
Phản trực giác là gì? Ví dụ: bạn đã rất quen thuộc với Ethereum và đã trở thành một OG của tất cả các loại DeFi và NFT. Khi mới vào hệ sinh thái Solana, chắc hẳn bạn sẽ gặp một số trang web lừa đảo tương tự. Bạn có thể cảm thấy đã chuẩn bị kỹ lưỡng đến mức bắt đầu nghĩ “Tôi đã thấy những điều này hàng nghìn lần trong hệ sinh thái Ethereum và làm sao tôi có thể bị lừa được?”
Trong khi đó, tin tặc sẽ rất vui vì bạn đã bị lừa. Mọi người làm theo cảm xúc trực quan của mình khiến họ trở nên bất cẩn. Khi có một cuộc tấn công phản trực giác, mọi người sẽ rơi vào bẫy.
Được rồi, chúng ta hãy xem một trường hợp thực tế lợi dụng tính phản trực giác.
Trước hết, một cảnh báo: Lừa đảo ủy quyền trên Solana còn tàn ác hơn nhiều. Ví dụ trên xảy ra vào ngày 5 tháng 3 năm 2022. Những kẻ tấn công đã airdrop NFT cho người dùng theo đợt (Hình 1). Người dùng đã truy cập trang web mục tiêu thông qua liên kết trong phần mô tả của NFT được airdrop (www_officialsolanarares_net) và kết nối ví của họ (Hình 2). Sau khi họ nhấp vào nút “Mint” trên trang, cửa sổ phê duyệt sẽ xuất hiện (Hình 3). Lưu ý rằng không có thông báo hoặc tin nhắn đặc biệt nào trong cửa sổ bật lên vào thời điểm này. Sau khi được chấp thuận, tất cả SOL trong ví sẽ được chuyển đi.
Khi người dùng nhấp vào nút “Phê duyệt”, họ thực sự đang tương tác với các hợp đồng thông minh độc hại do những kẻ tấn công triển khai: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
Mục tiêu cuối cùng của hợp đồng thông minh độc hại này là bắt đầu “Chuyển SOL”, chuyển gần như tất cả SOL của người dùng. Từ việc phân tích dữ liệu trên chuỗi, hành vi lừa đảo tiếp tục diễn ra trong vài ngày và số nạn nhân không ngừng tăng lên trong khoảng thời gian đó.
Có hai cạm bẫy từ ví dụ này mà bạn cần chú ý:
- Sau khi người dùng chấp thuận, hợp đồng thông minh độc hại có thể chuyển tài sản gốc của người dùng (SOL trong trường hợp này). Điều này là không thể trên Ethereum. Việc lừa đảo ủy quyền trên Ethereum chỉ có thể ảnh hưởng đến các mã thông báo khác chứ không ảnh hưởng đến tài sản gốc của ETH. Đây là phần phản trực giác sẽ khiến người dùng mất cảnh giác.
- Ví nổi tiếng nhất trên Solana, Phantom, có lỗ hổng trong cơ chế bảo mật khiến nó không tuân theo nguyên tắc “những gì bạn thấy là những gì bạn ký” (chúng tôi chưa thử nghiệm các ví khác) và nó không cung cấp đủ cảnh báo rủi ro cho người dùng. Điều này có thể dễ dàng tạo ra các điểm mù về bảo mật khiến người dùng phải trả giá.
Một số phương pháp tấn công nâng cao
Trên thực tế, có nhiều phương pháp tấn công tiên tiến, nhưng chúng hầu hết bị coi là lừa đảo từ góc độ công chúng. Tuy nhiên, một số không phải là cuộc tấn công lừa đảo thông thường. Ví dụ:
Tin tặc đã gửi một email lừa đảo có tệp đính kèm như sau:
Rủi ro rất lớn của Stablecoin (Được bảo vệ).docx
Thành thật mà nói, nó là một tài liệu hấp dẫn. Tuy nhiên, sau khi mở, máy tính của người dùng sẽ được cấy một Trojan (thường thông qua macro Office hoặc khai thác 0day/1day), thường chứa các chức năng sau:
- Thu thập tất cả các loại thông tin xác thực, ví dụ: liên quan đến trình duyệt hoặc liên quan đến SSH, v.v. Bằng cách này, tin tặc có thể mở rộng quyền truy cập của chúng vào các dịch vụ khác của người dùng mục tiêu. Do đó, sau khi bị lây nhiễm, người dùng thường được khuyên không chỉ dọn sạch thiết bị mục tiêu mà còn cả các quyền tài khoản liên quan.
- Keylogger, đặc biệt nhắm mục tiêu vào những thông tin nhạy cảm tạm thời xuất hiện như mật khẩu.
- Thu thập ảnh chụp màn hình có liên quan, các tệp nhạy cảm, v.v.
- Nếu là ransomware, tất cả các tệp trong hệ thống đích sẽ được mã hóa mạnh và chờ nạn nhân trả tiền chuộc, thường là bằng bitcoin. Nhưng trong trường hợp này, đó không phải là ransomware có hành vi rõ ràng, ồn ào hơn và có mục đích đơn giản hơn.
Ngoài ra, các Trojan nhắm mục tiêu vào ngành công nghiệp tiền điện tử sẽ được tùy chỉnh đặc biệt để thu thập thông tin nhạy cảm từ các ví hoặc sàn giao dịch nổi tiếng nhằm đánh cắp tiền của người dùng. Theo phân tích chuyên môn, Trojan được đề cập ở trên sẽ tiến hành một cuộc tấn công có chủ đích vào Metamask:
https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
Trojan sẽ thay thế MetaMask của người dùng bằng một MetaMask giả có cửa sau. MetaMask có cửa sau về cơ bản có nghĩa là mọi khoản tiền bạn lưu trữ bên trong sẽ không còn là của bạn nữa. Ngay cả khi bạn đang sử dụng ví phần cứng, MetaMask giả mạo này sẽ tìm cách đánh cắp tiền của bạn bằng cách thao túng thông tin địa chỉ đích hoặc số tiền.
Cách tiếp cận này được chế tạo đặc biệt cho các mục tiêu nổi tiếng có địa chỉ ví đã biết. Điều tôi nhận thấy là nhiều người như vậy quá kiêu ngạo để ngăn mình khỏi bị hack. Sau vụ hack, nhiều người sẽ rút ra bài học, tiến hành đánh giá đầy đủ, có những cải tiến đáng kể, đồng thời hình thành mối quan hệ hợp tác và tình bạn lâu dài với các chuyên gia hoặc cơ quan bảo mật đáng tin cậy. Tuy nhiên, trên thế giới này luôn có ngoại lệ. Một số người hoặc dự án liên tục bị hack liên tục. Nếu mỗi lần là vì điều gì đó mà chưa ai từng gặp phải thì tôi rất tôn trọng họ và gọi họ là những người tiên phong. Khả năng cao là họ sẽ thành công theo thời gian. Thật không may, nhiều sự cố là kết quả của những sai lầm rất ngu ngốc và lặp đi lặp lại mà có thể tránh được một cách dễ dàng. Tôi khuyên bạn nên tránh xa những dự án này.
So sánh, các cuộc tấn công lừa đảo hàng loạt đó không toàn diện chút nào. Những kẻ tấn công sẽ chuẩn bị một loạt các tên miền trông giống nhau và phát tán tải trọng bằng cách mua tài khoản, người theo dõi và tin nhắn lại trên Twitter hoặc các nền tảng xã hội khác. Nếu quản lý tốt, nhiều người sẽ rơi vào bẫy. Thực sự không có gì đặc biệt trong kiểu tấn công lừa đảo này và thông thường kẻ tấn công sẽ chỉ bắt người dùng ủy quyền các token (bao gồm cả NFT) một cách tàn nhẫn để chuyển chúng đi.
Có các kiểu tấn công nâng cao khác, ví dụ như sử dụng các kỹ thuật như XSS, CSRF, Reverse Proxy để làm trơn tru quá trình tấn công. Tôi sẽ không trình bày chi tiết về tất cả chúng ở đây, ngoại trừ một trường hợp rất đặc biệt (cuộc tấn công Cloudflare Man-in-the-Middle) là một trong những tình huống trong Reverse Proxy. Đã có những cuộc tấn công thực sự gây tổn thất tài chính khi sử dụng phương pháp cực kỳ bí mật này.
Vấn đề ở đây không phải là bản thân Cloudflare xấu xa hay bị hack. Thay vào đó, tài khoản Cloudflare của nhóm dự án bị xâm phạm. Nói chung, quy trình như sau: Nếu bạn sử dụng Cloudflare, bạn sẽ thấy mô-đun “Worker” này trong bảng điều khiển, có mô tả chính thức là:
Xây dựng các ứng dụng không có máy chủ và triển khai chúng ngay lập tức trên toàn thế giới, đạt được hiệu suất, độ tin cậy và quy mô tuyệt vời. Để biết chi tiết, vui lòng tham khảo https://developers.cloudflare.com/workers/
Tôi đã tạo một trang thử nghiệm từ lâu:
Khi bạn truy cập trang sẽ có một cửa sổ bật lên với nội dung:
xssor.io, Bị tấn công bởi Cloudflare.
Trên thực tế, cửa sổ bật lên này và thậm chí toàn bộ nội dung của x.html không thuộc về chính tài liệu đó. Tất cả đều được cung cấp bởi Cloudflare. Cơ chế được hiển thị dưới đây:
Dấu hiệu của đoạn mã trong ảnh chụp màn hình rất đơn giản: Nếu tôi là hacker và tôi đã kiểm soát tài khoản Cloudflare của bạn, tôi có thể sử dụng Công nhân để đưa tập lệnh độc hại tùy ý vào bất kỳ trang web nào. Và người dùng rất khó nhận ra rằng trang web mục tiêu đã bị tấn công và giả mạo vì sẽ không có cảnh báo lỗi (chẳng hạn như lỗi chứng chỉ HTTPS). Ngay cả nhóm dự án cũng không dễ dàng xác định được vấn đề nếu không phải dành nhiều thời gian để kiểm tra tính bảo mật của máy chủ và nhân sự của họ. Vào thời điểm họ nhận ra đó là Cloudflare Workers, tổn thất có thể đã rất đáng kể.
Cloudflare thực sự là một công cụ tốt. Nhiều trang web hoặc ứng dụng web sẽ sử dụng nó làm tường lửa ứng dụng web, giải pháp chống DDoS, CDN toàn cầu, proxy ngược, v.v. Vì có phiên bản miễn phí nên họ có lượng khách hàng lớn. Ngoài ra, còn có các dịch vụ như Akaimai, v.v.
Người dùng phải chú ý đến tính bảo mật của các tài khoản đó. Các vấn đề bảo mật tài khoản phát sinh cùng với sự gia tăng của Internet. Đó là một chủ đề phổ biến trên thế giới đến nỗi hầu hết mọi người đều nói về nó ở khắp mọi nơi, nhưng vẫn có nhiều người bị tấn công vì nó. Một số nguyên nhân cốt lõi có thể là do họ không sử dụng mật khẩu mạnh duy nhất cho các dịch vụ quan trọng (các trình quản lý mật khẩu như 1Password dù sao cũng không phổ biến), một số có thể do họ không buồn bật xác thực 2 yếu tố (2FA) hoặc có thể họ thậm chí không biết về điều đó. Chưa kể đối với một số dịch vụ nhất định, mật khẩu phải được đặt lại ít nhất mỗi năm một lần.
Được rồi, đây sẽ là phần cuối của phần này. Bạn chỉ cần hiểu rằng đây thực sự là một khu rừng tối tăm và bạn nên biết càng nhiều phương pháp tấn công càng tốt. Sau khi đã nhìn đủ trên giấy tờ, nếu ít nhất bạn đã rơi vào bẫy một hoặc hai lần, bạn có thể coi mình là một chuyên gia bảo mật nghiệp dư (điều này dù sao cũng sẽ có lợi cho bản thân bạn).
Bảo vệ quyền riêng tư truyền thống
Xin chúc mừng, bạn đã làm được phần này. Bảo vệ quyền riêng tư truyền thống là một chủ đề cũ: Đây là bài viết tôi viết năm 2014.
Bạn phải học một số thủ thuật để bảo vệ bản thân trong thời đại vi phạm quyền riêng tư.
https://evilcos.me/yinsi.html
Đọc lại bài viết này, mặc dù đây là một bài viết cấp độ đầu vào năm 2014, tuy nhiên, hầu hết những lời khuyên trong đó không hề lỗi thời. Sau khi đọc lại bài viết, tôi sẽ giới thiệu một điều mới ở đây: trên thực tế, bảo vệ quyền riêng tư có liên quan mật thiết đến bảo mật . Quyền riêng tư truyền thống là nền tảng của bảo mật. Phần này bao gồm các khóa riêng tư của bạn là một phần của quyền riêng tư. Nếu những viên đá góc không chắc chắn, sự riêng tư của những viên đá góc là vô nghĩa thì kiến trúc thượng tầng sẽ mong manh như một tòa nhà trên không.
Hai tài nguyên sau đây rất được khuyến khích:
GIÁM SÁT TỰ VỆ
MẸO, CÔNG CỤ VÀ CÁCH LÀM ĐỂ GIAO TIẾP TRỰC TUYẾN AN TOÀN HƠN
https://ssd.eff.org/
SURVEILLANCE SELF-DEFENSE là viết tắt của SSD. Được ra mắt bởi Electronic Frontier Foundation (EFF) nổi tiếng, tổ chức này đã đặc biệt ban hành các hướng dẫn liên quan để cho bạn biết cách tránh bị anh lớn theo dõi bạn trong thế giới Internet giám sát, trong đó bao gồm một số công cụ hữu ích (như Tor, WhatsApp, Signal, PGP, v.v.)
Hướng dẫn về quyền riêng tư: Chống giám sát bằng các công cụ mã hóa và quyền riêng tư
https://www.privacytools.io/
Trang web trên liệt kê đầy đủ một số công cụ. Nó cũng đề xuất một số sàn giao dịch tiền điện tử, ví, v.v. Tuy nhiên, cần lưu ý rằng tôi không sử dụng nhiều công cụ được liệt kê trên trang web, vì tôi có cách riêng của mình. Vì vậy, bạn cũng nên phát triển theo cách riêng của mình, bằng việc so sánh và cải tiến liên tục.
Dưới đây là một số công cụ nổi bật mà tôi khuyên bạn nên sử dụng.
Hệ điêu hanh
Phiên bản Windows 10 (trở lên) và macOS đều là những lựa chọn an toàn. Nếu có khả năng, bạn có thể chọn Linux, chẳng hạn như Ubuntu, hoặc thậm chí những hệ thống cực kỳ chú trọng đến bảo mật và quyền riêng tư như Tails hoặc Whonix.
Về chủ đề Hệ điều hành, nguyên tắc bảo mật đơn giản nhất là: chú ý đến các bản cập nhật hệ thống và áp dụng chúng càng sớm càng tốt khi có. Tiếp theo là khả năng làm chủ Hệ điều hành. Mọi người có thể hỏi, bạn cần học gì để thành thạo Hệ điều hành như Windows hoặc MacOS? Không phải chỉ là nhấp chuột thôi sao? Vâng, nó thực sự là xa là đủ. Đối với người dùng mới làm quen, phần mềm chống vi-rút tốt như Kaspersky, BitDefender là điều bắt buộc và cả hai đều có sẵn trên MacOS.
Và sau đó, đừng quên vấn đề bảo mật tải xuống mà tôi đã đề cập trước đó. Bạn sẽ loại bỏ được hầu hết các rủi ro nếu bạn không tải xuống và cài đặt chương trình một cách liều lĩnh.
Tiếp theo, hãy nghĩ xem bạn sẽ làm gì nếu máy tính của bạn bị mất hoặc bị đánh cắp. Có mật khẩu khởi động rõ ràng là không đủ tốt. Nếu mã hóa ổ đĩa không được bật, kẻ xấu có thể lấy ổ cứng ra và lấy dữ liệu bên trong. Vì vậy lời khuyên của tôi là nên bật tính năng mã hóa ổ đĩa cho các máy tính quan trọng.
https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837
Chúng tôi cũng có các công cụ mạnh mẽ và huyền thoại như VeraCrypt (TrueCrypt trước đây), vui lòng dùng thử nếu bạn quan tâm:
Bạn có thể tiến thêm một bước nữa để kích hoạt mật khẩu BIOS hoặc phần sụn. Tôi đã tự mình làm điều đó nhưng nó hoàn toàn phụ thuộc vào sự lựa chọn của riêng bạn. Chỉ cần nhớ: nếu bạn làm vậy, hãy nhớ mật khẩu thật rõ ràng, nếu không sẽ không ai có thể giúp bạn. Tôi thật may mắn khi đã từng rơi vào hố thỏ trước đó, khiến tôi phải trả giá bằng một chiếc máy tính xách tay, một ít tiền điện tử và một tuần. Mặt khác, đó cũng là một trải nghiệm học tập rất tốt.
Điện thoại di động
Ngày nay iPhone và Android là hai loại điện thoại di động phổ thông duy nhất. Tôi từng là một fan cuồng nhiệt của BlackBerry nhưng vinh quang của nó đã phai nhạt theo thời gian. Trước đây, vấn đề bảo mật của điện thoại Android khiến tôi rất lo lắng. Một mặt nó vẫn còn ở giai đoạn đầu, mặt khác các phiên bản còn rất rời rạc, mỗi thương hiệu sẽ có phiên bản Android phân nhánh riêng. Nhưng bây giờ mọi thứ đã được cải thiện rất nhiều.
Trên điện thoại di động chúng ta cũng cần chú ý đến vấn đề cập nhật bảo mật và bảo mật tải xuống. Ngoài ra, hãy chú ý đến những điểm sau:
- Không bẻ khóa/root điện thoại của bạn, điều đó là không cần thiết trừ khi bạn đang thực hiện nghiên cứu bảo mật có liên quan. Nếu bạn đang thực hiện việc đó cho phần mềm vi phạm bản quyền, điều đó thực sự phụ thuộc vào mức độ bạn có thể thành thạo kỹ năng này.
- Không tải xuống ứng dụng từ các cửa hàng ứng dụng không chính thức.
- Đừng làm điều đó trừ khi bạn biết bạn đang làm gì. Chưa kể thậm chí còn có rất nhiều ứng dụng giả mạo trên các kho ứng dụng chính thức.
- Điều kiện tiên quyết để sử dụng chức năng đồng bộ hóa Đám mây chính thức là bạn phải đảm bảo tài khoản của mình được an toàn, nếu không, nếu tài khoản Đám mây bị xâm phạm thì điện thoại di động cũng vậy.
Cá nhân tôi dựa nhiều hơn vào iPhone. Và bạn sẽ cần ít nhất hai tài khoản iCloud: một ở Trung Quốc và một ở nước ngoài. Bạn sẽ cần chúng để cài đặt các ứng dụng có giới hạn khu vực khác nhau. (nghe có vẻ khá kỳ lạ nhưng hoan nghênh sự thật)
Mạng
Các vấn đề an ninh mạng từng là vấn đề nhức nhối nhưng đã có những cải tiến đáng kể trong những năm gần đây, đặc biệt kể từ khi chính sách HTTPS Everywhere được áp dụng rộng rãi.
Trong trường hợp xảy ra một cuộc tấn công chiếm quyền điều khiển mạng (tấn công trung gian) đang diễn ra, sẽ có cảnh báo lỗi hệ thống tương ứng. Nhưng luôn có những trường hợp ngoại lệ, vì vậy khi bạn có lựa chọn, hãy sử dụng tùy chọn an toàn hơn. Ví dụ: không kết nối với các mạng Wi-Fi lạ trừ khi mạng 4G/5G phổ biến và an toàn hơn không khả dụng hoặc không ổn định.
Trình duyệt
Các trình duyệt phổ biến nhất là Chrome và Firefox, trong lĩnh vực tiền điện tử, một số trình duyệt cũng sẽ sử dụng Brave. Những trình duyệt nổi tiếng này có một đội ngũ mạnh và sẽ có những cập nhật bảo mật kịp thời. Chủ đề về bảo mật trình duyệt rất rộng. Dưới đây là một số lời khuyên để bạn biết:
- Cập nhật càng nhanh càng tốt, đừng bỏ lỡ cơ hội.
- Không sử dụng tiện ích mở rộng nếu không cần thiết. Nếu bạn làm như vậy, hãy đưa ra quyết định dựa trên đánh giá của người dùng, số lượng người dùng, công ty duy trì, v.v. và chú ý đến quyền mà nó yêu cầu. Đảm bảo bạn nhận được tiện ích mở rộng từ cửa hàng ứng dụng chính thức của trình duyệt.
- Có thể sử dụng song song nhiều trình duyệt và chúng tôi khuyên bạn nên thực hiện các thao tác quan trọng trong một trình duyệt và sử dụng trình duyệt khác cho các thao tác thường xuyên hơn, ít quan trọng hơn.
- Dưới đây là một số tiện ích mở rộng tập trung vào quyền riêng tư nổi tiếng (chẳng hạn như uBlock Origin, HTTPS Everywhere, ClearURLs, v.v.), vui lòng dùng thử.
Đặc biệt, trong Firefox, tôi cũng sẽ sử dụng tiện ích mở rộng cổ xưa huyền thoại NoScript, tiện ích mở rộng đã được chứng minh là có khả năng chống lại các tải trọng JavaScript độc hại. Ngày nay, các trình duyệt ngày càng trở nên an toàn hơn khi chúng bổ sung hỗ trợ cho những thứ như chính sách cùng nguồn gốc, CSP, chính sách bảo mật Cookie, tiêu đề bảo mật HTTP, chính sách bảo mật tiện ích mở rộng, v.v. Do đó, nhu cầu sử dụng một công cụ như NoScript ngày càng trở nên nhỏ hơn và nhỏ hơn, hãy xem nếu quan tâm.
Trình quản lý mật khẩu
Nếu bạn chưa sử dụng trình quản lý mật khẩu, có thể bạn chưa biết sự tiện lợi của việc sử dụng trình quản lý này hoặc bạn có cung điện bộ nhớ mạnh mẽ của riêng mình. Nguy cơ trí nhớ của não cũng đã được đề cập trước đó, một là thời gian sẽ làm suy yếu hoặc gián đoạn trí nhớ của bạn; hai là bạn có thể gặp tai nạn. Trong cả hai trường hợp, tôi vẫn khuyên bạn nên sử dụng trình quản lý mật khẩu phù hợp với bộ nhớ não của mình, sử dụng một trình quản lý mật khẩu nổi tiếng như 1Password, Bitwarden, v.v.
Tôi không cần trình bày phần này quá nhiều, có rất nhiều hướng dẫn liên quan trên mạng, thật dễ dàng để bắt đầu mà không cần hướng dẫn.
Điều tôi cần nhắc bạn ở đây là:
- Đừng bao giờ quên mật khẩu chính của bạn và giữ an toàn cho thông tin tài khoản của bạn, nếu không mọi thứ sẽ bị mất.
- Đảm bảo email của bạn được an toàn. Nếu email của bạn bị xâm phạm, nó có thể không trực tiếp xâm phạm thông tin nhạy cảm trong trình quản lý mật khẩu của bạn, nhưng những kẻ xấu có khả năng phá hủy nó.
- Tôi đã xác minh tính bảo mật của các công cụ tôi đã đề cập (chẳng hạn như 1Password) và đã theo dõi chặt chẽ các sự cố bảo mật có liên quan, đánh giá của người dùng, tin tức, v.v. Nhưng tôi không thể đảm bảo rằng các công cụ này an toàn tuyệt đối và không có sự kiện thiên nga đen nào xảy ra sẽ xảy ra trong tương lai với họ.
Một điều tôi đánh giá cao là phần giới thiệu và mô tả trang bảo mật của 1Password chẳng hạn.
Trang này có các khái niệm thiết kế bảo mật, chứng chỉ bảo mật và quyền riêng tư có liên quan, sách trắng về thiết kế bảo mật, báo cáo kiểm tra bảo mật, v.v. Mức độ minh bạch và cởi mở này cũng tạo điều kiện thuận lợi cho việc xác nhận cần thiết trong ngành. Tất cả các nhóm dự án nên học hỏi từ điều này.
Bitwarden tiến thêm một bước nữa vì nó hoàn toàn là nguồn mở, bao gồm cả phía máy chủ, vì vậy bất kỳ ai cũng có thể xác thực, kiểm tra và đóng góp. Bây giờ bạn thấy? Mục đích của 1Password và Bitwarden rất rõ ràng:
Tôi rất an toàn và tôi lo ngại về sự riêng tư. Không chỉ riêng tôi nói mà cơ quan chức năng bên thứ ba cũng nói như vậy. Vui lòng kiểm tra tôi và để giúp bạn kiểm tra dễ dàng, tôi đã nỗ lực rất nhiều để cởi mở bất cứ khi nào có thể. Nếu việc tôi làm không khớp với lời tôi nói thì rất dễ thách thức tôi. Và điều này được gọi là Niềm tin An ninh.
Xác thực hai yếu tố
Nói về bảo mật danh tính của bạn trên Internet, lớp đầu tiên dựa vào mật khẩu, lớp thứ hai dựa vào xác thực hai yếu tố và lớp thứ ba dựa vào khả năng kiểm soát rủi ro của chính dự án mục tiêu. Tôi không thể nói rằng xác thực hai yếu tố là điều bắt buộc. Ví dụ: nếu bạn đang sử dụng ví phi tập trung, một lớp mật khẩu đã đủ khó chịu (hiện tại về cơ bản chúng hỗ trợ nhận dạng sinh trắc học như nhận dạng khuôn mặt hoặc dấu vân tay để cải thiện trải nghiệm người dùng), không ai muốn sử dụng yếu tố thứ hai. Nhưng trong nền tảng tập trung, bạn phải sử dụng 2FA. Bất kỳ ai cũng có thể truy cập vào nền tảng tập trung và nếu thông tin đăng nhập của bạn bị đánh cắp, tài khoản của bạn sẽ bị xâm phạm và tiền của bạn sẽ bị mất. Ngược lại, mật khẩu cho ví phi tập trung của bạn chỉ là xác thực cục bộ, ngay cả khi hacker lấy được mật khẩu, họ vẫn cần có quyền truy cập vào thiết bị nơi đặt ví của bạn.
Bây giờ bạn đã thấy sự khác biệt? Một số công cụ xác thực hai yếu tố (2FA) nổi tiếng bao gồm: Google Authenticator, Microsoft Authenticator, v.v. Tất nhiên, nếu bạn sử dụng trình quản lý mật khẩu (chẳng hạn như 1Password), nó cũng đi kèm với mô-đun 2FA , rất tiện dụng. Luôn nhớ tạo bản sao lưu vì việc mất 2FA có thể gây rắc rối.
Ngoài ra, xác thực hai yếu tố cũng có thể là một khái niệm rộng hơn. Ví dụ: khi số nhận dạng tài khoản và mật khẩu được sử dụng để đăng nhập vào nền tảng mục tiêu, số nhận dạng tài khoản của chúng tôi thường là email hoặc số điện thoại di động. Tại thời điểm này, hộp thư hoặc số điện thoại di động có thể được sử dụng làm 2FA để nhận mã xác minh. Nhưng mức độ bảo mật của phương pháp này không tốt bằng. Ví dụ: nếu hộp thư bị xâm phạm hoặc thẻ SIM bị tấn công hoặc dịch vụ của bên thứ ba được sử dụng để gửi email và tin nhắn văn bản bị tấn công thì mã xác minh do nền tảng gửi cũng sẽ bị lộ.
Lướt Internet khoa học
Vì lý do chính sách, chúng ta đừng nói quá nhiều về vấn đề này mà chỉ chọn một trong những giải pháp nổi tiếng. Mọi thứ sẽ được kiểm soát tốt hơn nếu bạn có thể xây dựng giải pháp của riêng mình. Suy cho cùng, điểm xuất phát của chúng ta là lướt Internet một cách khoa học và an toàn.
Nếu không sử dụng giải pháp tự xây dựng, bạn không thể loại trừ hoàn toàn khả năng xảy ra cuộc tấn công trung gian. Như đã đề cập trước đó, tình hình an ninh Internet không còn tệ như trước, đặc biệt là sau khi chính sách HTTPS Everywhere được áp dụng rộng rãi. Tuy nhiên, một số sự yên bình có thể chỉ là bề mặt của nước, và bên dưới bề mặt đã có những dòng chảy ngầm mà chúng ta không dễ dàng nhận ra. Thành thật mà nói, tôi thực sự không có giải pháp nào cho việc này. Việc xây dựng giải pháp của riêng bạn không phải là điều dễ dàng nhưng nó chắc chắn có giá trị. Và nếu không thể, hãy đảm bảo bạn kiểm tra bằng nhiều nguồn và chọn nguồn uy tín đã có từ lâu.
Email là nền tảng nhận dạng dựa trên web của chúng tôi. Chúng tôi sử dụng email để đăng ký rất nhiều dịch vụ. Hầu như tất cả các dịch vụ email chúng tôi sử dụng đều miễn phí. Nó giống như không khí và bạn không nghĩ nó sẽ biến mất. Điều gì sẽ xảy ra nếu một ngày nào đó dịch vụ Email của bạn không còn nữa thì tất cả các dịch vụ khác phụ thuộc vào nó sẽ rơi vào tình thế khá khó xử. Tình huống cực đoan này thực sự không phải là không thể xảy ra nếu có chiến tranh, thiên tai, v.v. Tất nhiên, nếu những tình huống cực đoan này xảy ra, Email đối với bạn sẽ không còn quan trọng bằng sự sống còn.
Khi nói đến các nhà cung cấp dịch vụ Email, bạn nên chọn từ những gã khổng lồ công nghệ, chẳng hạn như Gmail, Outlook hoặc QQ Email. Tình cờ là các nghiên cứu bảo mật trước đây của tôi đều đề cập đến lĩnh vực này. Tình trạng bảo mật của những hộp thư này đủ tốt. Nhưng bạn vẫn phải cẩn thận về các cuộc tấn công lừa đảo qua Email. Bạn không cần phải xử lý từng Email, đặc biệt là các liên kết và tệp đính kèm được nhúng, nơi có thể ẩn Trojan.
Nếu bạn gặp phải một cuộc tấn công cực kỳ tinh vi nhằm vào các nhà cung cấp dịch vụ Email của mình thì bạn sẽ phải tự lo liệu.
Bên cạnh dịch vụ email của những gã khổng lồ công nghệ này, nếu bạn rất quan tâm đến quyền riêng tư, bạn có thể xem qua hai dịch vụ email thân thiện với quyền riêng tư nổi tiếng này: ProtonMail và Tutanota. Đề xuất của tôi là tách những hộp thư thân thiện với quyền riêng tư này khỏi việc sử dụng hàng ngày và chỉ sử dụng chúng cho các dịch vụ yêu cầu đặc biệt chú ý đến quyền riêng tư. Bạn cũng cần thường xuyên sử dụng dịch vụ Email miễn phí của mình để tránh trường hợp tài khoản của bạn bị treo do không hoạt động trong thời gian dài.
Thẻ SIM
Thẻ SIM và số điện thoại di động cũng là những thông tin nhận dạng cơ bản rất quan trọng trong nhiều trường hợp, giống như email. Trong những năm gần đây, các nhà mạng lớn ở nước ta đã làm rất tốt việc bảo vệ an ninh số điện thoại di động. Ví dụ: có các giao thức bảo mật và quy trình xác minh nghiêm ngặt để hủy và cấp lại thẻ SIM và tất cả đều diễn ra tại chỗ. Về chủ đề tấn công thẻ SIM, hãy để tôi cho bạn một ví dụ:
Vào năm 2019.5, tài khoản Coinbase của ai đó đã bị tấn công cổng SIM (tấn công chuyển thẻ SIM) và không may bị mất hơn 100.000 đô la Mỹ tiền điện tử. Quá trình tấn công đại khái như sau:
Kẻ tấn công đã lấy được thông tin quyền riêng tư của người dùng mục tiêu thông qua kỹ thuật xã hội và các phương pháp khác, đồng thời lừa nhà điều hành điện thoại di động cấp cho anh ta một thẻ SIM mới, sau đó anh ta dễ dàng chiếm đoạt tài khoản Coinbase của người dùng mục tiêu thông qua cùng một số điện thoại di động. SIM đã được chuyển đi, điều này rất rắc rối. Sẽ rất rắc rối nếu thẻ SIM của bạn bị kẻ tấn công chuyển đi, vì ngày nay, nhiều dịch vụ trực tuyến sử dụng số điện thoại di động của chúng tôi làm yếu tố xác thực trực tiếp hoặc 2FA. Đây là một cơ chế xác thực rất tập trung và số điện thoại di động trở thành điểm yếu.
Để phân tích chi tiết, vui lòng tham khảo:
Đề xuất bảo vệ cho việc này thực sự rất đơn giản: kích hoạt giải pháp 2FA phổ biến.
Thẻ SIM còn có một rủi ro khác: đó là nếu điện thoại bị mất hoặc bị đánh cắp, sẽ thật xấu hổ khi kẻ xấu có thể lấy thẻ SIM ra và sử dụng. Đây là những gì tôi đã làm: Kích hoạt mật khẩu thẻ SIM (mã PIN), để mỗi khi bật điện thoại hoặc sử dụng thẻ SIM trên thiết bị mới, tôi cần nhập đúng mật khẩu. Vui lòng hỏi Google để biết cách làm chi tiết. Đây là lời nhắc nhở của tôi: đừng quên mật khẩu này, nếu không sẽ rất rắc rối.
GPG
Nhiều nội dung trong phần này đã được đề cập ở các phần trước và tôi muốn bổ sung thêm các khái niệm cơ bản ở đây.: Đôi khi bạn sẽ gặp những cái tên trông giống nhau như PGP, OpenPGP và GPG. Đơn giản chỉ cần phân biệt chúng như sau:
- PGP, viết tắt của Pretty Good Privacy, là một phần mềm mã hóa thương mại có tuổi đời 30 năm hiện thuộc quyền quản lý của Symantec.
- OpenPGP là một tiêu chuẩn mã hóa có nguồn gốc từ PGP.
- GPG tên đầy đủ là GnuPG là phần mềm mã hóa mã nguồn mở dựa trên chuẩn OpenPGP.
Lõi của chúng tương tự nhau và với GPG, bạn tương thích với những lõi khác. Ở đây tôi thực sự khuyên bạn một lần nữa: Trong mã hóa bảo mật, đừng cố gắng phát minh lại bánh xe; GPG nếu được sử dụng đúng cách có thể cải thiện đáng kể mức độ bảo mật!
sự tách biệt
Giá trị cốt lõi đằng sau nguyên tắc bảo mật về sự tách biệt là tư duy không tin cậy. Bạn phải hiểu rằng dù chúng ta có mạnh đến đâu thì sớm hay muộn chúng ta cũng sẽ bị hack, bất kể đó là hacker bên ngoài, người trong cuộc hay chính chúng ta. Khi bị hack, việc dừng lỗ phải là bước đầu tiên. Khả năng dừng lỗ bị nhiều người bỏ qua và đó là lý do khiến họ bị hack hết lần này đến lần khác. Nguyên nhân sâu xa là chưa có thiết kế bảo mật, đặc biệt là các phương pháp đơn giản như phân tách
Thực hành phân tách tốt có thể đảm bảo rằng trong trường hợp xảy ra sự cố bảo mật, bạn chỉ mất những tài sản liên quan trực tiếp đến mục tiêu bị xâm phạm mà không ảnh hưởng đến các tài sản khác.
Ví dụ:
- Nếu bạn thực hành bảo mật mật khẩu tốt thì khi một trong các tài khoản của bạn bị hack, mật khẩu tương tự sẽ không ảnh hưởng đến các tài khoản khác.
- Nếu tiền điện tử của bạn không được lưu trữ dưới một bộ hạt giống ghi nhớ, bạn sẽ không mất tất cả nếu bạn bước vào bẫy.
- Nếu máy tính của bạn bị nhiễm virus, may mắn thay đây chỉ là một máy tính được sử dụng cho các hoạt động thông thường và không có gì quan trọng trong đó. Vì vậy, bạn không cần phải hoảng sợ, vì việc cài đặt lại máy tính sẽ giải quyết được hầu hết các vấn đề. Nếu bạn giỏi sử dụng máy ảo thì mọi chuyện còn tốt hơn nữa vì bạn chỉ cần khôi phục ảnh chụp nhanh. Các công cụ máy ảo tốt là: VMware, Parallels.
- Tóm lại, bạn có thể có ít nhất hai tài khoản, hai công cụ, hai thiết bị, v.v. Việc tạo hoàn toàn một danh tính ảo độc lập sau khi bạn đã quen với nó là không thể.
Tôi đã đề cập đến một quan điểm cực đoan hơn trước đây: quyền riêng tư không phải để chúng ta bảo vệ, quyền riêng tư cần được kiểm soát.
Sở dĩ có quan điểm này là: trong môi trường Internet hiện nay, quyền riêng tư thực sự đã bị rò rỉ nghiêm trọng. May mắn thay, các quy định liên quan đến quyền riêng tư ngày càng được áp dụng rộng rãi trong những năm gần đây và mọi người ngày càng chú ý hơn. Mọi thứ thực sự đang đi đúng hướng. Nhưng trước đó, trong mọi trường hợp, khi bạn đã nắm vững các điểm kiến thức tôi liệt kê, bạn sẽ có thể kiểm soát quyền riêng tư của mình một cách dễ dàng. Trên Internet, nếu đã quen, bạn có thể có một số danh tính ảo gần như độc lập với nhau.
An ninh của bản chất con người
Con người luôn ở mức rủi ro cao nhất và vĩnh viễn. Có một câu trích dẫn trong Bài toán ba thân: “Sự yếu đuối và ngu dốt không phải là rào cản cho sự sống còn mà chính sự kiêu ngạo mới là rào cản”.
- Đừng kiêu ngạo: Nếu bạn nghĩ rằng mình đã mạnh mẽ thì bạn vẫn ổn với chính mình. Đừng coi thường cả thế giới. Đặc biệt, đừng quá tự hào và nghĩ rằng mình có thể thách thức được các hacker toàn cầu. Việc học không có điểm dừng và vẫn còn nhiều trở ngại.
- Đừng tham lam: Lòng tham quả thực là động lực để tiến về phía trước trong nhiều trường hợp, nhưng hãy thử nghĩ xem, tại sao cơ hội tốt như vậy lại chỉ dành riêng cho bạn?
- Đừng bốc đồng: sự bốc đồng là ma quỷ sẽ dẫn bạn vào bẫy. Hành động hấp tấp là cờ bạc.
Có vô số điều trong bản chất con người để nói đến và bạn không thể cẩn thận hơn. Hãy đặc biệt chú ý đến những điểm sau đây và xem những kẻ xấu lợi dụng điểm yếu trong bản chất con người bằng cách sử dụng nhiều nền tảng tiện lợi khác nhau như thế nào.
điện tín
Tôi đã nói trước đó rằng Telegram là web đen lớn nhất. Tôi phải nói rằng mọi người thích Telegram vì tính bảo mật, ổn định và thiết kế mở. Nhưng văn hóa mở của Telegram cũng thu hút kẻ xấu: số lượng người dùng khổng lồ, chức năng tùy biến cao, dễ dàng xây dựng mọi loại dịch vụ Bot. Kết hợp với tiền điện tử, trải nghiệm giao dịch thực tế vượt xa các thị trường web đen trong Tor. Và có quá nhiều cá trong đó.
Thông thường, mã định danh duy nhất của các tài khoản mạng xã hội chỉ là tên người dùng, id người dùng, nhưng những thứ này có thể bị kẻ xấu sao chép hoàn toàn. Một số nền tảng xã hội có cơ chế xác thực tài khoản, chẳng hạn như thêm biểu tượng chữ V màu xanh lam hoặc thứ gì đó. Các tài khoản mạng xã hội công khai có thể được xác thực thông qua một số chỉ số, chẳng hạn như số lượng người theo dõi, nội dung đăng tải, tương tác với người hâm mộ, v.v. Các tài khoản mạng xã hội không công khai khó khăn hơn một chút. Thật vui khi thấy Telegram đã phát hành chức năng “Chúng ta thuộc về nhóm nào”.
Ở đâu có sơ hở có thể bị lợi dụng và thu được lợi nhuận đáng kể thì ở đó chắc chắn đã có sẵn một lũ kẻ xấu, đó là bản chất của con người.
Kết quả là, các nền tảng truyền thông xã hội chứa đầy bẫy lừa đảo. Ví dụ: Trong một cuộc trò chuyện nhóm, một người trông giống như dịch vụ khách hàng chính thức đột nhiên xuất hiện và bắt đầu một cuộc trò chuyện riêng tư (bất kỳ cuộc trò chuyện riêng tư nào là tính năng của Telegram, không cần yêu cầu kết bạn), sau đó thoát ra khỏi chiến thuật cổ điển của thư rác, cá sẽ cắn nhau.
Hoặc những kẻ tấn công có thể tiến thêm một bước nữa và thêm bạn vào một nhóm khác. Tất cả những người tham gia mua hàng của bạn đều là giả, nhưng đối với bạn nó trông rất thực tế. Chúng tôi gọi kỹ thuật này là Nhân bản nhóm trong xã hội ngầm.
Đây chỉ là những phương pháp cơ bản nhằm thao túng bản chất con người, các kỹ thuật tiên tiến sẽ kết hợp với các lỗ hổng nên khó ngăn chặn hơn.
Bất hòa
Discord là một nền tảng xã hội/phần mềm IM mới và phổ biến được phát triển trong hai năm qua. Chức năng cốt lõi là máy chủ cộng đồng (không phải khái niệm máy chủ truyền thống), như tuyên bố chính thức cho biết:
Discord là ứng dụng trò chuyện thoại, video và văn bản miễn phí được hàng chục triệu người từ 13 tuổi trở lên sử dụng để trò chuyện và đi chơi với cộng đồng và bạn bè của họ.
Mọi người sử dụng Discord hàng ngày để nói về nhiều thứ, từ các dự án nghệ thuật và chuyến du lịch gia đình đến bài tập về nhà và hỗ trợ sức khỏe tâm thần. Đây là ngôi nhà dành cho các cộng đồng thuộc mọi quy mô nhưng được sử dụng rộng rãi nhất bởi các nhóm nhỏ và năng động, những người thường xuyên nói chuyện.
Nó trông rất tuyệt nhưng đòi hỏi một tiêu chuẩn thiết kế bảo mật khá mạnh. Discord có các quy tắc và chính sách bảo mật cụ thể như sau:
Thật không may, hầu hết mọi người sẽ không buồn đọc nó một cách cẩn thận. Hơn nữa, Discord không phải lúc nào cũng có thể minh họa rõ ràng một số vấn đề bảo mật cốt lõi nhất định, bởi vì họ sẽ phải đội mũ cho kẻ tấn công, điều này không phải lúc nào cũng khả thi.
Ví dụ:
Với rất nhiều vụ trộm NFT trên Discord, các phương thức tấn công chính là gì? Trước khi chúng tôi tìm ra điều này, lời khuyên bảo mật của Discord là vô ích.
Lý do chính đằng sau nhiều vụ Discordhacks của dự án thực ra là Discord Token, là nội dung của trường ủy quyền trong tiêu đề yêu cầu HTTP. Nó đã tồn tại trong Discord từ rất lâu. Đối với hacker, nếu tìm được cách lấy được Discord Token này, chúng gần như có thể kiểm soát toàn bộ đặc quyền của máy chủ Discord mục tiêu. Có nghĩa là, nếu mục tiêu là quản trị viên, tài khoản có đặc quyền quản trị hoặc bot Discord, thì tin tặc có thể làm bất cứ điều gì chúng muốn. Ví dụ: bằng cách công bố một trang web lừa đảo NFT, họ khiến mọi người nghĩ rằng đó là thông báo chính thức và cá sẽ cắn câu.
Một số người có thể hỏi, nếu tôi thêm xác thực hai yếu tố (2FA) vào tài khoản Discord của mình thì sao? Tuyệt đối là một thói quen tốt! Nhưng Discord Token không liên quan gì đến trạng thái 2FA của tài khoản của bạn. Khi tài khoản của bạn bị vi phạm, bạn nên thay đổi mật khẩu Discord của mình ngay lập tức để làm cho Mã thông báo Discord ban đầu không hợp lệ.
Đối với câu hỏi làm thế nào hacker có thể lấy được Discord Token, chúng tôi đã tìm ra ít nhất ba kỹ thuật chính và chúng tôi sẽ cố gắng giải thích chi tiết trong tương lai. Đối với người dùng bình thường, có rất nhiều việc có thể làm, nhưng điểm cốt lõi là: đừng vội, đừng tham lam và hãy xác minh từ nhiều nguồn.
Lừa đảo “chính thức”
Kẻ xấu rất giỏi lợi dụng vai diễn, đặc biệt là vai chính thức. Ví dụ: trước đây chúng tôi đã đề cập đến phương thức dịch vụ khách hàng giả mạo. Ngoài ra, vào tháng 4 năm 2022, nhiều người dùng ví phần cứng nổi tiếng Trezor đã nhận được email lừa đảo từ trezor.us, đây không phải là miền Trezor chính thức trezor.io. Có một sự khác biệt nhỏ trong hậu tố tên miền. Hơn nữa, các tên miền sau cũng được phát tán qua email lừa đảo.
Tên miền này có một “điểm nhấn”, nhìn kỹ chữ ẹ trong đó bạn sẽ thấy đó không phải là chữ e. Gây nhầm lẫn? Nó thực sự là Punycode, mô tả tiêu chuẩn như sau:
Mã hóa chuỗi khởi động của Unicode cho tên miền quốc tế hóa trong ứng dụng (IDNA) là mã hóa tên miền quốc tế hóa đại diện cho một bộ ký tự giới hạn ở cả mã Unicode và ASCII.
Nếu ai đó giải mã trẹzor, nó sẽ trông như thế này: xn-trzor-o51b, đây là tên miền thật!
Tin tặc đã sử dụng Punycode để lừa đảo trong nhiều năm, vào năm 2018, một số người dùng Binance đã bị xâm phạm bởi thủ thuật tương tự.
Những loại trang web lừa đảo này có thể khiến nhiều người thất vọng, chưa kể những cuộc tấn công nâng cao hơn như hộp thư chính thức bị kiểm soát hoặc các cuộc tấn công giả mạo thư do vấn đề cấu hình SPF gây ra. Kết quả là nguồn của email trông giống hệt như nguồn chính thức.
Nếu đó là nội bộ lừa đảo, người dùng không thể làm gì được. các nhóm dự án nên nỗ lực nhiều để ngăn chặn các mối đe dọa nội bộ. Người trong cuộc là con ngựa thành Troy lớn nhất nhưng họ thường bị bỏ quên.
Vấn đề về quyền riêng tư của Web3
Với sự phổ biến ngày càng tăng của Web3, ngày càng có nhiều dự án thú vị hoặc nhàm chán xuất hiện: như tất cả các loại cơ sở hạ tầng Web3, nền tảng xã hội, v.v. Một số trong số đó đã thực hiện phân tích dữ liệu lớn và xác định các chân dung hành vi khác nhau của các mục tiêu, không chỉ trên blockchain bên cạnh mà còn trên các nền tảng Web2 nổi tiếng. Một khi bức chân dung xuất hiện, mục tiêu về cơ bản là một người trong suốt. Và sự xuất hiện của nền tảng xã hội Web3 cũng có thể làm trầm trọng thêm những vấn đề về quyền riêng tư như vậy.
Hãy nghĩ về điều này, khi bạn thử nghiệm tất cả những thứ liên quan đến Web3 này, chẳng hạn như ràng buộc chữ ký, tương tác chuỗi, v.v., bạn có đang đánh mất nhiều quyền riêng tư của mình hơn không? Nhiều người có thể không đồng ý, nhưng khi nhiều phần kết hợp với nhau thì sẽ có một bức tranh chính xác và toàn diện hơn: bạn muốn thu thập NFT nào, bạn đã tham gia cộng đồng nào, bạn thuộc danh sách trắng nào, bạn kết nối với ai, tài khoản Web2 nào bạn bị ràng buộc, bạn đang hoạt động trong khoảng thời gian nào, v.v. Hãy xem, blockchain đôi khi khiến quyền riêng tư trở nên tồi tệ hơn. Nếu quan tâm đến quyền riêng tư, bạn sẽ phải cẩn thận với mọi thứ mới xuất hiện và giữ thói quen tốt là tách biệt danh tính của mình.
Tại thời điểm này, nếu vô tình khóa riêng bị đánh cắp, việc mất mát không chỉ đơn giản là tiền mà còn là tất cả các quyền và lợi ích của Web3 được duy trì cẩn thận. Chúng tôi thường nói rằng khóa riêng là danh tính và bây giờ bạn gặp vấn đề về ID thực sự.
Đừng bao giờ thử thách bản chất con người.
Những trò tai quái của Blockchain
Công nghệ chuỗi khối đã tạo ra một ngành công nghiệp hoàn toàn mới. Cho dù bạn gọi nó là BlockFi, DeFi, tiền điện tử, tiền ảo, tiền kỹ thuật số, Web3, v.v., cốt lõi của mọi thứ vẫn là blockchain. Hầu hết sự cường điệu đều tập trung vào các hoạt động tài chính, chẳng hạn như tài sản tiền điện tử, bao gồm các mã thông báo không thể thay thế (hoặc NFT, bộ sưu tập kỹ thuật số).
Ngành công nghiệp chuỗi khối rất năng động và hấp dẫn, nhưng có quá nhiều cách để làm điều ác. Các đặc điểm đặc biệt của blockchain làm phát sinh một số tệ nạn khá độc đáo, bao gồm và không giới hạn ở hành vi trộm cắp tiền điện tử, tiền điện tử, ransomware, giao dịch web đen, tấn công C2, rửa tiền, kế hoạch Ponzi, cờ bạc, v.v. Tôi đã lập một bản đồ tư duy vào năm 2019 để tham khảo.
https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png
Trong khi đó, nhóm SlowMist đang duy trì và cập nhật SlowMist Hacked – một cơ sở dữ liệu đang phát triển về các hoạt động hack liên quan đến blockchain.
Cuốn sổ tay này đã giới thiệu nhiều biện pháp bảo mật và nếu bạn có thể áp dụng chúng cho vấn đề bảo mật của chính mình thì xin chúc mừng. Tôi sẽ không giải thích quá nhiều về những trò tai quái của blockchain. Nếu quan tâm, bạn có thể tự mình tìm hiểu, đây chắc chắn là một điều tốt, đặc biệt là khi các trò gian lận và lừa đảo mới không ngừng phát triển. Càng học nhiều, bạn càng có thể tự bảo vệ mình tốt hơn và làm cho ngành này trở nên tốt hơn.
Phải làm gì khi bạn bị hack
Việc bạn bị hack chỉ là vấn đề thời gian. Vậy phải làm gì sau đó? Tôi sẽ chỉ đi thẳng vào cuộc rượt đuổi. Các bước sau đây không nhất thiết phải theo thứ tự; có những lúc phải quay đi quay lại nhưng ý chung là thế này.
Dừng lỗ trước
Dừng lỗ có nghĩa là hạn chế sự thua lỗ của bạn. Nó có thể được chia thành ít nhất hai giai đoạn.
- Giai đoạn hành động ngay lập tức. Hãy hành động ngay lập tức! Nếu bạn thấy tin tặc đang chuyển tài sản của mình, đừng suy nghĩ nữa. Chỉ cần nhanh tay chuyển số tài sản còn lại đến nơi an toàn. Nếu bạn có kinh nghiệm trong các giao dịch chạy trước, chỉ cần nắm lấy và chạy. Tùy thuộc vào loại tài sản, nếu bạn có thể đóng băng tài sản của mình trên blockchain, hãy thực hiện càng sớm càng tốt; nếu bạn có thể thực hiện phân tích trên chuỗi và nhận thấy tài sản của mình được chuyển sang một sàn giao dịch tập trung, bạn có thể liên hệ với bộ phận kiểm soát rủi ro của họ.
- Giai đoạn hậu hành động. Khi tình hình ổn định, bạn nên tập trung vào việc đảm bảo sẽ không có các cuộc tấn công cấp hai hoặc cấp ba.
Bảo vệ hiện trường
Khi bạn nhận thấy có điều gì đó không ổn, hãy bình tĩnh và hít một hơi thật sâu. Hãy nhớ bảo vệ hiện trường. Dưới đây là một vài gợi ý:
- Nếu tai nạn xảy ra trên máy tính, máy chủ hoặc các thiết bị khác được kết nối với Internet, hãy ngắt kết nối mạng ngay lập tức trong khi vẫn duy trì nguồn điện cho các thiết bị. Một số người có thể cho rằng nếu đó là một loại vi-rút phá hoại thì các tệp hệ thống cục bộ sẽ bị vi-rút phá hủy. Họ đúng, tuy nhiên việc tắt máy chỉ có ích nếu bạn có thể phản ứng nhanh hơn virus…
- Trừ khi bạn có khả năng tự mình xử lý việc này, việc chờ đợi các chuyên gia bảo mật đến phân tích luôn là lựa chọn tốt hơn.
Điều này thực sự quan trọng vì chúng tôi đã gặp khá nhiều lần rằng hiện trường đã trở nên hỗn loạn vào thời điểm chúng tôi bước vào phân tích. Và thậm chí có những trường hợp bằng chứng quan trọng (ví dụ: nhật ký, tệp vi-rút) dường như đã được dọn sạch. Nếu không có hiện trường vụ án được bảo quản tốt, việc phân tích và truy tìm sau này có thể cực kỳ gián đoạn.
Phân tích nguyên nhân gốc rễ
Mục đích của việc phân tích nguyên nhân là để hiểu rõ đối thủ và đưa ra chân dung của hacker. Lúc này, báo cáo vụ việc rất quan trọng, còn được gọi là Báo cáo khám nghiệm tử thi. Báo cáo sự cố và Báo cáo khám nghiệm tử thi đề cập đến điều tương tự.
Chúng tôi đã gặp rất nhiều người đến nhờ chúng tôi giúp đỡ sau khi tiền của họ bị đánh cắp và rất khó để nhiều người trong số họ kể rõ chuyện gì đã xảy ra. Việc đưa ra một báo cáo sự việc rõ ràng còn khó khăn hơn đối với họ. Nhưng tôi nghĩ điều này có thể thực hành được và sẽ hữu ích nếu tham khảo các ví dụ. Sau đây có thể là điểm khởi đầu tốt:
- Tóm tắt 1: Ai có liên quan, chuyện này xảy ra khi nào, chuyện gì đã xảy ra và tổng thiệt hại là bao nhiêu?
- Tóm tắt 2: Các địa chỉ ví liên quan đến việc bị mất, địa chỉ ví của hacker, loại coin, số lượng coin. Nó có thể rõ ràng hơn nhiều chỉ với sự trợ giúp của một bảng duy nhất.
- Mô tả quy trình: phần này là khó nhất. Bạn sẽ cần phải mô tả tất cả các khía cạnh của vụ việc với tất cả các chi tiết, điều này rất hữu ích để phân tích các loại dấu vết khác nhau liên quan đến tin tặc và cuối cùng có được chân dung hacker từ chúng (bao gồm cả động cơ)
Khi xét đến các trường hợp cụ thể, mẫu sẽ phức tạp hơn nhiều. Đôi khi trí nhớ của con người cũng có thể không đáng tin cậy và thậm chí còn có việc cố tình che giấu những thông tin quan trọng, điều này có thể dẫn đến lãng phí thời gian hoặc thời gian bị trì hoãn. Vì vậy trong thực tế sẽ có mức tiêu thụ rất lớn và chúng ta cần vận dụng kinh nghiệm của mình để hướng dẫn công việc thật tốt. Cuối cùng, chúng tôi tạo một báo cáo sự cố với người hoặc nhóm bị mất tiền và tiếp tục cập nhật báo cáo sự cố này.
Truy tìm nguồn
Theo Định luật Rocca, nơi nào có sự xâm lược, nơi đó có dấu vết. Nếu chúng ta điều tra đủ kỹ, chúng ta sẽ luôn tìm thấy một số manh mối. Quá trình điều tra thực chất là phân tích pháp y và truy tìm nguồn gốc. Chúng tôi sẽ truy tìm các nguồn theo chân dung hacker từ phân tích pháp y và không ngừng làm phong phú nó, đây là một quá trình động và lặp đi lặp lại.
Truy tìm nguồn bao gồm hai phần chính:
- Thông minh trên chuỗi. Chúng tôi phân tích hoạt động tài sản của các địa chỉ ví, chẳng hạn như đi vào các sàn giao dịch tập trung, máy trộn tiền, v.v., theo dõi và nhận thông báo về các giao dịch chuyển tiền mới.
- Thông tin ngoài chuỗi: phần này bao gồm IP của hacker, thông tin thiết bị, địa chỉ email và nhiều thông tin khác từ mối tương quan của các điểm liên quan này, bao gồm cả thông tin hành vi.
Có rất nhiều công việc truy tìm nguồn gốc dựa trên thông tin này và thậm chí nó sẽ yêu cầu sự tham gia của cơ quan thực thi pháp luật.
Kết luận các trường hợp
Tất nhiên tất cả chúng ta đều muốn một kết thúc có hậu và đây là một số ví dụ về các sự kiện được tiết lộ công khai mà chúng tôi tham gia và đạt kết quả tốt:
- Lendf.Me, Trị giá $25 triệu
- SIL Finance, Trị giá $12,15 triệu
- Poly Network, trị giá $610 triệu
Chúng tôi đã trải qua nhiều trường hợp chưa công bố khác nhưng đều kết thúc với kết quả tốt hoặc ổn. Tuy nhiên hầu hết đều có kết thúc tồi tệ, điều này khá đáng tiếc. Chúng tôi đã thu được nhiều kinh nghiệm quý báu trong quá trình này và hy vọng sẽ nâng cao tỷ lệ kết thúc tốt đẹp trong tương lai.
Phần này được đề cập ngắn gọn như trên. Có một lượng kiến thức khổng lồ liên quan đến lĩnh vực này và tôi không rành lắm về một số kiến thức trong đó. Vì vậy, tôi sẽ không đưa ra lời giải thích chi tiết ở đây. Tùy theo tình huống, các khả năng chúng ta cần thành thạo là:
- Phân tích và điều tra bảo mật hợp đồng thông minh
- Phân tích và điều tra về chuyển tiền trên chuỗi
- Phân tích và điều tra bảo mật web
- Phân tích và điều tra bảo mật máy chủ Linux
- Phân tích và điều tra bảo mật Windows
- Phân tích và điều tra bảo mật macOS
- Phân tích và điều tra bảo mật di động
- Phân tích và điều tra mã độc hại
- Phân tích bảo mật và pháp lý của các thiết bị hoặc nền tảng mạng
- Phân tích bảo mật nội bộ và điều tra
- …
Nó bao gồm hầu hết mọi khía cạnh về bảo mật và cuốn sổ tay này cũng vậy. Tuy nhiên, những điểm bảo mật đó chỉ được đề cập ngắn gọn ở đây như một hướng dẫn giới thiệu.
quan niệm sai lầm
Ngay từ đầu, cuốn sổ tay này đã khuyên bạn hãy luôn hoài nghi! Điều này bao gồm mọi thứ được đề cập ở đây. Đây là một ngành cực kỳ sôi động và đầy hứa hẹn, đầy rẫy cạm bẫy và hỗn loạn. Sau đây, chúng ta hãy xem xét một số quan niệm sai lầm, nếu được coi là sự thật, có thể dễ dàng khiến bạn rơi vào bẫy và trở thành một phần của chính sự hỗn loạn.
Mã là luật
Mã là luật. Tuy nhiên, khi một dự án (đặc biệt là những dự án liên quan đến hợp đồng thông minh) bị tấn công hoặc gặp sự cố, không một nạn nhân nào mong muốn “Code Is Law” và hóa ra họ vẫn cần phải dựa vào luật pháp trong thế giới thực.
Không phải chìa khóa của bạn, không phải tiền của bạn
Nếu bạn không sở hữu chìa khóa, bạn không sở hữu tiền của mình. Trên thực tế, nhiều người dùng đã không quản lý đúng cách khóa riêng của họ. Do nhiều sai sót về bảo mật, họ thậm chí còn đánh mất tài sản tiền điện tử của mình. Đôi khi bạn sẽ thấy rằng việc đưa tài sản tiền điện tử của mình vào các nền tảng lớn và có uy tín thực sự an toàn hơn.
Chúng tôi tin tưởng vào Blockchain
Chúng tôi tin tưởng nó vì nó là blockchain. Trên thực tế, bản thân blockchain có khả năng giải quyết nhiều vấn đề cơ bản về niềm tin, vì nó có khả năng chống giả mạo, chống kiểm duyệt, v.v; nếu tài sản của tôi và các hoạt động liên quan nằm trong chuỗi, tôi có thể tin tưởng theo mặc định rằng không ai khác có thể lấy đi tài sản của tôi hoặc can thiệp vào hoạt động của tôi mà không được phép. Tuy nhiên, thực tế thường rất khắc nghiệt, thứ nhất là không phải blockchain nào cũng có thể đạt được những điểm cơ bản này, thứ hai là bản chất con người luôn trở thành mắt xích yếu nhất. Nhiều kỹ thuật hack ngày nay nằm ngoài sức tưởng tượng của hầu hết chúng ta. Mặc dù chúng tôi luôn nói rằng tấn công và phòng thủ là sự cân bằng giữa chi phí và tác động, nhưng khi bạn không sở hữu một tài sản lớn thì sẽ không có hacker nào lãng phí thời gian để nhắm mục tiêu vào bạn. Nhưng khi có nhiều mục tiêu như bạn thì việc hacker tấn công sẽ rất có lợi.
Lời khuyên bảo mật của tôi rất đơn giản: Không tin tưởng theo mặc định (nghĩa là đặt câu hỏi về mọi thứ theo mặc định) và tiến hành xác minh liên tục. Xác minh là hành động bảo mật quan trọng ở đây và xác minh liên tục về cơ bản có nghĩa là bảo mật không bao giờ ở trạng thái tĩnh, an toàn bây giờ không có nghĩa là an toàn vào ngày mai. Khả năng xác minh chính xác theo đây là thách thức lớn nhất đối với tất cả chúng ta, nhưng nó khá thú vị vì bạn sẽ nắm vững được nhiều kiến thức trong quá trình này. Khi bạn đủ mạnh mẽ thì không ai có thể dễ dàng làm hại bạn được.
Bảo mật mật mã là bảo mật
Mật mã rất mạnh mẽ và quan trọng. Nếu không có sự làm việc chăm chỉ của các nhà mật mã, tất cả các thuật toán mã hóa vững chắc và triển khai kỹ thuật, sẽ không có công nghệ truyền thông hiện đại, Internet hoặc công nghệ chuỗi khối. Tuy nhiên, một số cá nhân coi bảo mật mật mã là bảo mật tuyệt đối. Và do đó, một loạt câu hỏi kỳ lạ được đặt ra:
Chẳng phải blockchain an toàn đến mức phải mất hàng nghìn tỷ năm để phá khóa riêng? Làm thế nào FBI có thể giải mã Bitcoin trên Dark Web? Tại sao NFT của Jay Chou lại có thể bị đánh cắp?
Tôi có thể chịu đựng được những câu hỏi mới này…điều tôi không thể chịu được là thực tế là nhiều người được gọi là chuyên gia bảo mật sử dụng các khái niệm bảo mật bằng mật mã để đánh lừa công chúng, họ đang đề cập đến các thuật ngữ như mã hóa cấp quân sự, mã hóa tốt nhất thế giới, mã hóa vũ trụ -mã hóa cấp độ, bảo mật hệ thống tuyệt đối, không thể bị hack, v.v.
Tin tặc? Họ không quan tâm…
Bị hack có nhục không?
Đúng là việc bị hack có thể mang lại nhiều cảm xúc lẫn lộn và đôi khi sẽ có cảm giác xấu hổ. Nhưng bạn cần hiểu rằng việc bị hack gần như được đảm bảo 100% nên không có gì phải xấu hổ cả.
Một khi đã bị hack, việc bạn chỉ chịu trách nhiệm về bản thân mình cũng không thành vấn đề. Tuy nhiên, nếu bạn phải chịu trách nhiệm cho nhiều người khác thì bạn phải minh bạch và cởi mở khi giải quyết vụ việc.
Mặc dù mọi người có thể nghi ngờ hoặc thậm chí buộc tội bạn đã tự mình dàn dựng vụ hack, nhưng một quy trình cập nhật minh bạch và cởi mở sẽ luôn mang lại may mắn và sự hiểu biết.
Hãy nghĩ theo cách này: nếu dự án của bạn không nổi tiếng thì sẽ không có ai hack bạn. Điều đáng tiếc là không bị hack; sự xấu hổ là sự kiêu ngạo của bạn.
Ở góc độ xác suất, việc bị hack là hiện tượng phổ biến, thông thường, phần lớn các vấn đề về bảo mật chỉ là những vấn đề nhỏ, có thể giúp dự án của bạn phát triển. Tuy nhiên, những vấn đề lớn nghiêm trọng vẫn phải tránh càng nhiều càng tốt.
Cập nhật ngay lập tức
Nhiều lần cuốn sổ tay này gợi ý nên chú ý đến việc cập nhật. Nếu có bản cập nhật bảo mật, hãy áp dụng nó ngay lập tức. Bây giờ hãy suy nghĩ kỹ, đây có phải là viên đạn bạc không?
Trên thực tế, trong hầu hết các trường hợp, “cập nhật ngay” là điều nên làm. Tuy nhiên, đã có lúc trong lịch sử, một bản cập nhật giải quyết được một vấn đề nhưng lại gây ra một vấn đề khác. Một ví dụ là iPhone và Google Authenticator:
Có rủi ro từ bản cập nhật iOS 15 mới, tức là thông tin trong Google Authenticator có thể bị xóa hoặc nhân đôi sau khi nâng cấp iPhone. Trong trường hợp này, đừng bao giờ xóa các mục trùng lặp nếu bạn thấy chúng bị nhân đôi, vì nó có thể làm mất toàn bộ thông tin trong Google Authenticator sau khi mở lại.
Đối với những người chưa nâng cấp lên hệ thống iOS 15 và đang sử dụng Google Authenticator, nên sao lưu trước khi nâng cấp.
Sau đó, Google đã cập nhật ứng dụng Authenticator, giải quyết vấn đề này vĩnh viễn.
Ngoài ra, tôi không khuyên bạn nên cập nhật ví thường xuyên, đặc biệt đối với những ví có nhiều tài sản, trừ khi có một bản vá bảo mật lớn hoặc một tính năng rất quan trọng dẫn đến một bản cập nhật không thể tránh khỏi. trong trường hợp đó bạn sẽ phải tự đánh giá rủi ro và đưa ra quyết định của riêng mình.
Phần kết luận
Hãy nhớ rằng cuốn sổ tay này bắt đầu bằng sơ đồ này 🙂
Bạn có để ý rằng tôi đã đánh dấu màu đỏ cho người trong sơ đồ không? Tôi làm vậy để nhắc nhở mọi người một lần nữa rằng con người là nền tảng của vạn vật (được gọi là “nguyên lý nhân loại” trong vũ trụ học). Cho dù đó là bản chất bảo mật của con người hay khả năng thành thạo các kỹ năng bảo mật, tất cả đều phụ thuộc vào bạn. Đúng vậy, khi bạn đủ mạnh mẽ thì không ai có thể dễ dàng làm hại bạn được.
Tôi bắt đầu mở rộng dựa trên sơ đồ và giải thích nhiều điểm chính về bảo mật trong ba quy trình, tạo ví, sao lưu ví và sử dụng ví. Sau đó tôi giới thiệu biện pháp bảo vệ quyền riêng tư truyền thống. Tôi đã tuyên bố rằng những cái truyền thống như vậy là nền tảng và là nền tảng để chúng ta giữ an toàn trong hệ sinh thái blockchain. Phần an ninh bản chất con người không thể được trang bị quá mức. Thật tốt khi hiểu thêm về các cách làm xấu khác nhau, đặc biệt nếu bạn bước vào một vài hố sâu, nhận thức về bảo mật trên giấy tờ cuối cùng có thể trở thành trải nghiệm bảo mật của bạn. Không có bảo mật tuyệt đối nên tôi đã giải thích những việc cần làm khi bị hack. Tôi không muốn một sự việc không may nào xảy ra với bạn, nhưng trong trường hợp nó xảy ra, tôi hy vọng cuốn sổ tay này có thể giúp ích cho bạn. Điều cuối cùng là nói về một số quan niệm sai lầm. Ý định của tôi rất đơn giản, tôi mong bạn có thể xây dựng cho mình tư duy phê phán, bởi vì thế giới vừa đẹp đẽ vừa khủng khiếp.
Đã lâu rồi tôi không viết nhiều chữ như vậy. Tôi nghĩ lần cuối cùng là cách đây 10 năm khi tôi viết cuốn sách “Web Công cụ tìm kiếm“. Nó khá buồn vui lẫn lộn. Sau nhiều năm làm việc trong lĩnh vực bảo mật web cũng như an ninh mạng, tôi đã lãnh đạo một nhóm tạo ra ZoomEye, một công cụ tìm kiếm trên không gian mạng. Trong lĩnh vực an ninh mạng, tôi đã học hỏi trong nhiều lĩnh vực, chỉ có một số lĩnh vực mà tôi có thể nói là mình thành thạo.
Hiện nay trong lĩnh vực bảo mật blockchain, SlowMist và tôi được coi là những người tiên phong. Có rất nhiều trường hợp chúng tôi gặp phải trong những năm này đến mức bạn gần như có thể nghĩ rằng chúng tôi đang ở trạng thái xuất thần mỗi ngày. Thật đáng tiếc khi nhiều hiểu biết sâu sắc không được ghi lại và chia sẻ. Và kết quả là, với sự thúc giục của một số người bạn, cuốn sổ tay này đã ra đời.
Khi đọc xong cuốn sổ tay này, bạn phải thực hành, thành thạo và rút ra các suy luận. Sau này khi nào các bạn có sự khám phá hoặc trải nghiệm của riêng mình thì mong các bạn sẽ đóng góp. Nếu bạn cảm thấy có thông tin nhạy cảm, bạn có thể che giấu chúng hoặc ẩn danh thông tin đó.
Cuối cùng, nhờ sự phát triển toàn cầu của pháp luật và thực thi liên quan đến bảo mật và quyền riêng tư; cảm ơn nỗ lực của tất cả các nhà mật mã, kỹ sư, hacker có đạo đức tiên phong và tất cả những người tham gia vào việc tạo ra một thế giới tốt đẹp hơn, trong đó có Satoshi Nakamoto.
ruột thừa
Các quy tắc và nguyên tắc bảo mật
Các quy tắc và nguyên tắc bảo mật được đề cập trong sổ tay này được tóm tắt như sau. Khá nhiều quy tắc đang được đưa vào văn bản trên và sẽ không được tinh chỉnh cụ thể ở đây.
Hai quy tắc bảo mật chính:
- Không tin tưởng. Nói một cách đơn giản, hãy luôn hoài nghi và luôn như vậy.
- Xác thực liên tục. Để tin tưởng vào điều gì đó, bạn phải xác thực những gì bạn nghi ngờ và biến việc xác thực đó thành thói quen.
Nguyên tắc bảo mật:
- Đối với tất cả kiến thức từ Internet, hãy tham khảo ít nhất hai nguồn, chứng thực lẫn nhau và luôn hoài nghi.
- Tách biệt. Đừng bỏ tất cả trứng vào một giỏ.
- Đối với những ví có tài sản quan trọng, đừng thực hiện những cập nhật không cần thiết.
- Những gì bạn thấy là những gì bạn ký. Bạn cần biết những gì bạn đang ký và kết quả mong đợi sau khi giao dịch đã ký được gửi đi. Đừng làm những việc khiến sau này bạn phải hối hận.
- Hãy chú ý đến các bản cập nhật bảo mật hệ thống. Áp dụng chúng ngay khi chúng có sẵn.
- Không tải xuống và cài đặt chương trình một cách liều lĩnh thực sự có thể ngăn ngừa hầu hết các rủi ro.
Người đóng góp
Nhờ những người đóng góp, danh sách này sẽ được cập nhật liên tục và tôi hy vọng bạn có thể liên hệ với tôi nếu có ý tưởng gì cho cuốn sổ tay này.
Vì, Twitter(@evilcos)、即刻(@余弦.jpg)
Người đóng góp
Vợ tôi SlowMist, Twitter (@SlowMist_Team), ví dụ như Pds, Johan, Kong, Kirk, Thought, Blue, Lisa, Keywolf... Ứng dụng Jike Một số người bạn ẩn danh ... Thêm: https://darkhandbook.io/contributors.html
Nếu đóng góp của bạn được chấp nhận đưa vào sổ tay này, bạn sẽ được thêm vào danh sách những người đóng góp.
Ví dụ: cung cấp các đề xuất hoặc trường hợp bảo vệ an toàn cụ thể; tham gia công việc dịch thuật; sửa các lỗi lớn hơn, v.v.
Trang web chính thức
SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Ví Sparrow https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Ví Trust https:// ://trustwallet.com/ Gnosis Safe https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ Keystone https://keyst.one/ Trezor https://trezor.io/ Rabby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https: //phantom.app/ Tornado Cash https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com Hợp chất https://comound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ TỰ BẢO VỆ GIÁM SÁT https://ssd .eff.org/ Hướng dẫn về quyền riêng tư https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG Suite https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1Mật khẩu https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ VMware Workstation https://www.vmware.com/products/workstation- pro.html Tương tự https://www.parallels.com/