Làm thế nào để xác định địa chỉ ví giả? Tại sao ví lạnh vẫn có nguy cơ bị hack? Những cuộc tấn công này xảy ra như thế nào? Những loại người nào là mục tiêu của tin tặc? Làm thế nào để tránh những vấn đề như vậy?

Gần đây, các vụ trộm tiền xu thường xuyên xảy ra trên Web3, đặc biệt là “vụ trộm 1155 WBTC” được công bố rộng rãi, đã thu hút sự chú ý rộng rãi của công chúng. Việc bảo vệ tài sản mã hóa cũng trở thành tâm điểm chú ý của mọi người. Để đối phó với sự cố này, PoPP và OneKey đã cùng nhau tổ chức một Không gian để chia sẻ các vấn đề về bảo mật trên chuỗi với cộng đồng. Nơi này chứa đầy thông tin hữu ích và cung cấp kiến thức phổ biến khoa học cho những người mới tham gia còn thiếu nhận thức về phòng ngừa.

Khách:

• PoPP CTO: Neo

• Đầu OneKey Eco: Cavin

Người dẫn chương trình: JY

Không gian này chủ yếu tập trung vào các vấn đề sau:

1. Làm thế nào để nhận biết địa chỉ ví giả?

2. Cái nào an toàn hơn khi tiền điện tử được đặt trên sàn giao dịch hoặc trong ví?

3. Tại sao ví lạnh vẫn có nguy cơ bị hack? Những cuộc tấn công này xảy ra như thế nào?

4. Những đối tượng nào sẽ bị tin tặc nhắm đến? Tránh những cạm bẫy giao dịch/bước vào cạm bẫy và chia sẻ?

5. Hiện tại, PoPP cũng đã thu hút được nhiều người dùng. Nó xử lý vấn đề bảo mật tài sản như thế nào?

1. Làm thế nào để nhận biết địa chỉ ví giả?

Về cách xác định địa chỉ ví giả, Cavin đề cập đến hai phương pháp. Đầu tiên là phải đọc kỹ từng con số, chữ cái khi chuyển tiền để tránh bị làm giả. Thứ hai, các ví phần mềm phổ thông hiện nay đều có chức năng thư viện địa chỉ này, bao gồm OKX và OneKey Classic. Bạn có thể đưa các địa chỉ thường dùng của mình vào thư viện địa chỉ này để nhanh chóng chọn đúng địa chỉ. Chúng tôi nhắc nhở mọi người đảm bảo môi trường an toàn trước khi chuyển tiền và tránh sao chép địa chỉ từ hồ sơ giao dịch.

Neo đã thực hiện một số bổ sung khác trong chia sẻ của mình. Neo chia sẻ rằng một nhà phát triển trong nhóm của họ không bao giờ tin vào bất kỳ ví nóng nào. Anh ấy chỉ sử dụng ví nút của riêng mình để thực hiện tất cả các giao dịch chuyển tiền và sử dụng các đường dây nhỏ để kiểm soát nó. Tất nhiên, những người bình thường như chúng tôi không thể làm được điều này. Người bình thường có thể đề phòng từ bốn khía cạnh sau:

• a. Đầu tiên, hãy đảm bảo một môi trường an toàn, bao gồm môi trường mạng, VPN, điện thoại di động và máy tính.

• b. Thứ hai, chọn một thiết bị bảo mật, chẳng hạn như thiết bị Apple hoặc ví phần cứng.

• Không còn nghi ngờ gì nữa, các thiết bị của Apple có thể tương đối an toàn và sau đó còn có một số ví phần cứng. Khi phải cài đặt một số phần mềm khác trên Android, chúng tôi khuyên bạn nên sử dụng một hoặc hai ví chính thống. Tránh sử dụng bảng dán nếu bạn cần nhập các từ ghi nhớ thường xuyên. Nhắc nhở mọi người không tải quá nhiều ví và chỉ cập nhật trong APP.

• c. Hơn nữa, hãy phát triển những thói quen tốt và tiến hành chuyển tiền thử nghiệm nhỏ trước khi xác nhận giao dịch. Nên chuyển tiền cho bên kia bằng cách quét mã QR và xác nhận lẫn nhau trước và sau khi chuyển.

• d. Cuối cùng, hãy kiểm tra trình duyệt blockchain để xác nhận chi tiết chuyển khoản sau mỗi lần chuyển.

• Nếu phát hiện sai số tiền hoặc sai địa chỉ mục tiêu, lúc này bạn có thể thực hiện các biện pháp khắc phục ngay lập tức. Bạn cũng có thể bắt đầu một giao dịch mới ngay lập tức để loại bỏ giao dịch trước đó với phí gas cao hơn. Vẫn có thể khôi phục nhưng khi bạn chuyển khoản thành công hoặc nhấp vào phần mềm lừa đảo, bạn có thể không thể làm gì được.

2. Tiền điện tử an toàn hơn khi được lưu trữ trên sàn giao dịch hay trong ví?

Người dẫn chương trình JY:

Cảm ơn Neo và Cavin đã chia sẻ. Tôi muốn hỏi một câu, cái nào an toàn hơn, trao đổi hay ví?

Cavin:

Từ góc độ mức độ bảo mật, ví phần cứng có mức độ bảo mật cao nhất. Mặc dù ngưỡng sử dụng và độ khó vận hành của ví phần cứng cao hơn ví nóng nhưng chúng không tiện lợi bằng ví nóng.

Sàn giao dịch và ví nóng kém an toàn hơn một chút nhưng có khả năng ứng dụng tuyệt vời. Bạn nên đặt một số tiền của mình vào các sàn giao dịch đáng tin cậy như Binance hoặc OKX. Sẽ không có vấn đề gì lớn trong thời gian ngắn, nhưng bạn không thể tin tưởng hoàn toàn vào nó.

Bạn nên đặt một số tiền vào các sàn giao dịch đáng tin cậy và không nên đặt quá nhiều. Đối với các giao thức không phổ biến, có thể sử dụng tính năng quản lý cách ly ví nóng mới.

Neo:

Ở cấp độ nghiên cứu và phát triển kỹ thuật, an toàn luôn mang tính chất tương đối, không có an toàn tuyệt đối mà chỉ là vấn đề chi phí.

cái ví:

Nếu bạn giữ nó trong ví thì nó tương đối an toàn miễn là bạn không chạm vào Internet. Tuy nhiên, sau khi bạn tương tác với các dApp khác và tương tác với các liên kết thường xuyên hơn, chỉ số bảo mật của bạn sẽ tiếp tục giảm trong quá trình này.

Trao đổi:

Tiền điện tử tương đối an toàn hơn ví nóng trên các sàn giao dịch và không có điểm thất bại nào trên các sàn giao dịch. Tài sản của bạn sẽ không bị mất khi bạn giao dịch, mua bán hoặc chuyển nhượng chúng. Và lợi thế mà giao dịch có thể mang lại - khả năng trả tiền bồi thường. Ngay cả khi bạn mất tiền trong sàn giao dịch, sàn giao dịch vẫn có thể bồi thường cho bạn.

Người điều hành JY: Ví dụ: ví của tôi có nhiều tương tác và ủy quyền. Sau khi tôi hoàn tất việc bán NFT, tôi có thể hủy ủy quyền trước đó không?

Cavin: Vâng. Nếu không có thói quen thường xuyên kiểm tra xem ủy quyền hợp đồng đã bị hủy hay chưa thì rủi ro sẽ tăng dần.

3. Tại sao ví lạnh vẫn có nguy cơ bị hack? Những cuộc tấn công này xảy ra như thế nào?

Người dẫn chương trình JY:

Hiểu. Tôi từng có một người bạn bị mất 1,26 triệu USDT khi giao dịch tiền từ ví OKX sang ví OKX. Nhân viên nói rằng số tiền đó có thể bị đóng băng trong hai giờ, nhưng sau đó anh ấy đề cập rằng tiền của anh ấy trước đây đã được cất giữ trong ví lạnh. Vì sao ví lạnh vẫn có nguy cơ bị hack? Những cuộc tấn công này xảy ra như thế nào?

Cavin:

Tôi không nghĩ điều này liên quan gì đến ví lạnh, có thể đã xảy ra lỗi trong quá trình chuyển tiền. Ví phần cứng thường cung cấp bảo mật bằng cách lưu trữ khóa riêng hoặc cụm từ ghi nhớ trong chip. Tuy nhiên, khi sử dụng ví phần cứng, cần có kết nối Internet và khóa riêng được lưu trong bộ đệm hoặc tệp dữ liệu của trình duyệt, khiến nó dễ bị hacker tấn công.

Ví phần cứng phải được sử dụng cùng với ví phần mềm. Quá trình ký được hoàn tất trong ví phần cứng và khóa riêng của bạn sẽ không bao giờ chạm vào Internet từ đầu đến cuối.

Trên thực tế, quá trình này được chuyển đến thiết bị vật lý. Nó thực sự có chip bảo mật (Secure). Chữ ký được hoàn thành bằng cách sử dụng khóa riêng trong chip. Sau khi ký, nó sẽ chuyển chữ ký vào ví phần mềm. wallet Sau khi lấy được ví, giao dịch sẽ được gửi đến chuỗi. Vì vậy, quá trình ký được thực hiện trên ví phần cứng mà bạn không cần kết nối Internet.

Nếu ví phần cứng bị mất, chỉ cần nhập cụm từ ghi nhớ vào ví phần cứng mới. Tuy nhiên, có nguy cơ xảy ra các cuộc tấn công kỹ thuật xã hội, trong đó tin tặc có thể lấy mã mở khóa ví để đánh cắp tài sản.

Nguyên tắc thiết kế ví phần cứng bổ sung xác nhận thứ cấp trong quá trình chữ ký giao dịch để tăng tính bảo mật. Các cuộc tấn công chuỗi cung ứng và tấn công nội bộ cũng là rủi ro, vì vậy nên mua ví phần cứng nguồn mở. Với tiền đề đảm bảo rằng ví phần cứng không bị giả mạo, ngay cả khi ví phần cứng bị mất, tài sản vẫn được an toàn.

Người dẫn chương trình JY:

Mặc dù ví phần cứng yêu cầu chữ ký trực tuyến nhưng chúng không an toàn 100%. Làm thế nào để tránh những tình huống như vậy? Có cách nào khác để xác định nó?

Cavin:

Các sản phẩm OneKey đã đạt được chứng nhận EAL 6+ và có độ bảo mật cao. Tin tặc rất khó xuất khóa riêng từ ví phần cứng và việc bẻ khóa bằng vũ lực là vô cùng khó khăn. Ví phần mềm dễ bị tấn công mạng, ví phần cứng sẽ cô lập quá trình này.

Neo:

Bảo mật chỉ mang tính tương đối và có vấn đề với hệ thống khóa riêng. Quản lý tài sản đòi hỏi sự thận trọng và không dựa vào một thiết bị duy nhất để lưu trữ tất cả tài sản. Tạo bản sao lưu và không tin tưởng bất kỳ thiết bị nào có vẻ an toàn. Chúng tôi sẽ đề xuất các giải pháp về cách quản lý tài sản tốt hơn.

4. Những đối tượng nào là mục tiêu của tin tặc? Những điều kiện nào được đáp ứng?

Người dẫn chương trình JY: Những loại người nào sẽ là mục tiêu của tin tặc? Những điều kiện nào được đáp ứng?

Cavin:

Từ 1.155 trường hợp WBTC, chúng tôi suy đoán rằng hacker đã tiến hành xung đột băm và mô phỏng địa chỉ trước khi thực hiện cuộc tấn công và áp dụng một cách tiếp cận trên diện rộng, có thể tạo ra hàng chục nghìn địa chỉ. Hành động thường xuyên của tin tặc có thể được phát hiện thông qua hồ sơ cuộc họp giao dịch. Người dùng cần thực hiện các biện pháp bảo vệ, bao gồm quản lý tiền riêng, cách ly ví trong các tình huống khác nhau, thường xuyên kiểm tra trạng thái ủy quyền địa chỉ và phát triển thói quen chuyển tiền và giao dịch tốt.

Neo:

Tin tặc có thể đánh cắp tài sản một cách bừa bãi bằng cách đặt các liên kết lừa đảo, bao gồm các phương thức ủy quyền, phương thức chuyển mô phỏng và phương thức đánh cắp khóa riêng tư.

Tin tặc cũng có thể nhắm mục tiêu vào các cá nhân khi phát hiện thấy có nhiều tiền hơn trong chuỗi, chúng sẽ tiến hành một cuộc tấn công và gửi cho bạn một số liên kết thông qua thông tin xã hội. Hoặc họ có thể đánh cắp của bạn bằng nhiều cách, chẳng hạn như mua USDT từ bạn, gửi email cho bạn, mô phỏng đồng nghiệp, v.v. Vì vậy, hãy cẩn thận đừng tin tưởng bất cứ ai và nhấp vào các liên kết lạ.

Đối với phía dự án, tin tặc có thể tìm kiếm lỗ hổng trong địa chỉ hợp đồng để tấn công và phía dự án cần tiến hành kiểm tra và xác minh tài sản của người dùng. Ngoài ra, hacker còn có khả năng tấn công nhân viên dịch vụ khách hàng của bên dự án, xâm nhập máy tính bằng cách thêm bạn bè, gửi tin nhắn, v.v. và lấy thông tin mạng nội bộ để đánh cắp tài sản. Đối với các doanh nghiệp và người dùng nắm giữ lượng tài sản lớn, tin tặc có nhiều khả năng tiến hành các cuộc xâm nhập có tổ chức và có chủ ý trước. Các đội cần được đào tạo và đưa ra các biện pháp phòng ngừa hiệu quả.

Người dùng A đã đặt câu hỏi

Làm thế nào để xác định và ngăn chặn các cuộc tấn công lừa đảo và liên kết?

Neo:

Đầu tiên, dù trên điện thoại di động hay PC, khi bạn không chắc chắn liên kết có hợp lệ hay không, bạn có thể sử dụng chế độ riêng tư hoặc chế độ ẩn danh của Google Chrome để mở liên kết.

Thứ hai, khi bạn cần cài đặt phần mềm trên máy tính, tôi khuyên bạn nên sử dụng bộ sưu tập như CMC. Bạn có thể truy cập nó ở chế độ riêng tư trên Twitter của dự án hoặc trang web trên nền tảng tổng hợp. Thứ hai, hãy sử dụng liên kết ví trống. Để xác định địa chỉ chính thức bằng mắt thường, trong trường hợp bình thường, tên miền chính thức không quá phức tạp.

Cavin:

Bổ sung: Bạn cũng có thể cài đặt một số plug-in bảo mật. Thứ hai, không nên tìm kiếm trang web dự án từ Google.

Người dùng B đã đặt câu hỏi

Có an toàn khi đặt tài sản tiền điện tử hoặc tài sản giao ngay trên các sàn giao dịch không?

Neo:

Bất kỳ sàn giao dịch nào cũng tương đối an toàn, bạn phải xem bạn đặt nó trên sàn giao dịch nào. Một số sàn giao dịch có khả năng bồi thường nhất định Ngay cả khi bạn mất một lượng nhỏ tài sản, họ có thể bồi thường cho bạn, chẳng hạn như Binance. Nhưng tài sản trong hợp đồng thực sự có thể biến mất; Lưu ý rằng việc các sàn giao dịch nhỏ bỏ chạy là điều bình thường và các sàn giao dịch nhỏ có thể không chống chọi được với các cuộc tấn công của hacker hoặc có thể bị đánh cắp. Nên đặt nó trên một sàn giao dịch chính thống có khả năng trả tiền bồi thường.

5. Hiện tại, PoPP cũng đã thu hút được nhiều người dùng. Nó xử lý vấn đề bảo mật tài sản như thế nào?

Người điều hành JY: Hiện tại, PoPP cũng đã thu hút được nhiều người dùng. Nó xử lý vấn đề bảo mật tài sản như thế nào?

Neo:

Chúng tôi ưu tiên hàng đầu cho việc bảo mật tài sản và đây là một số biện pháp chính mà chúng tôi đã thực hiện:

Đầu tiên là quản lý bảo mật toàn bộ hệ thống tài khoản:

Chúng tôi hiện đang sử dụng phương pháp MPC để quản lý hệ thống tài khoản và chúng tôi sẽ cập nhật lại phương pháp này trong phiên bản 2.0, tức là Q2 và Q3. Cá nhân tôi nghĩ rằng có một số vấn đề nhất định với việc sử dụng tài khoản EOA hiện tại làm phương pháp quản lý tài sản, vì vậy cách an toàn hơn là tận dụng tối đa tài khoản EUA và tài khoản hợp đồng thông minh, đồng thời chỉ sử dụng khóa riêng cho mục đích ký kết. Ngoài ra, việc tách biệt tài sản và hoạt động là điều hợp lý. Cả ví phần cứng và ví phần mềm đều có thể cải thiện tính bảo mật của khóa riêng. Sẽ an toàn hơn khi bỏ tiền vào hợp đồng thông minh. Trong hệ thống tài khoản, chúng tôi sẽ sử dụng giải pháp MPC và chia khóa riêng thành ba phần để tăng tính bảo mật. (Ví dụ: nếu khóa riêng của bạn bị rò rỉ hoặc khóa riêng của nền tảng bị rò rỉ, bạn sẽ không thể hoàn tất quá trình ký. Vì một phần trong số đó đã được trao cho cơ quan bảo mật.)

Tài khoản hợp đồng thông minh được chia thành tài khoản xã hội và tài khoản ảo. Tài khoản xã hội sử dụng giao thức ERC-6551 để lưu trữ tài sản xã hội và có thể thực hiện đa chữ ký và xác minh trong quá trình tương tác. (Khi bạn đang giao dịch, nếu khóa riêng bị rò rỉ, bạn có thể thay đổi khóa riêng mà không gây mất tổng tài sản.) Còn lại là tài khoản ảo ERC-4337 phổ biến. Mặc dù hiện tại không có nhiều kịch bản sử dụng nhưng tài khoản ảo là một xu hướng phát triển đầy tiềm năng sẽ dần dần khiến hệ thống tài khoản trở nên thông minh hơn. Hiện tại chúng tôi chủ yếu sử dụng ERC-6551 để hỗ trợ hợp đồng thông minh cho các tài khoản xã hội của bạn.

Thứ hai, tính bảo mật của quá trình tương tác:

Chúng tôi nhận thấy rằng có nhiều tổn thất tài sản hơn xảy ra trong lớp tương tác, vì vậy trong phiên bản PoPP 2.0, chúng tôi sẽ phát hành một plugin xã hội để có thể truy cập thông tin của bên dự án. Khi tương tác, các plugin xã hội của chúng tôi sẽ xác định các dự án yêu cầu đưa phí cấp phép vào danh sách trắng và đưa ra lời nhắc cảnh báo sớm. Ngoài ra, với DEID và plugin tích hợp sẵn, chúng tôi cung cấp một lớp cách ly trong quá trình tương tác để bảo vệ tài sản và danh tính xã hội của người dùng.

Cuối cùng là nguồn thông tin AI của chúng tôi: PoPP sẽ hợp tác với các bên dự án bảo mật và các bên dữ liệu để tiết lộ thông tin danh sách trắng và danh sách đen nhằm giúp người dùng có được thông tin bảo mật. Thông qua ba cấp độ này, chúng tôi cam kết đảm bảo an toàn cho tài sản và trải nghiệm xã hội của người dùng. Cảm ơn mọi người đã lắng nghe.