Giới thiệu: Ví OKX Web3 đã lên kế hoạch đặc biệt cho cột "Vấn đề bảo mật đặc biệt" để cung cấp câu trả lời đặc biệt cho các loại vấn đề bảo mật trên chuỗi khác nhau. Thông qua những trường hợp thực tế nhất xảy ra xung quanh người dùng, chúng tôi hợp tác với các chuyên gia hoặc tổ chức trong lĩnh vực bảo mật để chia sẻ và giải đáp các câu hỏi từ các góc độ khác nhau, từ đó sàng lọc và tóm tắt các quy tắc giao dịch an toàn từ nông cạn đến sâu hơn, nhằm tăng cường an toàn cho người dùng. giáo dục và giúp Người dùng học cách bảo vệ tính bảo mật của khóa riêng và tài sản ví khỏi chính họ.

Hành động dựng tóc gáy hung dữ như hổ, hệ số an toàn âm 5?

Là người sử dụng tần suất tương tác cao trên chuỗi, an toàn luôn là ưu tiên hàng đầu của các thợ làm tóc.

Hôm nay, “Vua tránh cạm bẫy” trên hai chuỗi lớn sẽ dạy bạn cách thực hiện các chiến lược bảo vệ an ninh.

Số này là số thứ 03 của số đặc biệt về bảo mật. Chúng tôi đã mời các chuyên gia bảo mật nổi tiếng trong ngành 0x AA và nhóm bảo mật ví OKX Web3 để giải thích các rủi ro bảo mật phổ biến và các biện pháp phòng ngừa của "người lông lá" từ góc độ hướng dẫn thực tế.

Học viện WTF: Cảm ơn bạn rất nhiều vì lời mời từ OKX Web3. Tôi là 0x AA từ Học viện WTF. Học viện WTF là một trường đại học nguồn mở Web3 giúp các nhà phát triển bắt đầu phát triển Web3. Năm nay, chúng tôi đã triển khai dự án giải cứu Web3 RescuETH (nhóm giải cứu trên chuỗi), tập trung vào việc giải cứu số tài sản còn lại trong ví bị đánh cắp của người dùng. Hiện tại, chúng tôi đã giải cứu thành công hơn 3 triệu nhân dân tệ tài sản bị đánh cắp trên Ethereum, Solana và Cosmos. .

Nhóm bảo mật ví OKX Web3: Xin chào mọi người, tôi rất vui được chia sẻ điều này. Nhóm bảo mật ví OKX Web3 chịu trách nhiệm chính trong việc xây dựng các khả năng bảo mật khác nhau của OKX trong lĩnh vực Web3, chẳng hạn như xây dựng khả năng bảo mật ví, kiểm tra bảo mật hợp đồng thông minh, giám sát bảo mật dự án trên chuỗi, v.v. để cung cấp cho người dùng sản phẩm bảo mật, bảo mật quỹ, bảo mật giao dịch, v.v. Nhiều dịch vụ bảo vệ góp phần duy trì hệ sinh thái bảo mật của toàn bộ chuỗi khối.

Câu 1: Vui lòng chia sẻ một số trường hợp rủi ro thực tế mà người thủ dâm gặp phải.

Học viện WTF: Rò rỉ khóa riêng là một trong những rủi ro bảo mật lớn mà người dùng Lumao phải đối mặt. Về cơ bản, khóa riêng tư là một chuỗi ký tự được sử dụng để kiểm soát tài sản mật mã. Bất kỳ ai sở hữu khóa riêng tư đều có toàn quyền kiểm soát tài sản mật mã tương ứng. Một khi khóa riêng bị rò rỉ, kẻ tấn công có thể truy cập, chuyển giao và quản lý tài sản của người dùng mà không được phép, khiến người dùng chịu tổn thất tài chính. Vì vậy, tôi sẽ tập trung chia sẻ một số trường hợp khóa riêng bị đánh cắp.

Alice (bút danh) đã bị tin tặc trên mạng xã hội dụ dỗ tải xuống phần mềm độc hại và sau khi chạy phần mềm độc hại, khóa riêng của cô đã bị đánh cắp. Hiện tại, phần mềm độc hại có nhiều dạng khác nhau, bao gồm nhưng không giới hạn ở: tập lệnh khai thác, trò chơi, Người dùng cần cải thiện. nhận thức về bảo mật của họ liên quan đến phần mềm hội nghị, tập lệnh Chongtugou, rô-bốt clip, v.v.

Sau khi Bob (bút danh) vô tình tải khóa riêng lên GitHub, nó đã bị người khác lấy được, khiến tài sản bị đánh cắp.

Khi Carl (bút danh) tham khảo ý kiến của nhóm Tegegram chính thức của dự án, anh ấy đã tin tưởng vào dịch vụ khách hàng giả mạo, người đã chủ động liên hệ với anh ấy và tiết lộ cụm từ ghi nhớ của anh ấy. Sau đó, tài sản trong ví của anh ấy đã bị đánh cắp.

Nhóm bảo mật ví OKX Web3: Có nhiều trường hợp rủi ro như vậy. Chúng tôi đã chọn một số trường hợp điển hình mà người dùng gặp phải khi thủ dâm.

Loại đầu tiên là các tài khoản có mức độ giả mạo cao xuất bản các airdrop giả. Khi người dùng A đang duyệt Twitter để tìm một dự án phổ biến, anh ấy đã tìm thấy thông báo về một sự kiện airdrop ở cuối Twitter mới nhất, sau đó nhấp vào liên kết thông báo để tham gia vào airdrop, điều này cuối cùng dẫn đến việc anh ấy bị lừa đảo. Hiện nay, nhiều kẻ lừa đảo bắt chước các tài khoản chính thức và đăng các thông báo sai sự thật trên Twitter chính thức để dụ người dùng mắc bẫy. Người dùng nên chú ý nhận dạng và không nên xem nhẹ.

Trong loại thứ hai, tài khoản chính thức bị chiếm đoạt. Tài khoản Twitter và Discord chính thức của một dự án nào đó đã bị hack, sau đó hacker đã đăng một liên kết giả mạo tới sự kiện airdrop trên tài khoản chính thức của dự án. Vì liên kết được đăng từ các kênh chính thức nên Người dùng B không nghi ngờ tính xác thực của nó sau khi nhấp vào. liên kết này để tham gia airdrop, tôi đã bị lừa đảo.

Loại thứ ba là gặp phải các bên dự án độc hại. Khi người dùng C tham gia vào hoạt động khai thác của một dự án nhất định, để có được thu nhập thưởng cao hơn, anh ta đầu tư tất cả tài sản USDT vào hợp đồng đặt cược của dự án. Tuy nhiên, hợp đồng thông minh không được kiểm tra nghiêm ngặt và không phải là nguồn mở. Kết quả là nhóm dự án đã đánh cắp tất cả tài sản mà người dùng C ký gửi trong hợp đồng thông qua cửa sau được bảo lưu trong hợp đồng.

Đối với người dùng Lumao, những người thường có hàng chục hoặc hàng trăm ví, cách bảo vệ tính bảo mật của ví và tài sản là một chủ đề rất quan trọng. Họ cần luôn cảnh giác và nâng cao nhận thức về bảo mật.

Câu 2: Với tư cách là người dùng tần suất cao, các loại rủi ro bảo mật và biện pháp bảo vệ phổ biến mà những người có lông phải đối mặt khi tương tác trên chuỗi

Học viện WTF: Đối với người dân luao và thậm chí tất cả người dùng Web3, hai loại rủi ro bảo mật phổ biến hiện nay là: tấn công lừa đảo và rò rỉ khóa riêng.

Loại đầu tiên là tấn công lừa đảo: tin tặc thường giả mạo các trang web hoặc ứng dụng chính thức, lừa người dùng nhấp vào mạng xã hội và công cụ tìm kiếm, sau đó xúi giục người dùng giao dịch hoặc ký tên trên các trang web lừa đảo, từ đó lấy được ủy quyền mã thông báo và đánh cắp tài sản của người dùng.

Các biện pháp phòng ngừa: Đầu tiên, người dùng nên chỉ vào các trang web và ứng dụng chính thức từ các kênh chính thức (chẳng hạn như các liên kết trong hồ sơ Twitter chính thức). Thứ hai, người dùng có thể sử dụng plug-in bảo mật để tự động chặn một số trang web lừa đảo. Thứ ba, khi người dùng vào một trang web đáng ngờ, họ có thể tham khảo ý kiến của nhân viên bảo mật chuyên nghiệp để giúp xác định xem đó có phải là trang web lừa đảo hay không.

Loại thứ hai là rò rỉ khóa riêng: nó đã được giới thiệu trong câu hỏi trước và sẽ không được mở rộng ở đây.

Các biện pháp phòng ngừa: Đầu tiên, nếu người dùng cài đặt ví trên máy tính hoặc điện thoại di động, hãy cố gắng không tải xuống phần mềm đáng ngờ từ các kênh không chính thức. Thứ hai, người dùng cần biết rằng bộ phận chăm sóc khách hàng chính thức thường sẽ không chủ động gửi tin nhắn riêng cho bạn chứ đừng nói đến việc yêu cầu bạn gửi hoặc nhập khóa riêng và cụm từ ghi nhớ của bạn vào một trang web giả mạo. Thứ ba, nếu dự án nguồn mở của người dùng yêu cầu sử dụng khóa riêng, vui lòng định cấu hình tệp .gitignore trước để đảm bảo rằng khóa riêng không được tải lên GitHub.

Nhóm bảo mật ví OKX Web3: Chúng tôi đã tóm tắt 5 loại rủi ro bảo mật phổ biến mà người dùng gặp phải khi tương tác trên chuỗi và liệt kê một số biện pháp bảo vệ cho từng loại rủi ro.

1. Lừa đảo Airdrop

Hồ sơ rủi ro: Một số người dùng thường thấy rằng một số lượng lớn mã thông báo không xác định xuất hiện trong địa chỉ ví của họ. Những mã thông báo này thường không thành công trong các giao dịch DEX được sử dụng phổ biến. Trang sẽ nhắc người dùng truy cập trang web chính thức của nó để trao đổi và sau đó khi người dùng thực hiện giao dịch. thực hiện một giao dịch được ủy quyền, Hợp đồng thông minh thường được cấp quyền chuyển tài sản tài khoản, điều này cuối cùng dẫn đến hành vi trộm cắp tài sản. Lấy ví dụ, lừa đảo airdrop Zape, trong đó nhiều người dùng đột nhiên nhận được một lượng lớn tiền xu Zape trong ví của họ, trị giá dường như lên tới hàng trăm nghìn đô la. Điều này khiến nhiều người lầm tưởng rằng họ đã bất ngờ kiếm được bộn tiền. Tuy nhiên, đây thực sự là một cái bẫy phức tạp. Vì không thể tìm thấy các mã thông báo này trên nền tảng chính thức nên nhiều người dùng muốn rút tiền sẽ tìm thấy cái gọi là "trang web chính thức" dựa trên tên của mã thông báo. Sau khi làm theo lời nhắc kết nối ví, tôi nghĩ mình có thể bán token, nhưng sau khi được ủy quyền, tất cả tài sản trong ví sẽ bị đánh cắp ngay lập tức.

Các biện pháp bảo vệ: Để tránh lừa đảo airdrop đòi hỏi người dùng phải luôn cảnh giác cao độ, xác minh nguồn thông tin và luôn lấy thông tin về airdrop từ các kênh chính thức (chẳng hạn như trang web chính thức của dự án, tài khoản mạng xã hội chính thức và thông báo chính thức). Bảo vệ khóa riêng tư và cụm từ ghi nhớ của bạn, không phải trả bất kỳ khoản phí nào và sử dụng cộng đồng cũng như các công cụ để xác minh và xác định các hành vi lừa đảo tiềm ẩn.

2. Hợp đồng thông minh độc hại

Hồ sơ rủi ro: Nhiều hợp đồng thông minh nguồn mở hoặc chưa được kiểm toán có thể chứa các lỗ hổng hoặc cửa hậu không thể đảm bảo an toàn cho tiền của người dùng.

Biện pháp bảo vệ: Người dùng nên cố gắng chỉ tương tác với các hợp đồng thông minh đã được kiểm toán nghiêm ngặt bởi các công ty kiểm toán chính thức hoặc chú ý kiểm tra báo cáo kiểm tra bảo mật của dự án. Ngoài ra, các dự án có tiền thưởng lỗi thường an toàn hơn.

3. Quản lý ủy quyền:

Hồ sơ rủi ro: Việc ủy quyền quá mức cho các hợp đồng tương tác có thể dẫn đến trộm tiền. Ở đây chúng tôi đưa ra ví dụ: 1) Hợp đồng là hợp đồng có thể nâng cấp. Nếu khóa riêng của tài khoản đặc quyền bị rò rỉ, kẻ tấn công có thể sử dụng khóa riêng để nâng cấp. hợp đồng với một phiên bản độc hại do đó đánh cắp tài sản của người dùng được ủy quyền. 2) Nếu hợp đồng có lỗ hổng không xác định, việc ủy quyền quá mức có thể cho phép kẻ tấn công khai thác những lỗ hổng này để đánh cắp tiền trong tương lai.

Các biện pháp bảo vệ: Về nguyên tắc, chỉ cấp số lượng ủy quyền cần thiết cho các hợp đồng tương tác và những ủy quyền không cần thiết cần được kiểm tra thường xuyên và thu hồi. Khi ký giấy phép off-chain, bạn phải hiểu rõ về hợp đồng mục tiêu/loại tài sản/số tiền ủy quyền và suy nghĩ kỹ trước khi cam kết.

4.Ủy quyền lừa đảo

Hồ sơ rủi ro: Nhấp vào liên kết độc hại và bị xúi giục ủy quyền cho một hợp đồng hoặc người dùng độc hại

Các biện pháp bảo vệ: 1) Tránh ký mù: Trước khi ký bất kỳ giao dịch nào, hãy nhớ hiểu nội dung giao dịch bạn sắp ký và đảm bảo rằng mọi bước thao tác đều rõ ràng và cần thiết. 2) Xử lý mục tiêu ủy quyền một cách thận trọng: Nếu mục tiêu ủy quyền là địa chỉ EOA (Tài khoản thuộc sở hữu bên ngoài) hoặc hợp đồng chưa được xác minh, bạn phải cảnh giác. Hợp đồng chưa được xác minh có thể chứa mã độc. 3) Sử dụng ví plug-in chống lừa đảo: Sử dụng ví plug-in có bảo vệ chống lừa đảo, chẳng hạn như ví OKX Web3, v.v. Những ví này có thể giúp xác định và chặn các liên kết độc hại. 4) Bảo vệ cụm từ ghi nhớ và khóa riêng: Tất cả các trang web yêu cầu cụm từ ghi nhớ hoặc khóa riêng tư đều là các liên kết lừa đảo.

5. Kịch bản dựng tóc gáy độc hại

Hồ sơ rủi ro: Việc chạy một tập lệnh độc hại dựng tóc gáy sẽ khiến một con ngựa Trojan được cấy vào máy tính dẫn đến việc đánh cắp khóa riêng.

Các biện pháp bảo vệ: Hãy thận trọng khi chạy các tập lệnh dựng tóc gáy hoặc phần mềm dựng tóc gáy không rõ nguồn gốc.

Nói tóm lại, chúng tôi hy vọng rằng người dùng có thể thận trọng và thận trọng khi tương tác trên chuỗi và bảo vệ sự an toàn cho ví và tài sản của họ.

Câu 3: Hãy phân loại các kiểu và kỹ thuật câu cá cổ điển cũng như cách nhận biết và tránh chúng?

Học viện WTF: Tôi muốn trả lời lại câu hỏi này từ một góc độ khác: một khi người dùng phát hiện ra rằng tài sản của họ đã bị đánh cắp, làm cách nào họ có thể xác định xem đó là một cuộc tấn công lừa đảo hay một vụ rò rỉ khóa riêng tư? Người dùng thường có thể xác định hai loại đặc điểm tấn công sau:

1. Đặc điểm của các cuộc tấn công lừa đảo: Tin tặc thường sử dụng các trang web lừa đảo để có được sự ủy quyền của một hoặc nhiều tài sản trong một ví của người dùng, từ đó đánh cắp tài sản. Nói chung, loại tài sản bị đánh cắp tương ứng với số lần người dùng đã ủy quyền cho trang web lừa đảo.

2. Đặc điểm của rò rỉ khóa riêng/cụm từ ghi nhớ: hacker hoàn toàn giành quyền kiểm soát tất cả tài sản trong tất cả các chuỗi dưới một hoặc nhiều ví của người dùng. Do đó, nếu xuất hiện một hoặc nhiều đặc điểm sau thì khả năng cao khóa riêng bị rò rỉ:

1) Mã thông báo gốc bị đánh cắp (chẳng hạn như ETH từ chuỗi ETH) vì mã thông báo gốc không thể được ủy quyền.

2) Tài sản đa chuỗi bị đánh cắp.

3) Nhiều tài sản ví đã bị đánh cắp.

4) Nhiều tài sản đã bị đánh cắp từ một ví và người ta nhớ rõ rằng những tài sản này không được ủy quyền.

5) Không có ủy quyền trước khi mã thông báo bị đánh cắp hoặc trong cùng một giao dịch (Sự kiện phê duyệt).

6) Gas được chuyển sẽ bị hacker chuyển đi ngay lập tức.

Nếu nó không đáp ứng được các đặc điểm trên thì rất có thể đó là một cuộc tấn công lừa đảo.

Nhóm bảo mật ví OKX Web3: Cố gắng tránh bị lừa đảo Trước hết, bạn cần chú ý 2 điểm: 1) Hãy nhớ không điền cụm từ ghi nhớ/khóa riêng trên bất kỳ trang web nào 2)

Đảm bảo liên kết bạn truy cập là liên kết chính thức và nhấp vào nút xác nhận trên giao diện ví một cách thận trọng.

Tiếp theo, chúng tôi chia sẻ một số quy trình của các cảnh câu cá cổ điển để giúp người dùng hiểu chúng một cách trực quan hơn.

1. Lừa đảo trang web giả mạo: giả mạo trang web DApp chính thức và xúi giục người dùng nhập khóa riêng tư hoặc cụm từ ghi nhớ. Do đó, nguyên tắc đầu tiên đối với người dùng là không cung cấp khóa riêng hoặc cụm từ ghi nhớ ví của mình cho bất kỳ ai hoặc bất kỳ trang web nào. Thứ hai, hãy kiểm tra xem URL có chính xác hay không. Hãy thử sử dụng dấu trang chính thức để truy cập các DApp thường được sử dụng và sử dụng ví chính thống thông thường. Ví dụ: ví OKX Web3 sẽ cảnh báo về các trang web lừa đảo được phát hiện.

2. Đánh cắp mã thông báo chuỗi chính: Các chức năng hợp đồng độc hại được đặt tên là Claim, SeurityUpdate, AirDrop, v.v. với các tên gây hiểu lầm. Logic chức năng thực tế trống và chỉ chuyển mã thông báo chuỗi chính của người dùng.

3. Chuyển từ các địa chỉ tương tự: Kẻ lừa đảo sẽ sử dụng xung đột địa chỉ để tạo một địa chỉ có cùng chữ số đầu và cuối với địa chỉ được liên kết của người dùng, sử dụng transferFrom để thực hiện chuyển số tiền 0 nhằm mục đích đầu độc hoặc sử dụng USDT giả để chuyển một số tiền nhất định, v.v., để làm ô nhiễm lịch sử giao dịch của người dùng, mong muốn người dùng sao chép sai địa chỉ từ lịch sử giao dịch cho các lần chuyển tiền tiếp theo.

4. Dịch vụ khách hàng giả mạo: Tin tặc giả vờ là dịch vụ khách hàng, liên hệ với người dùng thông qua mạng xã hội hoặc email và yêu cầu khóa riêng hoặc cụm từ ghi nhớ. Dịch vụ khách hàng chính thức sẽ không yêu cầu khóa riêng và sẽ đơn giản bỏ qua những yêu cầu đó.

Q4: Các vấn đề an toàn mà các thợ làm tóc chuyên nghiệp cần chú ý khi sử dụng các dụng cụ khác nhau là gì?

Học viện WTF: Vì người dùng làm tóc sử dụng nhiều loại công cụ nên cần tăng cường các biện pháp phòng ngừa an toàn khi sử dụng các công cụ khác nhau, chẳng hạn như

1. Bảo mật ví: Đảm bảo khóa riêng hoặc cụm từ ghi nhớ không bị rò rỉ, không lưu khóa riêng ở nơi không an toàn và tránh nhập khóa riêng trên các trang web không xác định hoặc không đáng tin cậy, v.v. Người dùng nên lưu trữ bản sao lưu của khóa riêng hoặc cụm từ ghi nhớ ở nơi an toàn, chẳng hạn như thiết bị lưu trữ ngoại tuyến hoặc bộ lưu trữ đám mây được mã hóa. Ngoài ra, đối với người dùng ví lưu trữ tài sản có giá trị cao, việc sử dụng ví đa chữ ký có thể tăng tính bảo mật.

2. Ngăn chặn các cuộc tấn công lừa đảo: Khi người dùng truy cập bất kỳ trang web có liên quan nào, họ phải kiểm tra cẩn thận URL và tránh nhấp vào các liên kết từ các nguồn không xác định. Cố gắng lấy liên kết tải xuống và thông tin từ trang web chính thức của dự án hoặc phương tiện truyền thông xã hội chính thức và tránh sử dụng các nguồn của bên thứ ba.

3. Bảo mật phần mềm: Người dùng nên đảm bảo rằng phần mềm chống vi-rút được cài đặt và cập nhật trên thiết bị của mình để ngăn chặn sự tấn công của phần mềm độc hại và vi-rút. Ngoài ra, ví và các công cụ liên quan đến blockchain khác phải được cập nhật thường xuyên để đảm bảo chúng đang sử dụng các bản vá bảo mật mới nhất. Vì nhiều trình duyệt vân tay và máy tính để bàn từ xa trước đây có lỗ hổng bảo mật nên việc sử dụng chúng không được khuyến khích.

Thông qua các biện pháp trên, người dùng có thể giảm thiểu hơn nữa rủi ro bảo mật khi sử dụng nhiều công cụ khác nhau.

Nhóm bảo mật ví OKX Web3: Trước tiên, hãy lấy một trường hợp công khai từ ngành.

Ví dụ: Trình duyệt BitFingerprint cung cấp các chức năng như đăng nhập nhiều tài khoản, ngăn chặn liên kết cửa sổ và mô phỏng thông tin máy tính độc lập và được một số người dùng ưa chuộng. Tuy nhiên, một loạt sự cố bảo mật vào tháng 8 năm 2023 đã bộc lộ những rủi ro tiềm ẩn của nó. Cụ thể, chức năng "đồng bộ hóa dữ liệu plug-in" của Bit Browser cho phép người dùng tải dữ liệu plug-in lên máy chủ đám mây và di chuyển nhanh chóng trên thiết bị mới bằng cách nhập mật khẩu. Mặc dù tính năng này được thiết kế để thuận tiện cho người dùng nhưng nó cũng tiềm ẩn những rủi ro về bảo mật. Tin tặc lấy được dữ liệu ví của người dùng bằng cách xâm nhập máy chủ. Thông qua các phương pháp bẻ khóa vũ phu, tin tặc đã bẻ khóa mật khẩu ví của người dùng từ dữ liệu và lấy được quyền của ví. Theo hồ sơ máy chủ, máy chủ nơi lưu trữ bộ nhớ đệm mở rộng đã bị tải xuống bất hợp pháp vào đầu tháng 8 (với các bản ghi nhật ký muộn nhất là vào ngày 2 tháng 8). Sự việc này nhắc nhở chúng ta rằng bên cạnh việc tận hưởng sự tiện lợi, chúng ta cũng phải cảnh giác với những rủi ro an toàn tiềm ẩn.

Vì vậy, điều quan trọng đối với người dùng là phải đảm bảo rằng các công cụ họ sử dụng phải an toàn và đáng tin cậy để tránh nguy cơ bị tin tặc và rò rỉ dữ liệu. Nói chung, người dùng có thể cải thiện tính bảo mật nhất định từ các khía cạnh sau.

1. Sử dụng ví phần cứng: 1) Cập nhật chương trình cơ sở thường xuyên và mua chương trình cơ sở thông qua các kênh chính thức. 2) Sử dụng trên máy tính an toàn và tránh kết nối ở nơi công cộng.

2. Sử dụng plug-in của trình duyệt:) Hãy thận trọng khi sử dụng plug-in và công cụ của bên thứ ba, đồng thời cố gắng chọn các sản phẩm có uy tín, chẳng hạn như ví OKX Web3, v.v. 2) Tránh sử dụng plugin ví trên các trang web không đáng tin cậy.

3. Sử dụng các công cụ phân tích giao dịch: 1) Sử dụng nền tảng đáng tin cậy để giao dịch và tương tác hợp đồng. 2) Kiểm tra cẩn thận địa chỉ hợp đồng và phương thức gọi để tránh hoạt động sai.

4. Sử dụng thiết bị máy tính: 1) Thường xuyên cập nhật hệ thống thiết bị máy tính, cập nhật phần mềm, vá các lỗ hổng bảo mật. 2) Phần mềm diệt virus bảo mật thường xuyên kiểm tra và diệt virus hệ thống máy tính.

Câu 5: So với một ví, làm cách nào Lumaor có thể quản lý nhiều ví và tài khoản an toàn hơn?

Học viện WTF: Vì người dùng Lumao tương tác thường xuyên trên chuỗi và quản lý nhiều ví và tài khoản cùng lúc nên họ cần đặc biệt chú ý đến bảo mật tài sản.

1. Sử dụng ví phần cứng: Ví phần cứng cho phép người dùng quản lý nhiều tài khoản ví trên cùng một thiết bị. Khóa riêng của mỗi tài khoản được lưu trữ trong thiết bị phần cứng, tương đối an toàn hơn.

2. Chiến lược bảo mật riêng biệt & môi trường hoạt động tách biệt: Đầu tiên là chiến lược bảo mật tách biệt Người dùng có thể đạt được mục đích đa dạng hóa rủi ro bằng cách tách các ví cho các mục đích khác nhau. Ví dụ: ví airdrop, ví giao dịch, ví lưu trữ, v.v. Ví dụ khác, ví nóng được sử dụng cho các giao dịch hàng ngày và hoạt động dựng tóc gáy, trong khi ví lạnh được sử dụng để lưu trữ lâu dài các tài sản quan trọng, do đó ngay cả khi một ví bị hỏng thì các ví khác sẽ không bị ảnh hưởng.

Thứ hai là tách biệt các môi trường hoạt động. Người dùng có thể sử dụng các thiết bị khác nhau (như điện thoại di động, máy tính bảng, máy tính, v.v.) để quản lý các ví khác nhau nhằm ngăn chặn các vấn đề bảo mật trên một thiết bị ảnh hưởng đến tất cả các ví.

3. Quản lý mật khẩu: Người dùng nên đặt mật khẩu mạnh cho từng tài khoản ví và tránh sử dụng mật khẩu giống nhau hoặc tương tự. Hoặc sử dụng trình quản lý mật khẩu để quản lý mật khẩu cho các tài khoản khác nhau nhằm đảm bảo mỗi mật khẩu đều độc lập và an toàn.

Nhóm bảo mật ví OKX Web3: Đối với người dùng Lumao, việc quản lý nhiều ví và tài khoản một cách an toàn hơn không phải là điều dễ dàng. Ví dụ: bảo mật ví có thể được cải thiện từ các khía cạnh sau:

1. Đa dạng hóa rủi ro: 1) Không bỏ tất cả tài sản vào một ví, hãy đa dạng hóa việc lưu trữ để giảm thiểu rủi ro. Tùy theo loại tài sản và cách sử dụng mà chọn các loại ví khác nhau như ví phần cứng, ví phần mềm, ví lạnh, ví nóng, v.v. 2) Sử dụng ví đa chữ ký để quản lý số lượng lớn tài sản và cải thiện tính bảo mật.

2. Sao lưu và phục hồi: 1) Thường xuyên sao lưu các từ ghi nhớ và khóa riêng và lưu trữ chúng ở nhiều vị trí an toàn. 2) Sử dụng ví phần cứng để lưu trữ lạnh để tránh rò rỉ khóa riêng.

3. Tránh lặp lại mật khẩu: Đặt mật khẩu mạnh cho từng ví và tài khoản, tránh sử dụng cùng một mật khẩu để giảm nguy cơ một tài khoản bị bẻ khóa và các tài khoản khác bị xâm phạm cùng lúc.

4. Bật xác minh hai bước: Nếu có thể, hãy bật xác minh hai bước (2FA) cho tất cả các tài khoản để tăng tính bảo mật cho tài khoản.

5. Công cụ tự động: Giảm việc sử dụng các công cụ tự động, đặc biệt là những dịch vụ có thể lưu trữ thông tin của bạn trên đám mây hoặc trên máy chủ của bên thứ ba, để giảm nguy cơ rò rỉ dữ liệu.

6. Hạn chế quyền truy cập: Chỉ ủy quyền cho những người đáng tin cậy truy cập vào ví và tài khoản của bạn, đồng thời hạn chế quyền hoạt động của họ.

7. Thường xuyên kiểm tra trạng thái bảo mật của ví: Sử dụng các công cụ để giám sát các giao dịch của ví để đảm bảo không có giao dịch bất thường nào xảy ra. Nếu phát hiện bất kỳ khóa riêng nào của ví bị rò rỉ, hãy thay thế ngay tất cả các ví, v.v.

Ngoài các thứ nguyên được liệt kê ở trên, còn có nhiều thứ nguyên khác. Trong mọi trường hợp, người dùng nên đảm bảo tính bảo mật của ví và tài sản thông qua nhiều thứ nguyên càng nhiều càng tốt và không chỉ dựa vào một thứ nguyên duy nhất.

Câu hỏi 6: Các đề xuất bảo vệ chống trượt giao dịch, tấn công MEV, v.v. thực sự có liên quan đến những người có lông là gì?

Học viện WTF: Điều quan trọng là phải hiểu và ngăn chặn tình trạng trượt giá trong giao dịch và các cuộc tấn công MEV. Những rủi ro này ảnh hưởng trực tiếp đến chi phí giao dịch và bảo mật tài sản.

Lấy các cuộc tấn công MEV làm ví dụ, các loại phổ biến là: 1) Chạy trước, tức là các công cụ khai thác hoặc robot giao dịch thực hiện cùng một giao dịch trước khi người dùng giao dịch để thu được lợi nhuận. 2) Tấn công bánh sandwich, trong đó các thợ mỏ chèn lệnh mua và bán trước và sau giao dịch của người dùng để kiếm lợi từ biến động giá. 3) Trọng tài: Tận dụng chênh lệch giá ở các thị trường khác nhau trên blockchain để kinh doanh chênh lệch giá.

Người dùng có thể tránh phát sóng công khai trên blockchain bằng cách gửi giao dịch đến các kênh chuyên dụng của thợ mỏ thông qua công cụ bảo vệ MEV. Hoặc giảm thời gian tiết lộ giao dịch, nghĩa là giảm thời gian giao dịch lưu lại trong nhóm bộ nhớ, sử dụng phí gas cao hơn để tăng tốc độ xác nhận giao dịch và tránh tập trung vào một nền tảng DEX cho các giao dịch lớn để giảm nguy cơ bị tấn công.

Nhóm bảo mật ví OKX Web3: Trượt giao dịch đề cập đến sự chênh lệch giữa giá giao dịch dự kiến và giá thực hiện thực tế, thường xảy ra khi thị trường biến động hoặc thanh khoản thấp. Các cuộc tấn công MEV đề cập đến những kẻ tấn công lợi dụng sự bất cân xứng thông tin và đặc quyền giao dịch để thu được lợi nhuận vượt mức. Sau đây là một số biện pháp bảo vệ phổ biến cho hai tình huống này:

1. Đặt mức chịu trượt giá: Do có sự chậm trễ nhất định trong quá trình tải lên giao dịch và các cuộc tấn công MEV có thể xảy ra, người dùng cần đặt trước mức chịu trượt giá hợp lý khi giao dịch để tránh giao dịch thất bại hoặc thất bại do biến động thị trường hoặc mất tiền do MEV tấn công.

2. Giao dịch theo đợt: Tránh giao dịch lớn một lần và thực hiện giao dịch theo đợt có thể giảm tác động đến giá thị trường và giảm nguy cơ trượt giá.

3. Sử dụng các cặp giao dịch có tính thanh khoản cao hơn: Khi giao dịch hãy chọn các cặp giao dịch có đủ thanh khoản để giảm thiểu tình trạng trượt giá.

4. Sử dụng các công cụ chống chạy trước: Cố gắng không sử dụng Memepool cho các giao dịch quan trọng. Bạn có thể sử dụng các công cụ chống chạy trước chuyên nghiệp để bảo vệ các giao dịch không bị robot MEV nắm bắt.

Q7: Người dùng có thể sử dụng các công cụ giám sát hoặc phương pháp chuyên nghiệp để thường xuyên theo dõi và phát hiện những bất thường trong tài khoản ví không?

Học viện WTF: Người dùng có thể sử dụng nhiều công cụ giám sát và phương pháp chuyên nghiệp để thường xuyên theo dõi và phát hiện hoạt động bất thường trong tài khoản ví. Những phương pháp này giúp tăng cường bảo mật tài khoản và ngăn chặn truy cập trái phép cũng như gian lận tiềm ẩn. Dưới đây là một số phương pháp giám sát và phát hiện hiệu quả:

1) Dịch vụ giám sát của bên thứ ba: Hiện tại, nhiều nền tảng có thể cung cấp cho người dùng báo cáo chi tiết và cảnh báo theo thời gian thực về hoạt động của ví.

2) Sử dụng plug-in bảo mật: Một số công cụ bảo mật có thể tự động chặn một số trang web lừa đảo.

3) Chức năng tích hợp của ví: Các ví như OKX Web3 có thể tự động phát hiện và xác định một số trang web lừa đảo và hợp đồng đáng ngờ, đồng thời đưa ra cảnh báo cho người dùng.

Nhóm bảo mật ví OKX Web3: Hiện tại, nhiều công ty hoặc tổ chức cung cấp một số lượng lớn các công cụ có thể được sử dụng để giám sát và phát hiện địa chỉ ví. Chúng tôi đã tổng hợp một số công cụ dựa trên thông tin công khai trong ngành, chẳng hạn như:

1. Công cụ giám sát blockchain: Sử dụng các công cụ phân tích blockchain để giám sát các giao dịch bất thường của địa chỉ ví, thay đổi quỹ và đặt thông báo giao dịch địa chỉ, v.v.

2. Ví an toàn: Sử dụng ví chuyên nghiệp như ví OKX Web3 có thể hỗ trợ thực hiện trước giao dịch và phát hiện kịp thời các giao dịch đáng ngờ; nó cũng có thể phát hiện và ngăn chặn kịp thời các tương tác với các trang web và hợp đồng độc hại.

3. Hệ thống cảnh báo: Lời nhắc về giao dịch hoặc thay đổi số dư có thể được gửi theo các điều kiện do người dùng đặt ra, bao gồm tin nhắn văn bản, email hoặc thông báo Ứng dụng.

4. Truy vấn ủy quyền mã thông báo OKLink: Kiểm tra ủy quyền của ví cho DApps, thu hồi các ủy quyền không cần thiết một cách kịp thời và ngăn chặn việc ủy quyền bị lạm dụng bởi các hợp đồng độc hại.

Câu 8: Làm cách nào để bảo vệ quyền riêng tư trên chuỗi?

Học viện WTF: Mặc dù tính chất công khai và minh bạch của blockchain mang lại nhiều lợi ích nhưng điều đó cũng có nghĩa là hoạt động giao dịch và thông tin tài sản của người dùng có thể bị lạm dụng và việc bảo vệ quyền riêng tư trên chuỗi ngày càng trở nên quan trọng. Tuy nhiên, người dùng có thể bảo vệ quyền riêng tư về danh tính của mình bằng cách tạo và sử dụng nhiều địa chỉ. Không nên sử dụng trình duyệt vân tay vì trước đây đã có nhiều lỗ hổng bảo mật.

Nhóm bảo mật ví OKX Web3: Hiện tại, ngày càng có nhiều người dùng bắt đầu chú ý đến việc bảo vệ quyền riêng tư Các phương pháp phổ biến bao gồm.

1. Quản lý nhiều ví: phân tán tài sản của người dùng và giảm nguy cơ một ví bị theo dõi hoặc bị tấn công.

2. Sử dụng ví đa chữ ký: Cần có chữ ký của nhiều bên để thực hiện giao dịch, điều này giúp tăng tính bảo mật và bảo vệ quyền riêng tư.

3. Ví lạnh: Lưu trữ tài sản dài hạn trong ví phần cứng hoặc bộ lưu trữ ngoại tuyến để ngăn chặn các cuộc tấn công trực tuyến.

4. Không công khai địa chỉ của bạn: Tránh chia sẻ địa chỉ ví của bạn trên mạng xã hội hoặc các nền tảng công cộng để tránh bị người khác theo dõi.

5. Sử dụng email tạm thời: Khi tham gia airdrop hoặc các hoạt động khác, hãy sử dụng địa chỉ email tạm thời để bảo vệ thông tin cá nhân không bị lộ.

Câu hỏi 9: Người dùng nên phản ứng thế nào nếu tài khoản ví của họ bị đánh cắp? Có nỗ lực hoặc cơ chế nào để giúp người dùng bị đánh cắp lấy lại tài sản và bảo vệ tài sản của họ không?

Học viện WTF: Chúng tôi đã phát động các chiến dịch riêng biệt nhằm tấn công lừa đảo và rò rỉ khóa riêng/cụm từ ghi nhớ.

Trước hết, khi một cuộc tấn công lừa đảo xảy ra, các tài sản được người dùng ủy quyền cho hacker sẽ được chuyển vào ví của hacker, gần như không thể cứu/thu hồi được nhưng những tài sản còn lại trong ví của người dùng thì tương đối an toàn. Nhóm RescueETH khuyến nghị người dùng thực hiện các biện pháp sau:

1) Rút ủy quyền tài sản cho hacker

2) Liên hệ với công ty bảo mật để theo dõi tài sản bị đánh cắp và địa chỉ của hacker.

Thứ hai, khi khóa riêng/cụm từ ghi nhớ bị rò rỉ, tất cả tài sản có giá trị trong ví của người dùng sẽ được chuyển sang ví của hacker. Phần này gần như không thể cứu/khôi phục được, nhưng những tài sản trong ví của người dùng hiện không thể chuyển được thì có thể. được giải cứu, chẳng hạn như tài sản cầm cố đã được mở khóa và các airdrop chưa được phát hành, đây cũng là mục tiêu giải cứu chính của chúng tôi. Nhóm RescueETH khuyến nghị người dùng thực hiện các biện pháp sau:

1) Kiểm tra càng sớm càng tốt xem có tài sản nào trong ví chưa bị hacker chuyển đi hay không. Nếu có, hãy chuyển chúng vào ví an toàn ngay lập tức. Đôi khi tin tặc bỏ lỡ tài sản từ một số chuỗi không phổ biến.

2) Nếu ví đã mở khóa tài sản cầm cố và airdrop chưa phát hành, bạn có thể liên hệ với nhóm chuyên nghiệp để được giải cứu.

3) Nếu bạn nghi ngờ phần mềm độc hại đã được cài đặt, hãy khử trùng máy tính của bạn càng sớm càng tốt và xóa phần mềm độc hại. Nếu cần, bạn có thể cài đặt lại hệ thống.

Hiện tại, chúng tôi đã thực hiện nhiều nỗ lực để giải cứu tài sản của người dùng bị đánh cắp.

Đầu tiên, chúng tôi là đội đầu tiên tiến hành giải cứu tài sản khỏi ví bị đánh cắp trên quy mô lớn. Trong sự kiện airdrop của Arbitrum vào tháng 3 năm 2023, tôi đã thu thập khóa riêng của hơn 40 ví bị rò rỉ từ gần 20 người hâm mộ để cạnh tranh với tin tặc để giành được airdrop $ARB. Cuối cùng, mã thông báo ARB trị giá hơn 40.000 đô la Mỹ đã được giải cứu thành công với tỷ lệ thành công là 80%.

Thứ hai, khi ví của người dùng bị đánh cắp, tài sản có giá trị kinh tế sẽ bị tin tặc chuyển đi, trong khi NFT hoặc ENS không có giá trị kinh tế nhưng có giá trị kỷ niệm đối với người dùng vẫn còn trong ví. Tuy nhiên, do ví bị hacker giám sát nên Gas được chuyển sẽ được chuyển ngay lập tức và người dùng không thể chuyển phần tài sản này. Để giải quyết vấn đề này, chúng tôi đã tạo ra một ứng dụng cứu hộ tự phục vụ: Ứng dụng RescuETH, dựa trên công nghệ MEV của gói Flashbots. Nó có thể đóng gói các giao dịch chuyển trong Gas và chuyển ra NFT/ENS, ngăn chặn tin tặc nghe các tập lệnh. chuyển ra khỏi Gas, nhờ đó giải cứu thành công tài sản. Ứng dụng RescueETH hiện đang trong quá trình thử nghiệm nội bộ và dự kiến sẽ bắt đầu thử nghiệm công khai vào tháng 6.

Thứ ba, chúng tôi cung cấp dịch vụ cứu hộ mũ trắng có trả phí và có thể tùy chỉnh cho một số tài sản trong ví bị đánh cắp của người dùng có thể được giải cứu (các cam kết đã mở khóa và airdrop chưa phát hành). Hiện tại, nhóm mũ trắng của chúng tôi bao gồm gần 20 chuyên gia bảo mật/MEV và đã giải cứu tài sản trị giá hơn 3 triệu nhân dân tệ khỏi các ví bị đánh cắp trên ETH, Solana, Cosmos và các chuỗi khác.

Nhóm bảo mật ví OKX Web3: Chúng tôi mở rộng từ 2 góc độ: biện pháp người dùng và cơ chế bảo mật Ví OKX Web3

1. Biện pháp sử dụng

Khi người dùng phát hiện ví của mình đã bị đánh cắp, người dùng nên khẩn trương thực hiện các biện pháp sau:

1. Biện pháp ứng phó khẩn cấp

1) Chuyển tiền ngay lập tức: Nếu vẫn còn tiền trong ví, chúng cần được chuyển đến địa chỉ mới an toàn ngay lập tức.

2) Thu hồi ủy quyền: Thu hồi ngay lập tức mọi ủy quyền thông qua các công cụ quản lý để ngăn ngừa tổn thất thêm.

3) Theo dõi dòng tiền: Theo dõi kịp thời dòng tiền bị đánh cắp và sắp xếp thông tin chi tiết về quá trình đánh cắp để tìm kiếm sự trợ giúp từ bên ngoài.

2. Hỗ trợ cộng đồng và dự án

1) Tìm kiếm sự giúp đỡ từ bên dự án và cộng đồng: Báo cáo sự việc cho bên dự án và cộng đồng, và đôi khi bên dự án có thể phong tỏa hoặc thu hồi tài sản bị đánh cắp. Ví dụ: USDC có cơ chế danh sách đen chặn việc chuyển tiền.

2) Tham gia tổ chức bảo mật blockchain: Tham gia tổ chức hoặc nhóm bảo mật blockchain có liên quan và sử dụng sức mạnh tập thể để giải quyết vấn đề.

3) Liên hệ với bộ phận hỗ trợ dịch vụ khách hàng của ví: Hãy liên hệ kịp thời với nhóm hỗ trợ khách hàng của ví để được trợ giúp và hướng dẫn chuyên nghiệp.

2. Cơ chế bảo mật ví OKX Web3

Ví OKX Web3 rất coi trọng việc bảo mật tài sản người dùng và tiếp tục đầu tư vào việc bảo vệ tài sản người dùng, cung cấp nhiều cơ chế bảo mật để đảm bảo an toàn cho tài sản kỹ thuật số của người dùng.

1) Thư viện thẻ địa chỉ màu đen: Ví OKX Web3 đã thiết lập một thư viện thẻ địa chỉ màu đen phong phú để ngăn người dùng tương tác với các địa chỉ độc hại đã biết. Thư viện thẻ được cập nhật liên tục để ứng phó với các mối đe dọa bảo mật đang thay đổi và đảm bảo tính bảo mật cho tài sản của người dùng.

2) Plug-in bảo mật: Ví OKX Web3 cung cấp các chức năng bảo vệ chống lừa đảo tích hợp để giúp người dùng xác định và chặn các liên kết và yêu cầu giao dịch độc hại tiềm ẩn, tăng cường tính bảo mật cho tài khoản người dùng.

3) Hỗ trợ trực tuyến 24 giờ: Ví OKX Web3 cung cấp cho khách hàng dịch vụ hỗ trợ trực tuyến 24 giờ, theo dõi kịp thời các sự cố trộm cắp và gian lận tài sản của khách hàng, đồng thời đảm bảo rằng người dùng có thể nhanh chóng nhận được trợ giúp và hướng dẫn.

4) Giáo dục người dùng: Ví OKX Web3 thường xuyên phát hành các mẹo bảo mật và tài liệu giáo dục để giúp người dùng nâng cao nhận thức về bảo mật và hiểu cách ngăn chặn các rủi ro bảo mật phổ biến và bảo vệ tài sản của họ.

Câu 1 0: Bạn có thể chia sẻ về công nghệ bảo mật tiên tiến, chẳng hạn như liệu AI có thể được sử dụng để tăng cường bảo vệ an ninh không?

Học viện WTF: Bảo mật trong lĩnh vực blockchain và Web3 là một lĩnh vực không ngừng phát triển và nhiều công nghệ và phương pháp bảo mật tiên tiến khác nhau liên tục xuất hiện. Những công nghệ và phương pháp bảo mật tiên tiến nhất hiện nay là:

1) Kiểm toán hợp đồng thông minh: Sử dụng AI và học máy để tự động hóa kiểm tra bảo mật của hợp đồng thông minh có thể phát hiện các lỗ hổng và rủi ro tiềm ẩn trong hợp đồng thông minh, cung cấp phân tích nhanh hơn và toàn diện hơn so với kiểm tra thủ công truyền thống.

2) Phát hiện hành vi bất thường: Sử dụng thuật toán học máy để phân tích các giao dịch trên chuỗi và các mẫu hành vi nhằm phát hiện các hoạt động bất thường và các mối đe dọa bảo mật tiềm ẩn. AI có thể xác định các kiểu tấn công phổ biến (chẳng hạn như tấn công MEV, tấn công lừa đảo) và các hành vi giao dịch bất thường, đồng thời đưa ra cảnh báo theo thời gian thực.

3) Phát hiện gian lận: AI có thể phân tích lịch sử giao dịch và hành vi của người dùng để xác định và gắn cờ các hoạt động gian lận có thể xảy ra.

Nhóm bảo mật ví OKX Web3: Hiện tại, AI có nhiều ứng dụng thực tế trong lĩnh vực Web3 Sau đây là một số tình huống sử dụng AI để tăng cường bảo vệ bảo mật Web3:

Đầu tiên, phát hiện bất thường và phát hiện xâm nhập: sử dụng AI và mô hình học máy để phân tích mô hình hành vi của người dùng và phát hiện các hoạt động bất thường. Ví dụ: mô hình học sâu có thể được sử dụng để phân tích hành vi giao dịch và hoạt động của ví nhằm xác định hành vi nguy hiểm tiềm ẩn hoặc hoạt động bất thường.

Thứ hai, nhận dạng trang web lừa đảo: AI có thể phát hiện và chặn các trang web lừa đảo bằng cách phân tích nội dung trang web và đặc điểm liên kết, bảo vệ người dùng khỏi nguy cơ tấn công lừa đảo.

Thứ ba, phát hiện phần mềm độc hại: AI có thể phát hiện phần mềm độc hại mới và chưa xác định bằng cách phân tích hành vi và đặc điểm của tệp, ngăn chặn người dùng tải xuống và thực thi các chương trình độc hại.

Thứ tư, phản ứng tự động trước mối đe dọa: AI có thể tự động hóa các biện pháp ứng phó, chẳng hạn như tự động đóng băng tài khoản hoặc thực hiện các hoạt động bảo vệ khác sau khi phát hiện các hoạt động bất thường.

Cuối cùng, cảm ơn tất cả các bạn đã đọc số thứ 03 của chuyên mục "Vấn đề đặc biệt về bảo mật" của OKX Web3 Wallet. Chúng tôi hiện đang bận rộn chuẩn bị số thứ 04, không chỉ chứa các trường hợp thực tế, nhận dạng rủi ro và mẹo vận hành an toàn, vì vậy hãy chú ý theo dõi!

Tuyên bố miễn trừ trách nhiệm

Bài viết này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp (i) lời khuyên đầu tư hoặc khuyến nghị đầu tư; (ii) lời đề nghị hoặc chào mời mua, bán hoặc nắm giữ tài sản kỹ thuật số hoặc (iii) tư vấn về tài chính, kế toán, pháp lý hoặc thuế; . Việc nắm giữ các tài sản kỹ thuật số, bao gồm stablecoin và NFT, có mức độ rủi ro cao và có thể biến động đáng kể hoặc thậm chí trở nên vô giá trị. Bạn nên cân nhắc cẩn thận xem việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp với mình hay không dựa trên tình hình tài chính của bạn. Vui lòng có trách nhiệm hiểu và tuân thủ luật pháp và quy định hiện hành của địa phương.