Giới thiệu: Ví OKX Web3 đã lên kế hoạch đặc biệt cho cột "Vấn đề bảo mật đặc biệt" để cung cấp câu trả lời đặc biệt cho các loại vấn đề bảo mật trên chuỗi khác nhau. Thông qua những trường hợp thực tế nhất xảy ra xung quanh người dùng, chúng tôi hợp tác với các chuyên gia hoặc tổ chức trong lĩnh vực bảo mật để chia sẻ và giải đáp các câu hỏi từ các góc độ khác nhau, từ đó sàng lọc và tóm tắt các quy tắc giao dịch an toàn từ nông cạn đến sâu hơn, nhằm tăng cường an toàn cho người dùng. giáo dục và giúp Người dùng học cách bảo vệ tính bảo mật của khóa riêng và tài sản ví khỏi chính họ.

Lướt trong thế giới Web3, 2 đồng tiền không tiết kiệm được

Một số tiền dành cho việc giao Gas trên chuỗi; một số tiền dành cho việc mua thiết bị ngoài chuỗi.

Nhưng dù trên chuỗi hay ngoài chuỗi, bảo mật đều quan trọng như nhau ~

Vấn đề này là vấn đề thứ 04 của vấn đề đặc biệt về bảo mật. Nhóm bảo mật OneKey của nhà cung cấp ví phần cứng mã hóa và nhóm bảo mật ví OKX Web3 được mời đặc biệt để hướng dẫn bạn thêm một số "Buff" vào tính bảo mật của thiết bị của bạn từ góc độ hướng dẫn thực tế. .

Nhóm bảo mật OneKey: Được thành lập vào năm 2019, OneKey là một công ty ví phần cứng và ví phần mềm nguồn mở tập trung vào bảo mật. Công ty cũng có phòng thí nghiệm phòng thủ và tấn công bảo mật và đã nhận được sự hỗ trợ từ các tổ chức hàng đầu như Coinbase, Ribbit Capital và. Con chuồn chuồn. Hiện nay, ví phần cứng OneKey đang trở thành một trong những thương hiệu ví phần cứng bán chạy nhất Châu Á.

Nhóm bảo mật ví OKX Web3: Xin chào mọi người, tôi rất vui được chia sẻ điều này. Nhóm bảo mật ví OKX Web3 chịu trách nhiệm chính trong việc xây dựng các khả năng bảo mật khác nhau của OKX trong lĩnh vực Web3, chẳng hạn như xây dựng khả năng bảo mật ví, kiểm tra bảo mật hợp đồng thông minh, giám sát bảo mật dự án trên chuỗi, v.v. để cung cấp cho người dùng sản phẩm bảo mật, bảo mật quỹ, bảo mật giao dịch, v.v. Nhiều dịch vụ bảo vệ góp phần duy trì hệ sinh thái bảo mật của toàn bộ chuỗi khối.

Câu 1: Bạn có thể chia sẻ một số trường hợp rủi ro thiết bị thực tế của người dùng không?

Nhóm bảo mật OneKey: Các trường hợp rủi ro thiết bị liên quan đến người dùng Web3 rất đa dạng.

Trường hợp 1: Sau khi người dùng Alice rời khỏi thiết bị của mình, thiết bị của cô ấy đã bị ai đó xung quanh xâm phạm vật lý mà cô ấy không hề hay biết và tài sản của cô ấy đã bị đánh cắp. Đây thường được gọi là “cuộc tấn công của Ác ma” trong lĩnh vực bảo mật máy tính và là một trong những loại rủi ro thiết bị phổ biến nhất mà người dùng gặp phải.

Từ những đồng nghiệp trong “xưởng dựng tóc gáy”, người dì dọn phòng hay thậm chí là người nằm sát gối với bạn, đều có thể là những kẻ tấn công vì động cơ tiền bạc. Trước đây, chúng tôi đã hỗ trợ người dùng truy tìm hành vi trộm cắp tài sản trong ví phần cứng. Sau khi người dùng báo cáo tội phạm, sàn giao dịch báo cáo đã lấy được KYC của tài khoản sàn giao dịch mà kẻ tấn công sử dụng. có người xung quanh anh ta. Như câu nói, "Hãy coi chừng mọi thứ. Thật khó để đề phòng kẻ trộm trong nước."

Trong trường hợp 2, người dùng Bob đã bị ép buộc về mặt thể chất và phải giao nộp thiết bị của mình với quyền kiểm soát tài sản. Trường hợp này có một cái tên lố bịch trong vòng tròn mã hóa - "$5 Wrench Attack".

Trong những năm gần đây, với sự xuất hiện của hiệu ứng giàu có của Crypto, việc bắt cóc và tống tiền nhắm vào những cá nhân có giá trị tài sản ròng cao dường như ngày càng trở nên khốc liệt hơn, đặc biệt là ở những quốc gia có tỷ lệ tội phạm cao. Vào đầu năm 2023, các phương tiện truyền thông đưa tin về việc một loại tiền ảo giao dịch ngoại tuyến đã bị cướp. Nạn nhân đã tham dự một buổi họp mặt các nhà đầu tư tiền kỹ thuật số ngoại tuyến và bị bọn tội phạm điều khiển trong xe sau bữa ăn, bọn tội phạm đã cưỡng bức sử dụng nhận dạng khuôn mặt của nạn nhân để mở khóa điện thoại và phần mềm ví, đổi tiền điện tử trong ví lấy 4,1 triệu USDT, sau đó chuyển ngay lập tức. số tiền đó và rời đi. Gần đây, trên Twitter cũng phổ biến thông tin một OG khai thác tiền điện tử nói rằng anh ta đã bị một nhóm tội phạm quốc tế cướp và bị tống tiền hầu hết tài sản tiền điện tử mà anh ta đã tích lũy được trong suốt cuộc đời mình.

Nhóm bảo mật ví OKX Web3: Chủ đề hôm nay rất hay. Trước đây chúng ta đã nói về bảo mật khóa riêng, bảo mật giao dịch MEME, bảo mật dựng tóc gáy và nhiều chủ đề bảo mật trên chuỗi khác. Trên thực tế, bảo mật thiết bị cũng rất quan trọng. một số trường hợp cổ điển.

Trường hợp 1: Ví phần cứng bị giả mạo

Người dùng A đã mua ví phần cứng từ một nền tảng trái phép và bắt đầu sử dụng nó mà không cần xác minh. Trên thực tế, phần mềm cơ sở của ví đã bị giả mạo và đã tạo trước nhiều bộ cụm từ ghi nhớ. Tài sản tiền điện tử được người dùng cuối lưu trữ trong ví phần cứng đã bị tin tặc kiểm soát hoàn toàn, dẫn đến tổn thất nặng nề.

Các biện pháp phòng ngừa: 1) Người dùng nên cố gắng mua ví phần cứng từ các kênh chính thức hoặc đáng tin cậy. 2) Trước khi sử dụng ví, hãy tiến hành quy trình xác minh chính thức hoàn chỉnh để đảm bảo tính bảo mật của phần sụn.

Trường hợp 2: Tấn công lừa đảo

Người dùng B nhận được email từ "Trung tâm bảo mật ví" cho biết có vấn đề bảo mật với ví của người dùng và yêu cầu người dùng nhập cụm từ khôi phục của ví để cập nhật bảo mật. Trên thực tế, đây là một cuộc tấn công lừa đảo được thiết kế tốt và cuối cùng người dùng đã mất tất cả tài sản của mình.

Biện pháp phòng ngừa: 1) Người dùng không bao giờ nên nhập khóa riêng hoặc cụm từ khôi phục trên bất kỳ trang web chưa được xác minh nào. 2) Sử dụng màn hình của ví phần cứng để xác minh tất cả thông tin giao dịch và hoạt động.

Trường hợp thứ ba: Bảo mật phần mềm

Người dùng C đã tải xuống phần mềm độc hại từ các kênh chưa được xác minh. Khi người dùng thực hiện các thao tác trên ví, phần mềm có chứa logic độc hại, dẫn đến mất tài sản.

Các biện pháp phòng ngừa: 1) Người dùng tải xuống phần mềm từ các kênh chính thức và thường xuyên cập nhật phần mềm và chương trình cơ sở có liên quan. 2) Bảo vệ thiết bị của bạn bằng phần mềm chống vi-rút và tường lửa.

Câu 2: Trang thiết bị vật chất được người dùng sử dụng phổ biến và các loại rủi ro

Nhóm bảo mật OneKey: Các thiết bị liên quan đến bảo mật tài sản của người dùng thường bao gồm điện thoại di động, máy tính, ví phần cứng, thiết bị lưu trữ USB và thiết bị liên lạc mạng (chẳng hạn như WIFI) của người dùng.

Ngoài "Evil Maid Attack" và tội phạm bạo lực "$5 Wrench Attack" mà chúng tôi đã đề cập trước đó khi rời khỏi thiết bị, chúng tôi sẽ bổ sung thêm một số khía cạnh cần đặc biệt chú ý bên dưới.

1. Tấn công kỹ thuật xã hội và lừa đảo

Các cuộc tấn công lừa đảo và kỹ thuật xã hội hiện là những phương thức tấn công rất phổ biến và hiệu quả. Những kẻ tấn công lợi dụng điểm yếu của con người để lừa người dùng thực hiện các hoạt động nguy hiểm. Ví dụ: với các liên kết và tệp đính kèm lừa đảo độc hại, kẻ tấn công có thể gửi email, tin nhắn văn bản hoặc tin nhắn mạng xã hội có chứa liên kết độc hại, được ngụy trang dưới dạng các nguồn đáng tin cậy, chẳng hạn như thông báo ngân hàng hoặc cảnh báo từ nền tảng mạng xã hội. Khi người dùng nhấp vào các liên kết này hoặc tải xuống tệp đính kèm, phần mềm độc hại sẽ được cấy vào thiết bị, cho phép thiết bị bị xâm phạm từ xa.

Một ví dụ khác, khi mạo danh người hỗ trợ kỹ thuật, kẻ tấn công có thể giả làm người hỗ trợ kỹ thuật và liên hệ với người dùng qua điện thoại hoặc email, tuyên bố rằng có sự cố với thiết bị của họ và cần phải hành động ngay lập tức. Chúng có thể xúi giục người dùng cung cấp quyền truy cập từ xa vào thiết bị của họ hoặc tiết lộ thông tin nhạy cảm. Hiện tại, chỉ cần bạn đề cập đến các thuật ngữ liên quan đến tiền điện tử trên Twitter, một đội quân bot sẽ sớm đến giả vờ hỗ trợ kỹ thuật và "phục vụ" bạn.

2. Tấn công chuỗi cung ứng

Một cuộc tấn công chuỗi cung ứng xảy ra khi kẻ tấn công chèn tài liệu độc hại vào thiết bị trong quá trình sản xuất hoặc vận chuyển. Biểu hiện cụ thể là ba điểm sau đây.

Số 1 là giả mạo phần cứng. Kẻ tấn công có thể chèn phần mềm độc hại vào quy trình sản xuất ví phần cứng hoặc thiết bị lưu trữ USB. Ví dụ: người dùng mua thiết bị phần cứng từ các nguồn không đáng tin cậy có thể nhận được các thiết bị giả mạo có thể được cài đặt sẵn phần mềm độc hại có khả năng đánh cắp thông tin hoặc cho phép truy cập từ xa.

Số 2 là giả mạo phần mềm. Kẻ tấn công có thể hoạt động trong chuỗi cung ứng phần mềm của thiết bị, giả mạo các gói cập nhật phần mềm hoặc chương trình cơ sở. Khi người dùng tải xuống và cài đặt các bản cập nhật này, thiết bị có thể bị nhiễm backdoor hoặc các loại mã độc khác.

Thứ ba là tấn công hậu cần: kẻ tấn công có thể chặn và giả mạo thiết bị trong quá trình vận chuyển. Ví dụ: các thiết bị phần cứng có thể được thay thế hoặc giả mạo trong quá trình phân phối, giúp kẻ tấn công thực hiện các cuộc tấn công tiếp theo dễ dàng hơn.

3. Tấn công trung gian

Tấn công trung gian (MITM) đề cập đến kẻ tấn công chặn và giả mạo việc truyền dữ liệu trong quá trình liên lạc giữa hai bên.

Ví dụ: khi người dùng sử dụng thông tin liên lạc mạng không được mã hóa, kẻ tấn công có thể dễ dàng chặn và giả mạo dữ liệu đang truyền. Nghĩa là, khi sử dụng các trang web HTTP không được mã hóa, kẻ tấn công có thể chặn và sửa đổi dữ liệu mà người dùng gửi và nhận.

Một ví dụ khác là Wi-Fi công cộng. Khi sử dụng Wi-Fi công cộng, việc truyền dữ liệu của người dùng có nhiều khả năng bị chặn bởi những kẻ tấn công. Những kẻ tấn công thậm chí có thể thiết lập các điểm truy cập WIFI công cộng độc hại và khi người dùng kết nối, kẻ tấn công có thể theo dõi và đánh cắp thông tin nhạy cảm của người dùng, chẳng hạn như thông tin đăng nhập và hồ sơ giao dịch ngân hàng. Trong trường hợp nghiêm trọng, WIFI của chính bạn có thể bị hack và cài đặt phần mềm độc hại.

4. Các cuộc tấn công nội bộ và lỗ hổng phần mềm của bên thứ ba

Các cuộc tấn công nội bộ của bên thứ ba và lỗ hổng phần mềm là những rủi ro khó kiểm soát đối với người dùng nhưng lại là yếu tố tác động không nhỏ đến bảo mật thiết bị vật lý.

Những cái phổ biến nhất là lỗ hổng bảo mật phần mềm và phần cứng. Những lỗ hổng này có thể bị kẻ tấn công khai thác để tiến hành các cuộc tấn công từ xa hoặc tấn công bỏ qua vật lý. Ví dụ: một số plug-in hoặc ứng dụng có thể có các lỗ hổng chưa được phát hiện có thể cho phép kẻ tấn công giành quyền kiểm soát thiết bị. Điều này thường có thể được giải quyết bằng cách cập nhật các bản cập nhật bảo mật. Đồng thời, phần cứng nên cân nhắc sử dụng chip mã hóa mới nhất.

Và các hoạt động nội bộ về phía phần mềm: Người nội bộ của nhà phát triển phần mềm hoặc nhà cung cấp dịch vụ có thể lạm dụng quyền truy cập của họ để thực hiện các hoạt động độc hại, đánh cắp dữ liệu người dùng hoặc cài mã độc vào phần mềm. Hoặc có thể do các yếu tố bên ngoài dẫn đến hoạt động độc hại.

Ví dụ: đã xảy ra trường hợp tài sản bị đánh cắp từ "Lumao Studio" do sử dụng một trình duyệt đa dấu vân tay nhất định. Điều này có thể do lỗi nội bộ trong phần mềm hoặc plug-in gây ra. Điều này cho thấy ngay cả phần mềm hợp pháp cũng có thể gây ra mối đe dọa đối với bảo mật tài sản của người dùng nếu hệ thống kiểm soát nội bộ của nó không nghiêm ngặt.

Một ví dụ khác, Ledger đã từng bị hoảng loạn trước đó - có vấn đề với Connect Kit được nhiều dapp sử dụng. Cuộc tấn công xảy ra sau khi một nhân viên cũ trở thành nạn nhân của một cuộc tấn công lừa đảo và kẻ tấn công đã chèn mã độc vào kho lưu trữ GitHub của Connect Kit. May mắn thay, nhóm bảo mật của Ledger đã triển khai các bản sửa lỗi trong vòng 40 phút kể từ khi được thông báo về sự cố và Tether cũng đóng băng kịp thời số tiền USDT của kẻ tấn công.

Nhóm bảo mật ví OKX Web3 : Chúng tôi tóm tắt một số thiết bị vật lý thường được người dùng sử dụng và mở rộng những rủi ro tiềm ẩn mà chúng có thể gây ra.

Các thiết bị vật lý được người dùng hiện tại sử dụng phổ biến chủ yếu bao gồm: 1) Máy tính (máy tính để bàn và máy tính xách tay), được sử dụng để truy cập các ứng dụng phi tập trung (dApps), quản lý ví tiền điện tử, tham gia vào mạng blockchain, v.v. 2) Điện thoại thông minh và máy tính bảng để truy cập di động vào dApps, quản lý ví tiền điện tử và thực hiện giao dịch. 3) Ví phần cứng, các thiết bị đặc biệt (như Ledger, Trezor), được sử dụng để lưu trữ khóa riêng tiền điện tử một cách an toàn nhằm ngăn chặn các cuộc tấn công của hacker. 4) Cơ sở hạ tầng mạng, bộ định tuyến, chuyển mạch, tường lửa và các thiết bị khác để đảm bảo sự ổn định và bảo mật của kết nối mạng. 5) Thiết bị nút, một thiết bị phần mềm chạy nút blockchain (có thể là máy tính cá nhân hoặc máy chủ chuyên dụng), tham gia vào sự đồng thuận mạng và xác minh dữ liệu. 6) Thiết bị lưu trữ lạnh, thiết bị dùng để lưu trữ khóa riêng ngoại tuyến, chẳng hạn như ổ USB, ví giấy, v.v., để ngăn chặn các cuộc tấn công trực tuyến.

Những rủi ro tiềm ẩn có thể phát sinh từ thiết bị vật lý hiện tại bao gồm:

1) Rủi ro về thiết bị vật chất

• Thiết bị bị mất hoặc hư hỏng: Thiết bị bị mất hoặc hư hỏng, chẳng hạn như ví phần cứng hoặc máy tính, có thể dẫn đến mất khóa riêng và do đó không thể truy cập tài sản tiền điện tử.

• Xâm nhập vật lý: Tội phạm xâm nhập thiết bị thông qua các phương tiện vật lý và trực tiếp lấy được khóa riêng hoặc thông tin nhạy cảm.

2) Rủi ro an ninh mạng

• Phần mềm độc hại và vi-rút: Phần mềm độc hại tấn công thiết bị của người dùng để đánh cắp khóa riêng tư hoặc thông tin nhạy cảm.

• Tấn công lừa đảo: Giả vờ là một dịch vụ hợp pháp để lừa người dùng cung cấp khóa riêng hoặc thông tin đăng nhập.

• Tấn công trung gian (MITM): Kẻ tấn công chặn và giả mạo thông tin liên lạc giữa người dùng và mạng blockchain.

3) Rủi ro hành vi người dùng

• Tấn công kỹ thuật xã hội: Kẻ tấn công sử dụng các phương pháp kỹ thuật xã hội để lừa người dùng tiết lộ khóa riêng tư hoặc thông tin nhạy cảm khác.

• Lỗi vận hành: Người dùng mắc lỗi vận hành khi giao dịch hoặc quản lý tài sản, có thể dẫn đến thất thoát tài sản.

4) Rủi ro kỹ thuật

• Lỗ hổng phần mềm: Các lỗ hổng trong dApp, ví tiền điện tử hoặc giao thức blockchain có thể bị tin tặc khai thác.

• Lỗ hổng hợp đồng thông minh: Lỗ hổng trong mã hợp đồng thông minh có thể dẫn đến việc đánh cắp tiền.

5) Rủi ro pháp lý và pháp lý

• Tuân thủ pháp luật: Các quốc gia và khu vực khác nhau có chính sách quản lý khác nhau đối với tiền điện tử và công nghệ chuỗi khối, điều này có thể ảnh hưởng đến bảo mật tài sản và quyền tự do giao dịch của người dùng.

• Thay đổi về quy định: Những thay đổi đột ngột về chính sách có thể dẫn đến việc đóng băng tài sản hoặc hạn chế giao dịch.

Câu hỏi 3: Ví phần cứng có cần thiết để bảo mật khóa riêng không? Các loại biện pháp bảo vệ an ninh khóa riêng là gì?

Nhóm bảo mật OneKey: Tất nhiên, mặc dù ví phần cứng không phải là lựa chọn duy nhất để bảo mật khóa riêng nhưng đây thực sự là một cách rất hiệu quả để tăng cường bảo mật khóa riêng. Ưu điểm lớn nhất của nó là tách biệt các khóa riêng khỏi Internet từ quá trình tạo, ghi âm đến lưu trữ hàng ngày và yêu cầu người dùng trực tiếp xác minh và xác nhận chi tiết giao dịch trên thiết bị vật lý khi thực hiện bất kỳ giao dịch nào. Tính năng này ngăn chặn hiệu quả nguy cơ khóa riêng bị đánh cắp bởi phần mềm độc hại hoặc các cuộc tấn công của hacker.

Trước tiên hãy nói về những ưu điểm của ví phần cứng:

1) Cách ly vật lý: Ví phần cứng lưu trữ khóa riêng trong các thiết bị chuyên dụng, cách ly hoàn toàn với máy tính và thiết bị di động nối mạng. Điều này có nghĩa là ngay cả khi máy tính hoặc điện thoại của người dùng bị nhiễm phần mềm độc hại, các khóa riêng tư vẫn được an toàn vì chúng không bao giờ tiếp xúc với Internet.

2) Xác minh giao dịch: Khi thực hiện giao dịch bằng ví phần cứng, người dùng phải xác nhận và xác minh chi tiết giao dịch trực tiếp trên thiết bị. Quá trình này khiến kẻ tấn công không thể chuyển tài sản mà không được phép ngay cả khi chúng lấy được thông tin tài khoản trực tuyến của người dùng.

3) Chip bảo mật: Nhiều ví phần cứng sử dụng chip bảo mật chuyên dụng để lưu trữ khóa riêng. Những con chip này trải qua các chứng nhận bảo mật nghiêm ngặt như CC EAL 6+ (tiêu chuẩn được sử dụng bởi các ví phần cứng mới như OneKey Pro và Ledger Stax) để bảo vệ hiệu quả trước các cuộc tấn công kênh bên vật lý. Chip bảo mật không chỉ ngăn chặn truy cập trái phép mà còn chống lại nhiều phương thức tấn công nâng cao, chẳng hạn như tấn công phân tích điện từ và phân tích năng lượng.

Ngoài ví phần cứng, có nhiều cách để tăng cường tính bảo mật của khóa riêng. Người dùng có thể lựa chọn giải pháp phù hợp theo nhu cầu riêng của mình:

1) Ví giấy: Ví giấy là phương thức lưu trữ ngoại tuyến in khóa riêng và khóa chung trên giấy. Mặc dù phương pháp này đơn giản và hoàn toàn ngoại tuyến nhưng bạn cần chú ý đến các vấn đề bảo mật vật lý như chống cháy, chống ẩm, chống mất mát. Nếu có thể, tốt nhất bạn nên mua một mẫu kim loại để ghi vật lý (có rất nhiều lựa chọn trên thị trường, chẳng hạn như KeyTag của OneKey).

2) Ví lạnh trên điện thoại di động: Ví lạnh đề cập đến khóa riêng hoặc tài sản được mã hóa được lưu trữ hoàn toàn ngoại tuyến, chẳng hạn như điện thoại di động hoặc máy tính ngoại tuyến. Tương tự như ví phần cứng, ví lạnh cũng có thể bảo vệ hiệu quả trước các cuộc tấn công mạng nhưng người dùng cần tự cấu hình và quản lý các thiết bị này.

3) Lưu trữ được mã hóa theo phân đoạn: Lưu trữ được mã hóa theo phân đoạn là phương pháp chia khóa riêng thành nhiều phần và lưu trữ chúng ở các vị trí khác nhau. Ngay cả khi kẻ tấn công lấy được một phần khóa riêng thì việc khôi phục hoàn toàn cũng không thể thực hiện được. Phương pháp này cải thiện tính bảo mật bằng cách tăng độ khó của các cuộc tấn công, tuy nhiên người dùng cần quản lý từng đoạn khóa riêng để tránh không thể khôi phục khóa riêng do mất một số đoạn.

4) Multi-signature (Multisig): Công nghệ đa chữ ký yêu cầu nhiều khóa riêng tư cùng nhau ký một giao dịch để hoàn tất thao tác chuyển khoản. Phương pháp này cải thiện tính bảo mật bằng cách tăng số lượng người ký, ngăn chặn hành vi trộm cắp một khóa riêng và gây ra việc chuyển giao tài sản. Ví dụ: có thể thiết lập tài khoản nhiều chữ ký có chữ ký của ba bên để giao dịch chỉ có thể được thực hiện khi có ít nhất hai khóa riêng đồng ý. Điều này không chỉ cải thiện tính bảo mật mà còn cho phép quản lý và kiểm soát linh hoạt hơn.

5) Công nghệ mật mã tiên tiến: Với sự phát triển của công nghệ, một số công nghệ mật mã mới nổi cũng liên tục được sử dụng trong việc bảo vệ khóa riêng. Ví dụ: các công nghệ như Lược đồ chữ ký ngưỡng (TSS) và Tính toán nhiều bên (MPC) cải thiện hơn nữa tính bảo mật và độ tin cậy của việc quản lý khóa riêng thông qua tính toán và cộng tác phân tán. Điều này thường được các doanh nghiệp sử dụng nhiều hơn và hiếm khi được sử dụng bởi các cá nhân.

Nhóm bảo mật ví OKX Web3: Ví phần cứng ngăn chặn các khóa riêng tư bị đánh cắp bởi các cuộc tấn công mạng, phần mềm độc hại hoặc các mối đe dọa trực tuyến khác bằng cách lưu trữ khóa riêng tư trên một thiết bị ngoại tuyến riêng biệt. So với ví phần mềm và các hình thức lưu trữ khác, ví phần cứng mang lại mức độ bảo mật cao hơn và đặc biệt phù hợp với người dùng cần bảo vệ số lượng lớn tài sản tiền điện tử. Đối với các biện pháp bảo vệ an ninh khóa riêng, có lẽ chúng ta có thể bắt đầu từ các quan điểm sau:

1) Sử dụng thiết bị lưu trữ an toàn: Chọn ví phần cứng đáng tin cậy hoặc các thiết bị lưu trữ lạnh khác để giảm nguy cơ khóa riêng bị đánh cắp bởi các cuộc tấn công mạng.

2) Thiết lập chương trình giáo dục nâng cao nhận thức về bảo mật hoàn chỉnh: Tăng cường nhận thức về tầm quan trọng và việc bảo vệ bảo mật khóa riêng, đồng thời cảnh giác với bất kỳ trang web hoặc chương trình nào yêu cầu nhập khóa riêng. Khi bạn phải sao chép và dán khóa riêng, bạn sẽ phải chú ý. chỉ có thể sao chép một phần của nó và để lại một vài ký tự nhập thủ công để ngăn chặn các cuộc tấn công vào clipboard.

3) Lưu trữ an toàn các cụm từ ghi nhớ và khóa riêng: Tránh chụp ảnh, chụp ảnh màn hình hoặc ghi lại các cụm từ ghi nhớ trực tuyến. Cố gắng viết cụm từ ghi nhớ ra giấy và lưu trữ ở nơi an toàn.

4) Lưu trữ khóa riêng tư riêng biệt: Chia khóa riêng thành nhiều phần và lưu trữ chúng ở những nơi khác nhau để giảm nguy cơ lỗi một điểm.

Q4: Các lỗ hổng hiện tại trong xác thực và kiểm soát truy cập

Nhóm bảo mật OneKey: Blockchain không cần xác định và lưu trữ thông tin nhận dạng của chúng tôi như Web2. Nó sử dụng mật mã để đạt được quyền tự quản lý và quyền truy cập vào tài sản. Điều này có nghĩa là khóa riêng là tất cả. Rủi ro lớn nhất trong việc kiểm soát quyền truy cập của người dùng đối với tài sản tiền điện tử thường xuất phát từ việc lưu trữ khóa riêng tư không đúng cách - xét cho cùng, khóa riêng tư của người dùng là thông tin xác thực duy nhất để truy cập tài sản tiền điện tử. Nếu khóa riêng bị mất, bị đánh cắp hoặc bị lộ hoặc thậm chí gặp thiên tai, tài sản có thể bị mất vĩnh viễn.

Đây cũng là ý nghĩa cho sự tồn tại của các thương hiệu như OneKey của chúng tôi, nhằm cung cấp cho người dùng giải pháp tự lưu trữ khóa riêng tư an toàn. Nhiều người dùng thường thiếu nhận thức về bảo mật khi quản lý khóa riêng và sử dụng các phương thức lưu trữ không an toàn (chẳng hạn như lưu khóa riêng trong tài liệu và ảnh chụp màn hình trực tuyến). Cách tốt nhất là sử dụng tính năng tạo và lưu trữ ngoại tuyến Ngoài việc đổ xúc xắc và viết tay thủ công, bạn cũng có thể cân nhắc sử dụng ví phần cứng đã đề cập trước đó với các từ ghi nhớ được khắc trên các tấm kim loại.

Tất nhiên, cũng có nhiều người dùng sử dụng tài khoản trao đổi để lưu trữ tài sản trực tiếp. Tại thời điểm này, việc xác thực và kiểm soát truy cập tương tự như Web2 hơn.

Đây sẽ là về nhận thức bảo mật mật khẩu của người dùng. Việc sử dụng mật khẩu yếu và lặp đi lặp lại là một vấn đề phổ biến. Người dùng có xu hướng sử dụng mật khẩu đơn giản, dễ đoán hoặc sử dụng lại cùng một mật khẩu trên nhiều nền tảng (chẳng hạn như email xác minh), làm tăng nguy cơ bị bẻ khóa hoặc tấn công vũ phu sau khi vi phạm dữ liệu.

Mặc dù xác thực đa yếu tố (chẳng hạn như mã xác minh SMS, Google Authenticator) có thể tăng tính bảo mật nhưng nó cũng có thể trở thành mục tiêu tấn công nếu không được triển khai đúng cách hoặc có lỗ hổng (chẳng hạn như chiếm quyền điều khiển SMS). Ví dụ: tấn công hoán đổi SIM chiếm quyền điều khiển SMS - kẻ tấn công lừa dối hoặc hối lộ nhân viên của nhà mạng di động để chuyển số điện thoại của nạn nhân sang thẻ SIM do kẻ tấn công kiểm soát, từ đó nhận được tất cả mã xác minh SMS được gửi đến điện thoại di động của nạn nhân. Vitalik trước đây đã từng hứng chịu một cuộc tấn công "SIM SWAP". Kẻ tấn công đã sử dụng Twitter của mình để gửi tin nhắn lừa đảo khiến tài sản của nhiều người bị thiệt hại. Ngoài ra, những mã dự phòng được lưu trữ không đúng cách cho các thiết bị xác thực đa yếu tố như "Google Authenticator" có thể bị kẻ tấn công lấy được và sử dụng để tấn công tài khoản.

Nhóm bảo mật ví OKX Web3: Đây là lĩnh vực đáng được quan tâm lúc này.

1) Mật khẩu yếu và sử dụng lại mật khẩu: Người dùng thường sử dụng mật khẩu đơn giản, dễ đoán hoặc sử dụng lại cùng một mật khẩu trên nhiều dịch vụ, làm tăng nguy cơ mật khẩu bị bẻ khóa hoặc lấy được thông qua các kênh rò rỉ khác.

2) Xác thực đa yếu tố (MFA) không đầy đủ: Xác thực đa yếu tố trong Web2 có thể cải thiện đáng kể tính bảo mật, nhưng một khi khóa riêng bị rò rỉ trong ví web3, điều đó có nghĩa là kẻ tấn công có tất cả các quyền hoạt động của tài khoản, khiến nó khó thiết lập một cơ chế MFA hiệu quả.

3) Tấn công lừa đảo và kỹ thuật xã hội: Kẻ tấn công lừa người dùng rò rỉ thông tin nhạy cảm thông qua email lừa đảo, trang web giả mạo, v.v. Các trang web lừa đảo nhắm mục tiêu web3 hiện nay có đặc điểm là phân nhóm và hướng đến dịch vụ, rất dễ bị lừa nếu không có đủ nhận thức về bảo mật.

4) Quản lý khóa API không đúng cách: Nhà phát triển có thể mã hóa khóa API cứng trong ứng dụng khách hoặc không thực hiện kiểm soát quyền phù hợp và quản lý hết hạn trên chúng, khiến khóa bị rò rỉ và lạm dụng.

Câu hỏi 5: Người dùng nên làm cách nào để ngăn chặn những rủi ro do các công nghệ ảo mới nổi như AI thay đổi khuôn mặt mang lại?

Nhóm bảo mật OneKey: Tại hội nghị BlackHat 2015, tin tặc trên toàn thế giới nhất trí tin rằng công nghệ nhận dạng khuôn mặt là phương pháp xác thực danh tính không đáng tin cậy nhất. Gần chục năm sau, với sự tiến bộ của công nghệ AI, chúng ta gần như có được “thần dược” thay thế khuôn mặt hoàn hảo. Đúng như dự đoán, nhận dạng khuôn mặt bằng hình ảnh thông thường không còn có thể đảm bảo an ninh. Lúc này, quan trọng hơn, bên nhận dạng cần nâng cấp công nghệ thuật toán để nhận diện và ngăn chặn nội dung giả mạo sâu.

Liên quan đến rủi ro của việc thay đổi khuôn mặt AI, người dùng thực sự không thể làm gì nhiều ngoại trừ việc bảo vệ dữ liệu sinh trắc học riêng tư của họ. Dưới đây là một số gợi ý nhỏ:

1) Thận trọng khi sử dụng các ứng dụng nhận dạng khuôn mặt

Khi người dùng chọn sử dụng ứng dụng nhận dạng khuôn mặt, họ nên chọn những ứng dụng có hồ sơ bảo mật và chính sách quyền riêng tư tốt. Tránh sử dụng các ứng dụng từ các nguồn không xác định hoặc có vấn đề về bảo mật và cập nhật phần mềm của bạn thường xuyên để đảm bảo bạn có các bản vá bảo mật mới nhất. Trước đây, nhiều ứng dụng của công ty cho vay nhỏ ở Trung Quốc đã sử dụng trái phép dữ liệu khuôn mặt của người dùng để bán lại và rò rỉ dữ liệu khuôn mặt của người dùng.

2) Hiểu xác thực đa yếu tố (MFA)

Xác thực sinh trắc học đơn lẻ có nhiều rủi ro, vì vậy việc kết hợp nhiều phương thức xác thực có thể cải thiện đáng kể tính bảo mật. Xác thực đa yếu tố (MFA) kết hợp nhiều phương pháp xác minh như dấu vân tay, quét mống mắt, nhận dạng giọng nói và thậm chí cả dữ liệu DNA. Đối với bên nhận dạng, phương thức xác thực kết hợp này có thể cung cấp thêm một lớp bảo mật nếu một phương thức xác thực bị xâm phạm. Điều quan trọng nữa là người dùng phải bảo vệ dữ liệu riêng tư của mình.

3) Hãy nghi ngờ và cẩn thận với những trò gian lận

Rõ ràng, khi khuôn mặt và giọng nói của con người có thể được AI bắt chước, việc mạo danh một người trên Internet sẽ trở nên dễ dàng hơn nhiều. Người dùng nên đặc biệt cảnh giác với các yêu cầu liên quan đến thông tin nhạy cảm hoặc chuyển tiền và sử dụng xác thực hai yếu tố để xác nhận danh tính của bên kia qua điện thoại hoặc gặp trực tiếp. Hãy cảnh giác, không tin tưởng vào các yêu cầu khẩn cấp và xác định các thủ thuật gian lận phổ biến như mạo danh giám đốc điều hành, người quen và nhân viên dịch vụ khách hàng. Hiện nay có rất nhiều người nổi tiếng giả mạo. Khi tham gia một số dự án, bạn phải cẩn thận với "nền tảng giả".

Nhóm bảo mật ví OKX Web3: Nói chung, các công nghệ ảo mới nổi mang đến những rủi ro mới và những rủi ro mới sẽ thực sự mang lại nghiên cứu về phương pháp phòng thủ mới và nghiên cứu phương pháp phòng thủ mới sẽ mang đến những sản phẩm kiểm soát rủi ro mới.

1. Nguy cơ giả mạo AI

Trong lĩnh vực thay đổi khuôn mặt AI, nhiều sản phẩm phát hiện thay đổi khuôn mặt AI đã xuất hiện. Hiện tại, ngành đã đề xuất một số phương pháp tự động phát hiện video người giả, tập trung vào việc phát hiện các yếu tố duy nhất (dấu vân tay) được tạo ra do sử dụng deepfake trong kỹ thuật số. nội dung, người dùng cũng có thể xác định tính năng hoán đổi khuôn mặt AI bằng cách quan sát cẩn thận các đặc điểm khuôn mặt, xử lý cạnh, không đồng bộ hóa âm thanh và video, v.v. Ngoài ra, Microsoft cũng đã tung ra một loạt công cụ để giáo dục người dùng về khả năng nhận dạng deepfack. Người dùng có thể học hỏi và tăng cường kỹ năng nhận dạng cá nhân.

2. Rủi ro về dữ liệu và quyền riêng tư

Việc áp dụng các mô hình lớn trong nhiều lĩnh vực khác nhau cũng mang đến rủi ro cho dữ liệu và quyền riêng tư của người dùng. Khi sử dụng robot đàm thoại, người dùng nên cố gắng hết sức để bảo vệ thông tin riêng tư cá nhân của mình và cố gắng tránh rò rỉ các thông tin quan trọng như khóa riêng, khóa, và mật khẩu. Nhập trực tiếp và cố gắng ẩn thông tin chính của bạn thông qua thay thế, làm xáo trộn và các phương pháp khác. Đối với các nhà phát triển, Github cung cấp một loạt các phát hiện thân thiện. Nếu có apikey OpenAI hoặc các rò rỉ quyền riêng tư rủi ro khác trong mã đã gửi, Push An tương ứng. sẽ báo lỗi.

3. Rủi ro về việc tạo và lạm dụng nội dung

Trong công việc hàng ngày của người dùng, họ có thể gặp phải hậu quả của nhiều nội dung lớn do mô hình tạo ra. Mặc dù những nội dung này có hiệu quả nhưng việc lạm dụng việc tạo nội dung cũng mang đến những thông tin sai lệch và các vấn đề về bản quyền trí tuệ. nội dung văn bản được tạo ra bởi một mô hình lớn có thể giảm thiểu một số rủi ro tương ứng. Ngoài ra, khi sử dụng tính năng tạo mã cho các mô hình lớn, nhà phát triển cũng nên chú ý đến tính chính xác và an toàn của các hàm mã được tạo ra. Đối với mã nguồn mở hoặc nhạy cảm, phải tiến hành xem xét và kiểm tra đầy đủ.

4. Chú ý và học hỏi hàng ngày

Khi người dùng duyệt qua các video ngắn, video dài và nhiều bài viết khác nhau hàng ngày, họ phải đánh giá, xác định và ghi nhớ một cách có ý thức các giả mạo AI hoặc nội dung do AI tạo ra, chẳng hạn như các giải thích phổ biến bằng giọng nam, giọng nữ, lỗi phát âm và video thay đổi khuôn mặt phổ biến, đồng thời đánh giá và xác định những rủi ro này một cách có ý thức khi gặp phải các tình huống chính.

Câu 6: Dưới góc độ chuyên môn, chia sẻ một số gợi ý về bảo mật thiết bị vật lý

Nhóm bảo mật OneKey: Dựa trên các rủi ro khác nhau được đề cập trước đó, chúng tôi sẽ tóm tắt ngắn gọn các biện pháp bảo vệ.

1. Cảnh giác với nguy cơ bị xâm nhập từ các thiết bị nối mạng

Các thiết bị kết nối Internet đã trở nên phổ biến trong cuộc sống hàng ngày của chúng ta nhưng chúng cũng tiềm ẩn những nguy cơ bị xâm nhập. Để bảo vệ dữ liệu có rủi ro cao của chúng tôi (chẳng hạn như khóa riêng, mật khẩu, mã dự phòng MFA), chúng tôi nên sử dụng các phương pháp mã hóa mạnh và cố gắng chọn phương thức lưu trữ tách biệt khỏi mạng để tránh lưu trữ thông tin nhạy cảm này trực tiếp trên thiết bị ở dạng văn bản thuần túy. Ngoài ra, chúng ta cần luôn cảnh giác trước các cuộc tấn công lừa đảo và Trojan. Xem xét việc tách thiết bị chuyên dụng cho hoạt động tài sản tiền điện tử khỏi các thiết bị có mục đích chung khác để giảm nguy cơ bị tấn công. Ví dụ: chúng tôi có thể tách riêng máy tính xách tay mà chúng tôi sử dụng hàng ngày và ví phần cứng mà chúng tôi sử dụng để quản lý tài sản tiền điện tử, để ngay cả khi một thiết bị bị xâm phạm thì thiết bị kia vẫn được bảo mật.

2. Duy trì giám sát và bảo vệ vật lý

Để bảo mật hơn nữa các thiết bị có rủi ro cao, chẳng hạn như ví phần cứng, chúng tôi cần triển khai các biện pháp bảo vệ và giám sát vật lý nghiêm ngặt. Những thiết bị này trong nhà nên được cất giữ trong két chống trộm tiêu chuẩn cao và được trang bị hệ thống an ninh thông minh toàn diện, bao gồm chức năng giám sát video và báo động tự động. Nếu chúng ta có nhu cầu đi du lịch, điều đặc biệt quan trọng là chọn một khách sạn có kho chứa đồ an toàn. Nhiều khách sạn cao cấp cung cấp dịch vụ lưu trữ an toàn chuyên dụng, có thể cung cấp thêm một lớp bảo vệ cho thiết bị của chúng tôi. Ngoài ra, chúng ta cũng có thể cân nhắc việc mang theo một chiếc két sắt di động bên mình để đảm bảo những thiết bị quan trọng của mình được bảo vệ trong mọi tình huống.

3. Giảm thiểu rủi ro và ngăn chặn các điểm lỗi duy nhất

Phân tán thiết bị và tài sản là một trong những chiến lược quan trọng để giảm thiểu rủi ro. Thay vì lưu trữ tất cả các thiết bị có đặc quyền cao và tài sản tiền điện tử ở một nơi hoặc trong một ví, chúng ta nên xem xét việc phân cấp lưu trữ ở những nơi an toàn trên các vị trí địa lý khác nhau. Ví dụ: chúng ta có thể cất giữ một số thiết bị và tài sản ở nhà, ở văn phòng cũng như với bạn bè và gia đình đáng tin cậy. Ngoài ra, sử dụng nhiều ví nóng và ví lạnh phần cứng cũng là một phương pháp hiệu quả. Mỗi ví có thể lưu trữ một phần tài sản và giảm nguy cơ lỗi một điểm. Để tăng cường bảo mật, chúng tôi cũng có thể sử dụng ví đa chữ ký, yêu cầu nhiều chữ ký được ủy quyền để thực hiện giao dịch, do đó làm tăng đáng kể mức độ bảo mật cho tài sản của chúng tôi.

4. Biện pháp khẩn cấp trong trường hợp xấu nhất

Khi phải đối mặt với các mối đe dọa an ninh tiềm ẩn, điều quan trọng là phải phát triển các kế hoạch dự phòng trong trường hợp xấu nhất. Đối với những cá nhân có giá trị ròng cao, giữ kín danh tính là một chiến lược hiệu quả để tránh trở thành mục tiêu. Chúng ta nên tránh khoe tài sản tiền điện tử của mình ở nơi công cộng và cố gắng giữ thông tin tài sản của mình càng kín đáo càng tốt. Ngoài ra, việc có phương án dự phòng trong trường hợp thiết bị bị mất hoặc bị đánh cắp là cần thiết. Chúng ta có thể thiết lập ví mã hóa mồi nhử để tạm thời đối phó với những kẻ có ý định cướp, đồng thời đảm bảo rằng dữ liệu trên các thiết bị quan trọng có thể bị khóa hoặc xóa từ xa (nếu được sao lưu). Thuê đội an ninh tư nhân có thể cung cấp thêm một lớp bảo mật khi đi công cộng ở những khu vực có nguy cơ cao, cũng như sử dụng các làn đường an ninh VIP đặc biệt và các khách sạn bảo mật cao để đảm bảo an toàn và quyền riêng tư của chúng ta.

Nhóm bảo mật ví OKX Web3: Chúng tôi sẽ giới thiệu nó ở hai cấp độ, một là cấp độ APP OKX Web3 và cấp độ còn lại là cấp độ người dùng.

1. Cấp độ ứng dụng OKX Web3

Ví OKX Web3 sử dụng nhiều phương pháp khác nhau để tăng cường sức mạnh cho Ứng dụng, bao gồm nhưng không giới hạn ở việc làm xáo trộn thuật toán, làm xáo trộn logic, phát hiện tính toàn vẹn của mã, phát hiện tính toàn vẹn của thư viện hệ thống, chống giả mạo ứng dụng và phát hiện an ninh môi trường cũng như các phương pháp phát hiện và củng cố khác. Điều này làm giảm đáng kể khả năng người dùng bị tin tặc tấn công khi sử dụng Ứng dụng. Nó cũng ngăn chặn tin tặc đóng gói lại Ứng dụng của chúng tôi ở mức độ lớn nhất và giảm khả năng tải xuống Ứng dụng giả mạo.

Ngoài ra, ở cấp độ bảo mật dữ liệu ví Web3, chúng tôi sử dụng công nghệ bảo mật phần cứng tiên tiến nhất và sử dụng mã hóa cấp chip để mã hóa dữ liệu nhạy cảm trong ví. Dữ liệu được mã hóa sẽ được liên kết với chip của thiết bị. Tất cả Con người đều không thể giải mã được nó.

2. Cấp độ người dùng

Đối với người dùng liên quan đến các thiết bị vật lý bao gồm ví phần cứng, máy tính thông dụng, điện thoại di động và các thiết bị khác, chúng tôi khuyên người dùng trước tiên nên nâng cao nhận thức về bảo mật của mình từ các khía cạnh sau

1) Ví phần cứng: Sử dụng ví phần cứng của một thương hiệu nổi tiếng, mua nó từ các kênh chính thức, đồng thời tạo và lưu trữ khóa riêng trong một môi trường biệt lập. Phương tiện lưu trữ khóa riêng phải có khả năng chống cháy, chống thấm nước và chống trộm. Nên sử dụng két sắt chống cháy và chống nước, có thể lưu trữ chìa khóa riêng hoặc từ ghi nhớ ở các vị trí an toàn khác nhau để nâng cao tính bảo mật.

2) Thiết bị điện tử: Đối với điện thoại di động và máy tính có cài đặt ví phần mềm, nên chọn những thương hiệu có bảo mật và quyền riêng tư tốt hơn (như Apple), đồng thời giảm cài đặt các phần mềm ứng dụng không cần thiết khác và thanh lọc môi trường hệ thống. Sử dụng Apple ID để quản lý nhiều bản sao lưu thiết bị của hệ thống nhằm tránh lỗi một máy.

3) Sử dụng hàng ngày: Tránh thực hiện các thao tác nhạy cảm trên thiết bị ví ở nơi công cộng để tránh rò rỉ hồ sơ camera; thường xuyên sử dụng phần mềm chống vi-rút đáng tin cậy để quét môi trường thiết bị; thường xuyên kiểm tra độ tin cậy của vị trí lưu trữ thiết bị vật lý.

Cuối cùng, cảm ơn tất cả các bạn đã đọc số thứ 04 của chuyên mục "Vấn đề đặc biệt về bảo mật" của OKX Web3 Wallet. Chúng tôi hiện đang bận rộn chuẩn bị số thứ 05, không chỉ chứa các trường hợp thực tế, nhận dạng rủi ro và mẹo vận hành an toàn, vì vậy hãy chú ý theo dõi!

Tuyên bố miễn trừ trách nhiệm

Bài viết này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp (i) lời khuyên đầu tư hoặc khuyến nghị đầu tư; (ii) lời đề nghị hoặc chào mời mua, bán hoặc nắm giữ tài sản kỹ thuật số hoặc (iii) tư vấn về tài chính, kế toán, pháp lý hoặc thuế; . Việc nắm giữ các tài sản kỹ thuật số, bao gồm stablecoin và NFT, có mức độ rủi ro cao và có thể biến động đáng kể hoặc thậm chí trở nên vô giá trị. Bạn nên cân nhắc cẩn thận xem việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp với mình hay không dựa trên tình hình tài chính của bạn. Vui lòng có trách nhiệm hiểu và tuân thủ luật pháp và quy định hiện hành của địa phương.