Nhóm bảo mật OKX Web3: Bảo vệ khóa riêng tư của bạn như bảo vệ đôi mắt của mình.

Không phải khóa của bạn, không phải tiền của bạn—Sự tự do phi tập trung phải trả giá bằng "bảo mật khóa riêng tư" tuyệt đối.

Một báo cáo của Chainalysis vào tháng 7 năm 2025 tiết lộ rằng 17%-23% Bitcoin luôn ở trạng thái không hoạt động do quên khóa riêng hoặc thiết bị bị hỏng. Vì khóa riêng đại diện cho quyền sở hữu tài sản, nên một khi bị mất, chúng không thể được đặt lại và không có dịch vụ khách hàng nào giúp khôi phục chúng. Một khi người khác biết được, số tiền bị đánh cắp gần như không thể khôi phục được. Thế giới trên chuỗi mang lại cho chúng ta sự tự do, nhưng nó cũng đặt toàn bộ trách nhiệm vào tay chúng ta. Khi hệ sinh thái trên chuỗi phát triển mạnh mẽ, nhiều vụ trộm cắp tài sản xảy ra thường xuyên, nhưng mọi người thường chỉ nhận ra sau khi sự việc đã xảy ra và rất khó để xác định chính xác vấn đề xảy ra ở đâu—khóa riêng có bị rò rỉ không? Có phải đã nhấp vào liên kết lừa đảo không? Đã tải xuống chương trình Trojan? Hay một số lỗi vận hành khác?

Nhóm bảo mật OKX Web3 hy vọng sẽ nâng cao nhận thức về bảo mật khóa riêng tư thông qua chiến dịch giáo dục này, đồng thời xem xét các điểm mù bảo mật dễ bị bỏ qua nhất.

1. Tại sao khóa riêng tư hoặc cụm từ ghi nhớ bị rò rỉ?

Trước tiên, hãy cùng sửa một quan niệm sai lầm phổ biến: nhiều người dùng tin rằng rò rỉ khóa riêng tư hoặc cụm từ ghi nhớ (sau đây gọi là "rò rỉ khóa riêng tư") thường xảy ra trong quá trình sử dụng ví. Trên thực tế, nếu bạn tải xuống và sử dụng phiên bản chính thức của ví từ một thương hiệu uy tín thông qua các kênh hợp pháp, khóa riêng tư của bạn thường sẽ không bị rò rỉ trong quá trình sử dụng thông thường. Rò rỉ khóa riêng tư chủ yếu xảy ra do lưu trữ không đúng cách, cho phép người khác lấy được chúng. Một khi ai đó có được khóa riêng tư của bạn, họ có thể nhập và kiểm soát tài sản của tài khoản đó trong bất kỳ ví nào.

Trên thực tế, có rất nhiều lý do dẫn đến rò rỉ khóa riêng tư, và nguồn gốc cụ thể thường khó xác định một cách đầy đủ. Tuy nhiên, thông qua việc phân tích nhiều trường hợp trong ngành và hỗ trợ điều tra, chúng tôi đã tóm tắt một số tình huống và manh mối điển hình. (Xem bên dưới)

Hình ảnh: Những khó khăn trong việc phân tích lý do bị đánh cắp khóa riêng tư được chia sẻ bởi giáo viên Yu Xian của SlowMist.

II. Các tình huống rò rỉ khóa riêng tư phổ biến và phương pháp giảm thiểu

(a) Kịch bản dễ bị bỏ qua nhất: ví đã bị rò rỉ khi được tạo.

Trường hợp 1: Ví do người khác tạo. Anh Li, người mới làm quen với Web3, đã tạo một ví với sự trợ giúp của một "người cố vấn hữu ích". Người cố vấn đã giúp anh tạo ví, đặt mật khẩu giao dịch và hướng dẫn anh nạp tiền và giao dịch. Mặc dù mật khẩu giao dịch đã được đặt, nhưng người cố vấn đã có được khóa riêng của anh Li trong quá trình tạo ví. Vài ngày sau, 5 ETH mà anh Li nạp vào đã bị chuyển đi trong thời gian ngắn. Sau đó, anh nhận ra rằng mật khẩu giao dịch chỉ dành cho mục đích xác minh nội bộ, và bất kỳ ai có khóa riêng đều có thể nhập và chuyển trực tiếp tài sản của mình từ bất kỳ ví nào.

Lời khuyên về bảo mật : Tự tạo ví của riêng bạn; đừng để bất kỳ ai "giúp" hoặc "làm thay bạn". Nếu bạn nghi ngờ khóa riêng của mình có thể đã bị xâm phạm, hãy chuyển tài sản của bạn sang ví mới càng sớm càng tốt.

Trường hợp 2: Tạo ví qua hội nghị truyền hình. Cô Zhang đã tạo ví qua hội nghị truyền hình dưới sự hướng dẫn của một "giáo viên" từ xa. Giáo viên đã hướng dẫn từng bước: tải ví, tạo cụm từ ghi nhớ, nạp gas và mua token. Toàn bộ quá trình có vẻ rất "chu đáo", và cuối cùng, giáo viên thậm chí còn nhắc nhở cô: "Đừng bao giờ tiết lộ khóa riêng tư của bạn cho bất kỳ ai". Tuy nhiên, cô không biết rằng cụm từ ghi nhớ của mình có thể đã bị ghi âm tại thời điểm hội nghị truyền hình. Hai tuần sau, khoảng 12.000 đô la USDT đã được chuyển từ tài khoản của cô.

Khuyến nghị bảo mật : Khi tạo ví, hãy tắt tính năng chia sẻ màn hình, ghi màn hình hoặc phản chiếu màn hình. Nếu bạn nghi ngờ khóa riêng tư của mình có thể đã bị xâm phạm, hãy chuyển tài sản sang ví mới càng sớm càng tốt. Hơn nữa, OKX Wallet không cho phép chụp ảnh màn hình, ghi màn hình hoặc phản chiếu màn hình trên trang hiển thị khóa riêng tư và cụm từ ghi nhớ của bạn, giúp tăng cường bảo mật hiệu quả.

Hình ảnh: Khi phát hiện phản chiếu màn hình, OKX Wallet sẽ tự động ẩn cụm từ ghi nhớ và khóa riêng tư, khiến văn bản không hiển thị với người khác.

(ii) Tình huống phổ biến nhất: lưu trữ khóa riêng không đúng cách dẫn đến rò rỉ.

Trường hợp 3: Ứng dụng giả mạo, cơn ác mộng cho người dùng Android. Anh Wang, một người dùng thận trọng, đã lưu ảnh chụp màn hình cụm từ ghi nhớ của mình vào album ảnh cục bộ sau khi tạo ví, không bao giờ tải lên đám mây vì tin rằng cách này an toàn hơn. Tuy nhiên, anh đã tải xuống một ứng dụng được gọi là "Telegram nâng cao" từ một diễn đàn. Biểu tượng và giao diện của ứng dụng này gần như giống hệt với phiên bản chính thức. Trên thực tế, nó liên tục quét album ảnh trên điện thoại của anh ở chế độ nền, nhận dạng cụm từ ghi nhớ của anh bằng công nghệ OCR (Nhận dạng ký tự quang học) và tự động tải lên máy chủ của tin tặc. Ba tháng sau, tài khoản của anh Wang bị xóa sạch dữ liệu, gây thiệt hại hơn 50.000 đô la. Phân tích kỹ thuật cho thấy điện thoại của anh cũng chứa một số ứng dụng độc hại khác, bao gồm imToken giả mạo, MetaMask và Google Authenticator.

Trường hợp 4: Ứng dụng độc hại BOM dẫn đến rò rỉ cụm từ ghi nhớ. Vào ngày 14 tháng 2 năm 2025, nhiều người dùng đã bị đánh cắp tài sản ví. Phân tích dữ liệu trên chuỗi cho thấy tất cả các trường hợp đánh cắp này đều có đặc điểm điển hình của rò rỉ cụm từ ghi nhớ/khóa riêng. Việc theo dõi thêm những người dùng bị ảnh hưởng cho thấy hầu hết họ đã cài đặt và sử dụng một ứng dụng có tên là BOM . Điều tra chuyên sâu cho thấy ứng dụng này thực chất là một trò lừa đảo được ngụy trang cẩn thận. Tội phạm đã chiếm được quyền truy cập cụm từ ghi nhớ/khóa riêng một cách bất hợp pháp bằng cách dụ dỗ người dùng cấp quyền, từ đó thực hiện chuyển giao tài sản một cách có hệ thống và cố gắng che giấu hoạt động của chúng.

Khuyến nghị Bảo mật : Nhiều người dùng hình thành thói quen vì sự tiện lợi, nhưng đây chính xác là những thói quen nguy hiểm nhất. Do đó, chúng tôi khuyến nghị: 1) Không chụp ảnh màn hình cụm từ ghi nhớ của bạn! Bạn nên lưu lại bằng tay trên giấy và cất giữ ở nơi an toàn. 2) Khi tải xuống ứng dụng, hãy luôn sử dụng các kênh chính thức . Không dễ dàng thử "phiên bản nâng cao" hoặc các bản sửa đổi của bên thứ ba từ các nguồn không xác định. 3) Nếu bạn phát hiện bất kỳ bất thường nào trên thiết bị hoặc đã chụp ảnh màn hình khóa riêng tư của mình trước đó , đừng mạo hiểm; hãy chuyển tài sản của bạn sang ví mới ngay lập tức. 4) OKX đã làm gì? Để ngăn người dùng chụp ảnh màn hình trên các trang sao lưu khóa riêng tư và cụm từ ghi nhớ, chúng tôi đã vô hiệu hóa chức năng chụp ảnh màn hình trên các trang nhạy cảm này.

Hình ảnh: Ví OKX cấm chụp ảnh màn hình trên trang khóa riêng tư và cụm từ ghi nhớ.

Ngoài ra, để giảm nguy cơ người dùng cài đặt ứng dụng giả mạo, phiên bản Android còn cung cấp chức năng quét ứng dụng độc hại.

Hình ảnh: Phiên bản Android của OKX Wallet cung cấp chức năng quét ứng dụng độc hại.

(iii) Tình huống phổ biến và dễ mắc phải nhất: bị lừa đảo bởi người khác bằng cách sử dụng khóa riêng.

Trường hợp 5: Lừa đảo qua Airdrop giả mạo. Một dự án NFT nổi tiếng đã thông báo trên Twitter rằng họ sẽ airdrop token mới cho người dùng. Chỉ 10 phút sau thông báo, nhiều trang web lừa đảo đã xuất hiện ở đầu kết quả tìm kiếm của Google (được quảng bá thông qua quảng cáo trả phí). Các trang web lừa đảo này có tên miền chỉ khác nhau một chữ cái (ví dụ: opensae.io thay vì opensea.io), và thiết kế trang của chúng gần như giống hệt trang web chính thức. Khi người dùng kết nối ví, trang web hiển thị thông báo: "Mạng bị tắc nghẽn, kết nối không thành công, vui lòng nhập thủ công cụm từ gợi nhớ của bạn để nhận airdrop." Hơn 50 người dùng đã mắc bẫy lừa đảo trong ngày hôm đó, với tổng thiệt hại lên tới hơn 200.000 đô la. Tài sản của nạn nhân nhanh nhất đã bị chuyển đi chỉ trong 3,7 giây sau khi nhập cụm từ gợi nhớ.

Trường hợp thứ sáu: Tấn công Kỹ thuật Xã hội. Cô Zhao gặp sự cố vận hành trong một nhóm Discord của một dự án cụ thể. Một quản trị viên với ảnh đại diện và biệt danh rất "chính thức" đã chủ động nhắn tin riêng cho cô, tự xưng là bộ phận chăm sóc khách hàng và đề nghị giúp đỡ. Quản trị viên này đã gửi cho cô một liên kết đến "trang xác minh". Cô Zhao tin vào điều đó và nhấp vào liên kết, nhập cụm từ ghi nhớ theo yêu cầu. Trang web trông giống hệt trang web chính thức. Vài phút sau, nhiều giao dịch bất ngờ và liên tục được chuyển từ ví của cô. Sau đó, cô nhận ra rằng người được gọi là quản trị viên thực chất là một kẻ lừa đảo, và bất kỳ "bộ phận chăm sóc khách hàng" nào yêu cầu người dùng nhập cụm từ ghi nhớ hoặc khóa riêng tư trên trang web chắc chắn là lừa đảo. Cần lưu ý rằng ngoài việc mạo danh quản trị viên chính thức, kẻ lừa đảo cũng có thể mạo danh bạn bè, nhân viên dự án hoặc những người đáng tin cậy khác.

Lời khuyên bảo mật : Một DApp hợp pháp sẽ không bao giờ yêu cầu bạn cung cấp khóa riêng tư, và một người đáng tin cậy cũng sẽ không bao giờ yêu cầu điều đó. Hãy nhớ: khóa riêng tư là chìa khóa cho tài sản của bạn; hãy giữ nó an toàn và không tiết lộ dễ dàng.

3. Tại sao các nhà cung cấp ví có thể làm được rất ít điều khi khóa riêng của họ bị rò rỉ?

Khi người dùng phát hiện khóa riêng tư của mình bị rò rỉ hoặc tài sản của họ bị chuyển nhượng, họ sẽ ngay lập tức liên hệ với nhóm quản lý ví, hy vọng chúng tôi có thể hỗ trợ thêm. Tuy nhiên, trên thực tế, một khi khóa riêng tư đã bị lộ, các nhà cung cấp ví sẽ có rất ít khả năng can thiệp.

Sau đây là tổng quan ngắn gọn về quy trình xử lý cơ bản của chúng tôi khi nhận được phản hồi về "tài sản bị đánh cắp" và cũng là lời giải thích tại sao chúng tôi thường không thể "thu hồi" trực tiếp tài sản trên chuỗi:

Trước tiên, chúng tôi sẽ hỗ trợ người dùng truy tìm dòng tiền và phân tích xem liệu các khoản tiền trên chuỗi có liên quan đến các nhóm tin tặc đã biết hay các cụm địa chỉ hay không. Đồng thời, chúng tôi sẽ khuyến cáo người dùng chuyển giao bất kỳ tài sản nào chưa bị đánh cắp càng sớm càng tốt để giảm thiểu rủi ro mất mát thêm. Đối với các trường hợp liên quan đến số tiền lớn bị đánh cắp, chúng tôi sẽ khuyến cáo người dùng liên hệ ngay với cảnh sát địa phương và tìm kiếm sự hỗ trợ thông qua các kênh pháp lý. Đội ngũ nội bộ của chúng tôi cũng sẽ tiến hành phân tích chuyên sâu về sự cố, tóm tắt phương thức hoạt động của tin tặc để cung cấp tài liệu tham khảo cho việc bảo vệ người dùng trong tương lai.

Là nhà cung cấp công cụ, bản thân ví không có khả năng cũng như thẩm quyền đóng băng hoặc khôi phục tài sản trên chuỗi. Một khi tin tặc lấy được khóa riêng, chúng thường có thể sử dụng các tập lệnh tự động để chuyển tiền trong vòng vài giây - một quá trình cực kỳ nhanh chóng và khó can thiệp. Chỉ khi số tiền bị đánh cắp cuối cùng được chuyển vào một sàn giao dịch tập trung thì việc đóng băng tạm thời mới có thể được yêu cầu thông qua các kênh pháp lý.

Khi chuỗi tài trợ được liên kết với nhóm tin tặc mà chúng tôi đã xác định, chúng tôi sẽ bắt đầu từ cách thức hoạt động chung của chúng để giúp người dùng nhớ lại xem gần đây họ có thực hiện bất kỳ hoạt động rủi ro cao nào không và sau đó xác định xem khóa riêng của họ có thể bị lộ ở giai đoạn nào.

OKX luôn ưu tiên bảo mật quỹ người dùng, đầu tư mạnh mẽ vào việc xây dựng hệ thống kiểm soát rủi ro và thiết kế nhiều cơ chế xác minh trong nhiều năm qua. Mặc dù các quy trình này có vẻ rườm rà, nhưng tất cả đều được thiết kế để bảo vệ tài sản của người dùng tốt hơn. Có thể nói rằng chúng tôi là một trong những đội ngũ đầu tư mạnh mẽ nhất vào bảo mật trong ngành.

Hình ảnh: Ví OKX xếp hạng đầu tiên về điểm bảo mật

Như đã đề cập trước đó, nếu người dùng thiếu nhận thức về bảo mật hoặc có thói quen sử dụng không đúng cách, họ vẫn có thể bị tổn thất do lừa đảo, rò rỉ khóa riêng tư hoặc các lý do khác, bất kể họ sử dụng ví nào. Do đó, việc bảo vệ khóa riêng tư đúng cách vẫn là nền tảng bảo mật quan trọng nhất. Bên cạnh việc liên tục cải thiện khả năng bảo mật của sản phẩm, chúng tôi cũng liên tục củng cố các nghiên cứu điển hình và chia sẻ các mẹo bảo mật để giúp người dùng xác định tốt hơn các tình huống rủi ro tiềm ẩn.

IV. Tóm lại, đây là một số mẹo bảo mật khóa riêng tư.

Tuyên bố miễn trừ trách nhiệm:

Bài viết này chỉ nhằm mục đích cung cấp thông tin. Bài viết không nhằm mục đích cung cấp (i) lời khuyên hoặc khuyến nghị đầu tư, (ii) lời đề nghị, chào mời hoặc dụ dỗ mua, bán hoặc nắm giữ tài sản kỹ thuật số, hoặc (iii) lời khuyên về tài chính, kế toán, pháp lý hoặc thuế. Tài sản kỹ thuật số (bao gồm stablecoin và NFT) chịu sự biến động của thị trường, có rủi ro cao và có thể mất giá. Nếu có thắc mắc về việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp với bạn hay không, vui lòng tham khảo ý kiến chuyên gia pháp lý/thuế/đầu tư của bạn. Ví OKX Web3 chỉ đơn thuần là một dịch vụ phần mềm ví tự lưu ký cho phép bạn khám phá và tương tác với các nền tảng của bên thứ ba. Ví OKX Web3 không kiểm soát các dịch vụ của các nền tảng của bên thứ ba đó và không chịu trách nhiệm cho chúng. Không phải tất cả các sản phẩm đều có sẵn ở tất cả các khu vực. Bạn có trách nhiệm hiểu và tuân thủ luật pháp và quy định hiện hành của địa phương. Ví OKX Web3 và các dịch vụ liên quan không do Sàn giao dịch OKX cung cấp và phải tuân theo Điều khoản Dịch vụ của Hệ sinh thái OKX Web3.