Con cáo nhỏ và ví imToken của bạn có đang bị nhắm mục tiêu không? Các cuộc tấn công và lừa đảo nhắm mục tiêu vào các ví chính thống đang bùng nổ trên quy mô lớn

Gần đây, nhiều sự cố bảo mật ví khác nhau đã xuất hiện trong ngành:
Vào ngày 18 tháng 4, một tweet về 5.000 ETH bị đánh cắp bởi nhà phát triển ví MetaMask @tayvano_ đã được lan truyền rộng rãi trong cộng đồng tiền điện tử, tin rằng MetaMask có lỗ hổng, gây hoang mang trong cộng đồng. Vào ngày 19 tháng 4, MetaMask trả lời rằng việc lỗ hổng này bị đánh cắp là sai nhưng họ đang nghiên cứu nguồn gốc của lỗ hổng.
Vào ngày 20 tháng 4, các quan chức của imToken đã nhắc nhở rằng những kẻ lừa đảo gần đây đã mạo danh các quan chức của imToken và liên hệ với người dùng bằng cách gửi tin nhắn văn bản và các phương pháp khác để dụ người dùng truy cập các trang web giả mạo và nhập các cụm từ ghi nhớ, khiến người dùng bị mất tài sản. Quảng cáo đứng đầu sau khi tìm kiếm “imToken” trên Google là một loại website lừa đảo mới, người dùng được khuyến cáo không nên click vào liên kết và cẩn thận để tránh rủi ro.
Vào ngày 22 tháng 4, Trust Wallet đã đưa ra thông báo rằng có một lỗ hổng trong địa chỉ của các ví mới được tạo từ ngày 14 đến ngày 23 tháng 11 năm ngoái và quy trình bồi thường đã được tạo cho những người dùng bị ảnh hưởng.
Với sự bùng nổ của nhu cầu tương tác trên chuỗi như DeFi và NFT, ngành này không còn giống như những ngày đầu, chỉ cần mua coin trên CEX và đặt chúng trên CEX là có thể đáp ứng được nhu cầu của hầu hết các nhà đầu tư. thậm chí tất cả chúng cùng nhau. Token được giữ trong ví riêng của một người, điều này cũng khiến ngành công nghiệp này trở thành thiên đường cho tin tặc. Thỉnh thoảng, có thông tin cho rằng một số nhà đầu tư tải xuống ứng dụng giả mạo do ủy quyền, rò rỉ khóa riêng tư hoặc. có lỗ hổng trong ví, dẫn đến việc tài sản của họ bị đánh cắp, cuối cùng việc đảm bảo an toàn cho tài sản của chính mình đã trở thành một kỹ năng thiết yếu trong ngành.
Tiếp theo, chúng ta sẽ hiểu một cách toàn diện cách bảo vệ tính bảo mật của tài sản blockchain từ một số khía cạnh như kiến ​​thức liên quan đến ví, các trường hợp bị đánh cắp và kiến ​​thức về bảo vệ khóa riêng tư.
Kiến thức liên quan đến ví
Trước khi đảm bảo an toàn cho tài sản của mình, bạn cần có những hiểu biết nhất định về một số kiến ​​thức cơ bản về ví trong ngành để có thể hiểu rõ hơn về cách bảo vệ tài sản của mình. Tiếp theo, chúng tôi giới thiệu ngắn gọn một số khái niệm liên quan.
1. Mã hóa đối xứng và mã hóa bất đối xứng
Trước khi hiểu khóa chung (riêng), trước tiên chúng ta hiểu ngắn gọn về mã hóa đối xứng và mã hóa bất đối xứng trong mật mã. Mã hóa đối xứng có nghĩa là A có thể lấy được B thông qua một thuật toán nhất định và đến lượt B có thể giải mã ngược lại A thông qua cùng một thuật toán. Ở đây, cùng một thuật toán được sử dụng để mã hóa và giải mã bất đối xứng có nghĩa là A thông qua một thuật toán nhất định có thể thu được. B, nhưng B không thể được giải mã ngược bằng cùng một thuật toán.
 Như thể hiện trong hình, sự khác biệt giữa mã hóa đối xứng và mã hóa bất đối xứng nằm ở chỗ khóa chung của người nhận tin nhắn và khóa riêng của người nhận tin nhắn trong hình có phải là cùng một khóa hay không.
2. Khóa công khai (riêng), cụm từ ghi nhớ, địa chỉ
Sau khi hiểu rõ về mã hóa đối xứng và mã hóa bất đối xứng, bạn có thể hiểu rõ hơn một số khái niệm cơ bản liên quan đến ví.
Cặp khóa: Trong mã hóa bất đối xứng, có một cặp khóa là khóa chung và khóa riêng là khóa chung và khóa riêng không phải là khóa chung.
Khóa chung: dùng để mã hóa dữ liệu. Dữ liệu được mã hóa bằng khóa chung chỉ có thể được giải mã bằng khóa riêng.
Khóa riêng: Khóa riêng có thể tạo khóa chung, khóa này được sử dụng để giải mã dữ liệu được mã hóa bằng khóa chung.
Địa chỉ: Tương ứng với "khóa chung", vì khóa chung quá dài nên có "địa chỉ" và địa chỉ được tạo bởi khóa chung.
Mnemonic: Tương ứng với “khóa riêng”, vì khóa riêng là một chuỗi được tạo ngẫu nhiên quá dài và khó nhớ nên một tập hợp các từ mà con người có thể đọc được đã được tạo ra để thay thế khóa riêng nhằm giúp người dùng ghi nhớ khóa riêng. , thường là 12 cụm từ bất quy tắc. (khóa riêng = cụm từ ghi nhớ)
Mạng nguồn hình ảnh: quy trình giao dịch trên chuỗiChữ ký điện tử: Đối với một thông tin nhất định (bạn chuyển 100 Ethereum cho ai đó), thông tin này cần được ký bằng khóa riêng của bạn và sau đó được phát lên blockchain.
Xác minh chữ ký: Người nhận có thể xác minh thông qua khóa chung của bạn rằng tin nhắn thực sự được ký bởi khóa riêng của bạn, đó là những gì bạn đã xuất bản và hồ sơ giao dịch nằm trên chuỗi. Do đó, bất kỳ ai kiểm soát khóa riêng sẽ kiểm soát ví.
Hiểu một cách đơn giản thì public key (địa chỉ) tương đương với số tài khoản của bạn, còn Private key (cụm từ ghi nhớ) tương đương với số tài khoản + mật khẩu của bạn (khóa riêng có thể tạo ra public key).
Sử dụng phép tương tự thẻ ngân hàng, khóa chung = tài khoản ngân hàng, địa chỉ = số thẻ ngân hàng, mật khẩu = mật khẩu thẻ ngân hàng, khóa riêng = số thẻ ngân hàng + mật khẩu thẻ ngân hàng, ghi nhớ = khóa riêng = số thẻ ngân hàng + mật khẩu thẻ ngân hàng, Keystore + mật khẩu = khóa riêng,.
3. Lưu khóa riêng (cụm từ dễ nhớ)
Tiền của bạn không được lưu trữ trong APP ví của bạn mà ở địa chỉ tương ứng với khóa riêng trong mạng blockchain. Miễn là bạn có khóa riêng, bạn có thể đăng nhập vào tất cả các ví thông qua khóa riêng (ví này hỗ trợ bạn. coin), ví chỉ là giao diện người dùng để hiển thị tiền trong tài khoản và không lưu trữ khóa riêng của bạn.
Nếu khóa riêng bị mất, điều đó có nghĩa là tài sản của bạn cũng sẽ bị mất và không thể lấy lại được qua ví. Khi đăng ký ví lần đầu, trang ví thường sẽ nhắc nhở người dùng về điều này. Điều này hoàn toàn khác với QQ và WeChat mà chúng tôi đã sử dụng trước đây. Nếu mất mật khẩu, nó có thể được xác minh thông qua xác minh điện thoại di động, câu hỏi và xác minh bạn bè. Tất nhiên, đây cũng là điểm hấp dẫn của việc phân quyền blockchain. của riêng bạn.
4.Các loại ví
Tùy thuộc vào việc khóa riêng có được kết nối với Internet hay không, ví có thể được chia thành ví nóng và ví lạnh, như minh họa trong hình trên.
Ví nóng: ví khách hàng, ví plug-in, APP di động.
Nó dễ sử dụng, dễ vận hành cho người mới, có hiệu quả tương đối cao trong việc chuyển tiền giao dịch, nhưng độ bảo mật kém và dễ bị đánh cắp.
Ví lạnh: Ví phần cứng.
Nó có tính bảo mật cao và phù hợp để lưu trữ số lượng lớn tài sản. Việc tạo phức tạp, chuyển giao rắc rối, hư hỏng phần cứng hoặc mất khóa riêng có thể gây mất tài sản kỹ thuật số.
Từ những điều trên, chúng ta có thể biết rằng khóa riêng là tất cả và tất cả các biện pháp bảo vệ tài sản của chúng tôi thực chất là bảo vệ khóa riêng, bảo vệ khóa riêng và bảo vệ khóa riêng. (Ngăn chặn khóa riêng bị mất và bị người khác lấy được)
Vụ án bị đánh cắp
Sau khi hiểu các khái niệm liên quan, chúng ta hãy xem xét các trường hợp mất mát chính hiện nay. Thông qua các trường hợp, chúng ta có thể bảo vệ ví của chính mình tốt hơn.
1.Rò rỉ khóa riêng (cụm từ dễ nhớ)
Vào đầu năm 2021, Yiren, người sáng lập Kiếm tiền Youshu, đã lưu khóa riêng Bitcoin trong Cloud Notes, dẫn đến mất tài sản 8 chữ số bằng BTC.
Vào ngày 22 tháng 11, tài sản kỹ thuật số trị giá 42 triệu USD của người sáng lập Fenbushi Capital Shen Bo đã bị đánh cắp bao gồm: 38.233.180 USDC, 1.607 ETH, 719.760 USDT và 4,13 BTC. Theo phân tích sau đó của cơ quan an ninh Slow Mist, vụ trộm xảy ra do rò rỉ cụm từ ghi nhớ.
2. Mất khóa riêng (cụm từ ghi nhớ)
Kỹ sư CNTT người Anh James Howells bị mất ổ cứng máy tính vào năm 2013, trong đó có 8.000 Bitcoin. Chín năm sau, anh dự định chi 74,3 triệu USD để lục lọi các bãi phế liệu để thu hồi ổ cứng máy tính.
3. Bấm vào link virus
Một người dùng nhấp ngẫu nhiên vào liên kết do người khác gửi, khiến tin tặc đọc được bản sao lưu mã hóa cục bộ của metamask và toàn bộ tài sản đều bị đánh cắp.
Twitter KOL nhấp vào liên kết riêng do người khác gửi, khiến tài khoản Twitter bị đánh cắp, sau đó tung ra thông tin airdrop độc hại, lợi dụng lòng tin của người hâm mộ đối với KOL để nhấp vào liên kết nhằm đánh cắp tài sản của người hâm mộ.
4. Việc ủy ​​quyền theo ý muốn có thể dẫn đến lỗ hổng trong ứng dụng.
Vào ngày 2 tháng 10, DEX Transit Swap của Token Pocket chính thức tuyên bố rằng họ đã bị hacker tấn công, với thiệt hại tài sản vượt quá 15 triệu USD và nhắc nhở người dùng hủy ủy quyền.
Vào ngày 11 tháng 10, ví plug-in Rabby do nhóm DeBank phát triển đã tuyên bố rằng hợp đồng Swap của họ có lỗ hổng và khuyến nghị người dùng hủy ủy quyền Rabby Swap. Cuối cùng, hacker đã kiếm được hơn 190.000 USD.
5. Tải APP giả (có phần mềm virus)
Sau khi một số tin tặc lấy được thông tin người dùng nền tảng, chúng phát tán thông báo hoảng loạn đến người dùng thông qua tin nhắn văn bản. Nền tảng này không còn an toàn. Họ cần nhấp vào liên kết để cài đặt lại ứng dụng hoặc đăng nhập vào tài khoản. đang bị đánh cắp.
Một người dùng đã tải xuống ứng dụng Binance giả và khi chuyển tiền đã chuyển đến địa chỉ của người khác và 5 tài sản ETH đã bị mất hoàn toàn.
Từ các trường hợp trên, chúng ta có thể thấy tài sản của người dùng bị đánh cắp chủ yếu trong các trường hợp sau: rò rỉ khóa riêng (cụm từ ghi nhớ), mất khóa riêng (cụm từ ghi nhớ), nhấp vào liên kết vi-rút, ủy quyền tùy ý và các lỗ hổng ứng dụng. một số tình huống như tải APP giả (có phần mềm virus).
Tiếp theo, hãy cùng tìm hiểu những phương pháp nào có thể được sử dụng để tránh tình trạng trên.
Làm thế nào để tránh thiệt hại tài sản
1. Lưu trữ khóa riêng (cốt lõi: không dễ bị mất, không dễ bị hư hỏng và người khác không thể truy cập hoặc sử dụng)
Sao lưu ví ngay sau khi tạo, sao lưu gấp đôi, vì một khi bị mất sẽ không thể lấy lại được.
Cụm từ ghi nhớ được lưu trữ trên một phương tiện không được kết nối với Internet và không dễ bị mất hoặc hư hỏng, chẳng hạn như sao chép nó ra giấy và tự mã hóa (thêm hoặc bớt các ký tự cụ thể để dễ dàng tìm thấy bộ nhớ máy ảnh); không bao giờ kết nối Internet; có một số nhà cung cấp ví bán các tấm sắt liên quan đến các cụm từ ghi nhớ.
Sử dụng ví lạnh (ví phần cứng) và chọn mua ví lạnh nổi tiếng từ các kênh chính thức và không qua kênh của bên thứ ba (các kênh của bên thứ ba có thể chứa vi-rút và sao lưu khóa riêng để ngăn chặn); ví phần cứng không bị mất hoặc hư hỏng.
2. Ngăn chặn rò rỉ khóa riêng (cụm từ ghi nhớ)
Không sao chép và dán khóa riêng, một số phần mềm có thể đọc clipboard của người dùng
Không lưu khóa riêng trong bộ sưu tập WeChat, truyền tệp, Baidu Cloud, Evernote và các nền tảng trực tuyến khác
Đừng bao giờ nói cho ai biết khóa riêng của bạn. Hãy nhớ rằng, đó là bất kỳ ai. Một số kẻ lừa đảo giả vờ là quan chức ví để lừa gạt khóa riêng của bạn. Đừng tin vào điều đó.
Không sao chép và dán khóa riêng khi sử dụng Wi-Fi công cộng
Để tải xuống các ứng dụng khác nhau, bạn nên truy cập các kênh chính thức. Đôi khi tất cả các cửa hàng ứng dụng đều không đáng tin cậy (hãy nhớ là tất cả) và có những ứng dụng giả mạo.
Hãy thận trọng khi ký ví của bạn. Đối với những người sử dụng nhiều giao thức DeFi và tương tác NFT, hãy nhớ thu hồi ủy quyền kịp thời để ngăn chặn hành vi trộm cắp tài sản do lỗ hổng trong ứng dụng.
Không tự ý bấm vào các liên kết (tin nhắn) do người khác gửi, tải xuống các tập tin do người khác chia sẻ hoặc thậm chí tùy ý bấm vào một số liên kết KOL vì chúng có thể chứa vi-rút.
Khi bạn phát hiện có một số rò rỉ tài sản trong ví của mình, bạn nên từ bỏ ví càng sớm càng tốt và đừng mạo hiểm.
Không sử dụng VPN miễn phí
Cập nhật tin tức và tìm hiểu về thông tin bị đánh cắp mới trong thời gian thực
Tất cả các biện pháp trên thực chất là để bảo vệ khóa riêng của bạn khỏi bị rò rỉ. Không phải khóa của bạn, không phải tiền của bạn!
3. Tài sản được bố trí phân tán
Bạn có thể phân tán tiền của mình trong ví và nền tảng giao dịch. Mặc dù sự cố FTX đã dẫn đến sự thiếu tin tưởng vào các nền tảng giao dịch tập trung, nhưng đối với hầu hết mọi người, tốt hơn là nên đặt tài sản của họ vào một số nền tảng giao dịch tập trung hàng đầu hơn là giữ chúng. trong tay của chính họ. Nó tương đối an toàn và thuận tiện hơn so với ví. Miễn là khoản lỗ không quá lớn, một số nền tảng hàng đầu thường có thể đủ khả năng bồi thường.
Có một số điểm cần lưu ý khi sử dụng nền tảng giao dịch tập trung:
Bật xác minh ba lần (điện thoại di động, email, xác minh hai bước của Google)
Bật danh sách trắng rút tiền xu
Tải xuống ứng dụng từ các kênh chính thức
Khi chuyển tiền, hãy xác nhận xem địa chỉ có chính xác không
Thông qua kiến ​​thức liên quan ở trên, người dùng mới có thể hiểu toàn diện về kiến ​​thức liên quan về bảo mật tài sản blockchain Với sự phát triển của blockchain và sự gia tăng tương tác trên chuỗi, việc sử dụng ví sẽ dần trở thành một kỹ năng cơ bản quan trọng và các biện pháp khác nhau. thực sự không an toàn tuyệt đối, nhưng nói một cách tương đối, chúng có thể cho phép chúng ta tránh được hầu hết các cạm bẫy. Với sự phát triển của blockchain, các vấn đề mới sẽ tiếp tục nảy sinh, đòi hỏi chúng ta phải tiếp tục cải thiện kho kiến ​​thức của chính mình.
Số tiền nhỏ không nhất thiết phải tiết kiệm theo phương pháp trên, nhưng bạn phải thận trọng và thận trọng khi lưu các vị thế lớn, vì một sai sót của bạn có thể khiến bạn bị văng ra khỏi đoàn tàu blockchain mãi mãi. .