Ví tương tác trên chuỗi hàng ngày có còn an toàn không? Những điều bạn cần biết về cách ngăn chặn ví của bạn bị đánh cắp!

Đừng yêu cầu trợ giúp khi nói đến an ninh mạng! Hãy cẩn thận trước khi ký vào ví MetaMask của bạn!
MetaMask là ví kỹ thuật số được mã hóa EVM (Ethereum Virtual Machine) rất nổi tiếng và được sử dụng rộng rãi nhất. Tôi tin rằng bất kỳ ai quen thuộc với lĩnh vực kỹ thuật số mật mã đều đã từng sử dụng ví MetaMask. Tuy nhiên, khi ngày càng có nhiều người tham gia vào lĩnh vực kỹ thuật số được mã hóa, các trường hợp gian lận kỹ thuật số ngày càng gia tăng và các trường hợp tài sản kỹ thuật số bị đánh cắp do không quen với chế độ hoạt động của blockchain ngày càng trở nên phổ biến.
Một người bạn đã từng gặp trường hợp như vậy. Anh ấy rõ ràng không thực hiện bất kỳ giao dịch nào, nhưng phát hiện ra rằng tài sản kỹ thuật số trong ví của mình đã được chuyển đi mà không có lý do. Anh ấy chắc chắn rằng cụm từ ghi nhớ không bị rò rỉ cho người khác, nhưng anh ấy đã sử dụng ví đó. đăng nhập nhiều lần vào các tài khoản khác nhau trên trang web, tham gia vào các tương tác dApp khác nhau, v.v. Do đó, rất có thể vấn đề nằm ở chữ ký.
Lần này chúng ta sẽ lấy MetaMask làm ví dụ để nói về ba vấn đề về chữ ký trên blockchain.
Cái gọi là chữ ký thực chất là một quá trình xác thực danh tính. Cũng giống như khi bạn đến ngân hàng rút tiền, ngoài việc nhận được hướng dẫn thao tác của bạn, ngân hàng còn phải tiến hành xác thực danh tính để đảm bảo rằng bạn là chủ tài khoản thật. Việc xác thực danh tính ngân hàng có thể được thực hiện bằng mật khẩu, chữ ký, con dấu, v.v.
Chữ ký chuỗi khối
Điều này cũng đúng với các giao dịch trên blockchain, khi bạn thực hiện một giao dịch, ngoài việc hướng dẫn blockchain “phải làm gì”, bạn còn cần thực hiện xác thực danh tính để đảm bảo rằng bạn là chủ sở hữu tài khoản thực trước khi có thể thực hiện các thao tác tương ứng. hoạt động. Xác thực danh tính này là cái mà chúng tôi gọi là "chữ ký".
Phương thức ký cụ thể là sử dụng khóa riêng của bạn (Khóa riêng) được lưu trong ví blockchain (chẳng hạn như MetaMask) để ký điện tử vào các hướng dẫn bạn đã đưa ra thông qua thuật toán mã hóa. Chữ ký này có thể được thực hiện bằng khóa chung của địa chỉ của bạn (Khóa công khai). ) được so sánh để xác minh rằng đó thực sự là hướng dẫn tương ứng do bạn đưa ra và quá trình xác thực đã hoàn tất. Ngoài ra, hành động "ký" không cần cuộn dây. Nó cũng có thể được thực hiện mà không cần kết nối internet.
Do đó, chỉ cần bạn có chữ ký giao dịch hợp lệ và khớp với hướng dẫn giao dịch tương ứng (chẳng hạn như chuyển khoản), bạn có thể hoàn tất giao dịch một cách bình thường.
Tại thời điểm này, tôi tin rằng những độc giả thông minh có thể nhìn ra điều bí ẩn. Chữ ký giao dịch là ưu tiên hàng đầu trong toàn bộ quá trình. Nói cách khác, kẻ lừa đảo có thể giả mạo giao dịch và lừa đảo chữ ký giao dịch của bạn. Sau đó, kẻ lừa đảo có thể sử dụng chữ ký này để thực hiện giao dịch giả mạo, khiến bạn bị mất tài sản trong những trường hợp không thể giải thích được. Việc rò rỉ chữ ký giao dịch là một trong những thủ phạm gây ra vụ trộm nhiều tài sản kỹ thuật số.
Dấu hiệu cá nhân
Ký kết đăng nhập Web3 phổ biến
Personal Sign có thể được sử dụng để ký một đoạn văn bản được mã hóa UTF-8. Sử dụng phương pháp này, MetaMask sẽ hiển thị rõ ràng nội dung đã ký. Phương pháp này thường được sử dụng để đăng nhập trang web.
Thông tin đăng nhập OpenSea mà chúng tôi đề cập ở trên sử dụng phương thức Personal Sign.
Eth_Sign
Người dùng cần cảnh giác hơn khi ký
ethsign là một phương thức chữ ký được MetaMask cung cấp từ rất sớm. Phương pháp này yêu cầu chuyển số băm 32 byte (Hash) cho chữ ký và số băm có thể được lấy từ bất kỳ nội dung nào. Do đó, chỉ với số băm vô nghĩa này, chữ ký. Tác giả sẽ không biết mình đang ký nội dung gì. Nội dung này có thể là một giao dịch, ủy quyền, yêu cầu đăng nhập trang web hoặc bất cứ điều gì khác. Do đó, hiện nay MetaMask đã bắt đầu ký loại chữ ký này. Yêu cầu hiện lên cảnh báo màu đỏ để cảnh báo người dùng tránh rơi vào tình trạng lừa đảo.
Đặng, rung chuông đi. Ethsign là một phương pháp chữ ký rất nguy hiểm và nó cũng là phương pháp chữ ký được nhiều kẻ lừa đảo sử dụng. Thông tin đăng nhập OpenSea mà chúng tôi đề cập ở trên sử dụng phương thức Personal Sign.
Ký hiệu EIP712
Một phương thức ký giao dịch tiên tiến và an toàn hơn
Dấu hiệu EIP712 là một tiêu chuẩn chữ ký an toàn hơn Tiêu chuẩn này chỉ định cấu trúc dữ liệu chữ ký và cũng bổ sung các giới hạn phạm vi đối với dữ liệu, chẳng hạn như tên miền, địa chỉ hợp đồng xác minh, v.v.
Chữ ký ERC712 thường được sử dụng trong việc thực hiện hợp đồng chẳng hạn như siêu giao dịch. Ví dụ: các yêu cầu chữ ký EIP712 sẽ xuất hiện trong quá trình niêm yết OpenSea NFT, giảm giá và các quy trình khác.
Ưu điểm của tiêu chuẩn này là người ký có thể nhìn rõ những gì họ đang ký, giúp giảm đáng kể nguy cơ bị lừa đảo. Tuy nhiên, điều này không có nghĩa là loại chữ ký này an toàn tuyệt đối. Khi ký, bạn phải nhìn rõ nội dung mình đang ký.
Phần kết luận
Tóm lại, bạn không bao giờ có thể nghĩ rằng không có rủi ro nếu chữ ký không có trên chuỗi. Ngược lại, chữ ký blockchain thực sự có thể được coi là toàn năng, đặc biệt là các chữ ký bật lên bằng ethsign. Cả nhóm phát triển và cá nhân đều phải hết sức cẩn thận.
Ngoài tính bảo mật của chính tương tác siêu mặt nạ, các khuyến nghị bảo mật khác bao gồm:
1. Không được cung cấp khóa riêng và cụm từ ghi nhớ trong bất kỳ trường hợp nào và không được sử dụng bảng nhớ tạm để sao chép cũng như không được chụp ảnh, chụp ảnh màn hình hoặc lưu trữ chúng vào đĩa mạng. Hãy nhớ khóa riêng hoặc cụm từ ghi nhớ là tất cả mọi thứ trong ví của bạn
2. Tách biệt ví nóng và ví lạnh. Tất cả các giao dịch phải được thực hiện trong ví nóng. Ví lạnh chỉ thực hiện các hoạt động chuyển tiền vào và chuyển khoản. Nếu bạn muốn bán NFT trong ví lạnh, bạn thà tốn một ít xăng. trước tiên hãy chuyển nó ra ví nóng.
3. Khi đi đúc tiền hoặc khi thử một số dApps, tốt nhất nên sử dụng một chiếc ví nhỏ
4. Tốt nhất nên lưu trữ một lượng lớn tài sản trong các sàn giao dịch hoặc ví phần cứng. Các cụm từ ghi nhớ cho ví phần cứng chỉ có thể được viết bằng tay và không thể lưu trữ trên Internet.
Tôi hy vọng mọi người sẽ hạnh phúc trong thế giới tiền điện tử và bảo vệ ví của mình. Ví là chìa khóa cho sự tồn tại của chúng ta trong thế giới web3. Nếu khóa bị mất hoặc bị đánh cắp, ví sẽ không còn thuộc về bạn. Nếu điều này xảy ra, hãy xóa ngay lập tức. nội dung của tài sản ví, ví không được dùng nữa.