Làm thế nào farming và chơi DeFi an toàn, tránh bị hack ví?

Đem tiền đi farm Bullfarm và cái kết bị trộm sạch tiền. Đây là “case study" gần đây cảnh tỉnh anh em về mức độ nguy hiểm của DeFi. Key của anh em, coin của anh em, ví của anh em, tại sao sau khi kết nối với nền tảng khác thì tiền của anh em bị rút sạch mà không rõ nguyên nhân? Hãy cùng mình tìm hiểu nguyên nhân và cách farming an toàn khi tham gia DeFi.

DeFi - Con dao hai lưỡi

Thị trường tài chính phi tập trung (DeFi) mang lại cho anh em rất nhiều cơ hội để kiếm tiền từ việc săn các đồng coin hot có khả năng X to cho đến Farming, Staking với mức lãi suất cao. Nhưng cuộc chơi chỉ thực sự dễ dàng khi anh em đã hiểu rõ về nó và nắm được quy tắc chơi.

Tuy nhiên, khi DeFi trở thành xu thế, anh em sẽ thấy rất nhiều dự án lending, borrowing, yield farming,... được tạo ra nhưng không có định hướng phát triển lâu dài. Những anh em không đủ kiến thức và tìm hiểu về dự án dễ dàng trở thành con mồi ngon bị mắc bẫy.

Bên cạnh đó, rất nhiều hình thức scam được phát triển tinh vi hơn, kể cả người dùng không cần kết nối với một nền tảng nào đó cũng bị đánh cắp tài sản.

Hãy luôn tỉnh táo và DYOR trước mọi quyết định farming hay giao dịch, chơi DeFi vì sẽ không có nút “undo" để anh em hoàn tác giao dịch.

Đọc thêm về cấu trúc của DeFi với bài viết: Mở khóa chiếc hộp DeFi Pandora - Bí mật của những dự án x100

Nguyên nhân bị mất tiền khi farming

Nguyên nhân gián tiếp

Do các lỗi về Smart Contract, sự can thiệp thay đổi data input từ Oracle khiến các giao thức farming bị hack gây thiệt hại đến nền tảng. Một số vụ “explosion” gần đây như Harvest Finance, Origin Protocol,... chắc chắn không còn lạ lẫm gì với anh em nữa gây tổn hại gián tiếp đến tài sản trên các nền tảng farming. Nếu nền tảng uy tín, đáng tin cậy, người dùng sẽ được nhận bồi thường, nếu không, anh em có khả năng sẽ mất tài sản crypto.

Tất nhiên, sự cố này hoàn toàn là bất khả kháng và không một ai mong đợi tình huống này xảy ra.

Dưới đây là một số dự án yield farming, lending, staking gặp sự cố hacking trong thời gian qua với Harvest Finance là dự án bị tổn thất nặng nề nhất với 33.8 triệu USD.

Nguyên nhân trực tiếp

Trước hết, anh em nên hiểu khái quát về hoạt động farming, đây là hoạt động cung cấp thanh khoản vào pool của một giao thức hoặc nền tảng để cố gắng tạo ra lợi nhuận từ tài sản crypto.

Để hoạt động farming diễn ra, anh em cần kết nối ví cá nhân với nền tảng farming. Thao tác Approve (Duyệt giao dịch) là bước anh em bắt buộc trải qua nếu muốn swap hoặc farming.

Approve tức là phê duyệt cho chủ sở hữu của Smart Contract/ nền tảng farming có quyền kết nối, tiếp cận và có toàn quyền với số tiền của bạn để swap hoặc cung cấp thanh khoản vào pool.

Giả sử, anh em muốn farm 1000 ABC Token vào pool X của nền tảng Z, để cung cấp thanh khoản vào pool X, anh em cần kết nối ví cá nhân chứa 1000 ABC Token và click chọn Approve để smart contract của nền tảng kết nối với ví.

Sau khi nhấn Approve, nền tảng Z có toàn quyền sử dụng hạn mức anh em đã phê duyệt là 1000 ABC Token.

• Trường hợp 1: Dự án tốt, đáng tin →  Dự án đem tiền của anh em và cung cấp vào pool để farming.
• Trường hợp 2: Dự án scam, lừa đảo → Lợi dụng lỗ hổng ở thao tác Approve để swap (giao dịch) đồng coin của anh em sang một đồng coin khác → Rút thanh khoản của pool và biến mất → Anh em mất tiền nhưng không biết lý do.

Thao tác Approve còn có tính năng Unlimited Approve (Xét duyệt không giới hạn). Unlimited Approve là tính năng cho phép nền tảng, smart contract toàn quyền xử lý số tiền chứa trong ví của anh em với hạn mức tối đa.

• Lợi ích: Tiết kiệm phí khi giao dịch, thao tác nhanh, không cần nhấn approve cho những lần giao dịch, farming tiếp theo. Approve không có giới hạn về thời gian.
• Bất lợi: Rủi ro ảnh hưởng trực tiếp đến tài sản, trao quyền 100% cho chủ sở hữu contract.

Gần đây, một tình trạng rất nhiều anh em gặp phải, là trong ví tự dưng xuất hiện rất nhiều đồng shitcoin, những đồng coin lạ trong khi bản thân chưa từng giao dịch hoặc mua bán nó, chắc chắn đó là thủ đoạn tinh vi của scammer. Anh em sẽ bị mất tiền trong trường hợp chuyển số lượng coin đó sang ví khác hoặc thực hiện giao dịch swap, khi đó tài sản còn lại lưu trữ trong ví của anh em đang gặp rủi ro, khả năng là sẽ mất tiền phí giao dịch hoặc các tài sản còn lại sẽ bị bốc hơi theo giao dịch đó.

Làm thế nào farming an toàn và hạn chế rủi ro bị hack ví?

Lưu trữ tài sản ở nhiều ví khác nhau

Anh em nên lưu trữ tài sản ở nhiều ví khác nhau và đặc biệt dành riêng một ví chỉ để lưu trữ tài sản và không tương tác với bất kỳ smart contract hay nền tảng nào khác.

Cần có một ví chuyên để farming, nếu anh em muốn farm đồng coin nào, chỉ cần chuyển tiền từ sàn hoặc ví khác vào ví chuyên đi farm. Điều này giúp anh em hạn chế rủi ro mất tài sản khi farm. Trong trường hợp anh em farm phải dự án lừa đảo, anh em cũng chỉ mất số tiền có trong ví chứ không mất thêm bất kỳ số tiền nào khác.

Cách lưu trữ Private Key & Passphrase an toàn

Để lưu trữ Private Key và Passphrase thì không có cách nào đúng, cách nào sai, chỉ có cách nào phù hợp hơn với mỗi người. Tuy nhiên dưới đây là một số cách anh em có thể tham khảo:

• Lưu đồng thời trên giấy note và online storage (Google Drive,...), nhưng anh em không nên không dùng mail thường sử dụng để lưu mà hãy tạo 1 Email riêng, có cài 2FA và không đăng nhập bất cứ đâu để lưu trữ.
• Phải lưu ở nhiều nơi khác nhau, từ Drive cho đến giấy note, nhưng để người khác không lấy cắp được key của mình, anh em có thể đổi một số ký tự hoặc đổi thứ tự của Passphrase và Private key mà chỉ có mình ghi nhớ. (Ví dụ như đổi thứ tự chữ đầu và chữ cuối,...)
• Đối với các file lưu online, bật thêm chế độ mật khẩu cho từng file (Excel cho phép bật mật khẩu cho cả file Excel hoặc từng Tab trong file).
• Điều cuối cùng, một số anh em không thường xuyên lưu key khi đã tạo ví, mà hay chỉ lưu lại vào cuối tháng. Mình khuyên anh em nên tạo lưu key ngay khi tạo ví, nếu như lười lưu nhiều key thì hãy lưu một Passphrase và tạo nhiều Sub-account.

Đọc thêm: Sự khác nhau giữa Private Key và Passphrase

Không khuyến khích chọn tính năng Unlimited Approve

Anh em cẩn thận thì không nên chọn tính năng Unlimited Approve, mặc dù khá tốn công và tốn phí khi mỗi lần farm là một lần approve khác nhau nhưng nó sẽ đảm bảo an toàn cho tài sản của anh em.

Nếu anh em muốn farm bao nhiêu thì chỉ cần approve đúng coin anh em muốn farm là được.

Không farm lung tung

Anh em thấy nhiều tổ chức giới thiệu những nền tảng farming với lãi suất hàng năm (APY) cao mà chưa có bất kỳ xác thực chưa kiểm chứng lại đổ tiền vào farm thì khả năng rất cao tiền của anh em sẽ không cánh mà bay.

Hãy cân nhắc, xem xét thật kỹ dự án về độ tin cậy (đã được audit hay chưa, tất nhiên những dự án đã audit vẫn có nguy cơ bị hack nhưng khi có sự xác nhận, anh em cũng có niềm tin hơn), nhìn vào đội ngũ dự án, các công nghệ, lộ trình và cách phát triển để đánh giá dự án trước khi bỏ tiền vào farming.

Không swap lung tung

Đôi lúc anh em sẽ thấy trong ví của mình có nhiều token lạ, thậm chí có giá trị đến cả ngàn $. Điều này khiến không ít anh em newbie tìm cách swap chúng. Nhưng sau khi swap xong, tài sản trong ví của anh em sẽ bị chuyển đi hết.

Điều này xảy ra bởi vì trong Smart Contract của những scam token đó có những đoạn code dùng để Approve giao dịch cho tất cả các token có trong ví, chính vì thế khi anh em lỡ swap (Approve giao dịch) thì tài sản sẽ bị chuyển đi.

Huỷ quyền phê duyệt (Approve) sau mỗi lần farming

Sau mỗi lần xét duyệt farming hay tương tác với các DApp, anh em có thể kiểm tra lại lịch sử kết nối với các DApp và huỷ bỏ quyền kết nối với các hợp đồng ngay trực tiếp trên Coin98 Wallet.

Để kiểm tra xem mình đã tương tác với những DApp nào và muốn thu hồi quyền truy cập unlimited approval của những nền tảng nào, anh em có thể làm theo các bước hướng dẫn sau:

Bước 1: Vào Coin98 Wallet, chọn Terminal ở góc phải phía bên dưới.

Bước 2: Chọn Wallet Approval 

Bước 3: Chọn ví anh em muốn kiểm tra lịch sử kết nối với DApp

Bước 4: Tại giao diện này, anh em có thể huỷ bỏ quyền truy cập vào tài sản của anh em của các hợp đồng thông minh bằng cách nhấn vào dấu [x].

Bước 5: Click Confirm (Xác nhận) và chờ quá trình huỷ bỏ được hoàn tất.

Trong trường hợp anh em nhận các token rác, token scam trong ví, anh em có thể dùng tính năng Hide tokens (ẩn token) để ẩn các token này khỏi giao diện chính và hạn chế tình trạng bấm nhầm.

 Cách bảo vệ tài sản tốt nhất chính là hiểu được cách hacker chiếm tài sản. Mời bạn xem video "Dự án bị hack tràn lan do đâu? Bỏ túi nhiều tips bảo vệ ví triệu đô" để cùng hiểu các hình thức tấn công phổ biến cũng như một số tips bảo vệ tài sản nhé!

Hướng dẫn cách farm tiện lợi và tiết kiệm chi phí

Anh em có thể staking, farming trên nhiều blockchain khác nhau như Ethereum, Binance Smart Chain, Huobi Eco Chain,... trên Coin98 Wallet thông qua các Dapp Browser chỉ với một số thao tác đơn giản và vô cùng tiện lợi.

Chỉ cần click vào mục Browser ở giao diện chính, sau đó chọn nền tảng farming anh em muốn farm → Chọn ví có chứa coin muốn farm → Thực hiện các thao tác farm thông thường là xong.

Đọc thêm: Farming, Staking, Trading - Tất cả đã có mặt trên Coin98 Wallet Web3 DApps Browser

Bên cạnh đó, Coin98 Wallet còn có tính năng gas bar giúp anh em tối ưu hoá chi phí farming với tốc độ xử lý nhanh và chi phí hợp lý nhất.

Đồng thời, khi xác minh được thông tin, hãy farm càng sớm càng tốt, vì lúc đó giá token farm của anh em sẽ ở mức giá tốt nhất tránh tình trạng giá giảm sâu bị thanh lý và nhận lấy “Impermanent Loss”.

Tổng kết

Đụng đến tiền, anh em không đùa được đâu, hãy có trách nhiệm với tài sản của bản thân. Đừng thấy thông báo kết nối ví với những nền tảng DeFi mà bấm approve liên tục trong khi không biết nó đang cảnh báo điều gì để rồi nhận cái kết đắng. Đừng tiếp tay cho kẻ gian lấy cắp tiền của anh em một cách dễ dàng vì sự bất cẩn của bản thân.

Rất nhiều anh em mất tiền do những lỗi vớ vẩn như này và mình không hy vọng anh em là nạn nhân tiếp theo!

Hãy tìm hiểu kỹ luật chơi, biết rõ bản game trước khi ra trận. Hẹn gặp anh em ở những bài viết tiếp theo!