Tips lưu trữ, bảo vệ crypto khỏi tấn công phủi bụi, giả mạo, mã độc
Ở thị trường crypto đầy biến động và rủi ro, bảo vệ tài sản là điều vô cùng quan trọng. Bài viết này là mở đầu của chuỗi bài viết, video chia sẻ những kiến thức bảo vệ tài sản căn bản nhất dành cho tất cả mọi người, đặc biệt là những ai mới bắt đầu hành trình đầu tư crypto của mình.
Tại sao cần bảo vệ Private Key?
Private key hay seed phrase có thể xem như một dạng “mật khẩu" để truy cập tài sản trong ví điện tử. Trong đó:
- Mỗi địa chỉ ví điện tử chỉ có 1 private key hay seed phrase duy nhất.
- Bất cứ ai sở hữu private key hoặc seed phrase đều sẽ có toàn quyền kiểm soát, truy cập vào tài sản trong ví như gửi tài sản, ký giao dịch…
- Nếu quên, vô tình để lộ hoặc cố tình chia sẻ private key và seed phrase cho người khác, người dùng sẽ đối mặt với rủi ro mất toàn quyền truy cập toàn bộ tài sản trong ví.
Do đó, việc bảo vệ, giữ an toàn cho private key và seed phrase là cực kỳ quan trọng.
Một số phương thức tấn công private key và cách phòng tránh
Private key của người dùng có thể bị tấn công thông qua nhiều hình thức như tấn công phủi bụi, giả mạo và mã độc.
Tấn công phủi bụi
Tấn công phủi bụi (Dusting attack) xảy ra khi nhà phát triển :
- Khởi tạo, phân phát mỗi địa chỉ ví một lượng token rất nhỏ.
- Tạo hợp đồng thông minh (smart contract) đánh lừa các blockchain scanner (công cụ tra cứu giao dịch trên blockchain) rằng địa chỉ ví của người dùng sở hữu một lượng nhỏ token của hacker.
Khi người dùng thấy token lạ này, họ có thể thực hiện các thao tác như:
- Rút token lạ này ra khỏi ví để bán lấy tiền.
- Tương tác để xác nhận (approve) quyền chuyển các token khỏi ví.
Dựa vào đó, hacker có thể theo dõi giao dịch, xác định chủ sở hữu địa chỉ ví, hoặc rút toàn bộ token, coin khác trong ví.
Để phòng tránh và đảm bảo an toàn trước tấn công phủi bụi, người dùng nên:
- Không tương tác với token lạ.
- Nếu vẫn muốn tương tác với token lạ,nên chuyển tài sản sang ví an toàn khác trước khi thực hiện thao tác.
- Nếu token lạ xuất hiện quá thường xuyên, cần cân nhắc đổi sang địa chỉ ví mới, vì có thể ví này đã rơi vào tầm ngắm của hacker.
Coin98 Super Wallet đã trang bị tính năng ẩn token lạ có số dư quá nhỏ hoặc chưa được niêm yết, giúp người dùng giảm rủi ro bị tấn công bởi hình thức phủi bụi.
Tấn công giả mạo
Tấn công giả mạo (Phishing Attack) xảy ra khi:
- Hacker tạo website giả giống website thật.
- Mua domain URL giả giống với domain URL thật (chữ o thay bằng số 0, chữ i thay bằng chữ l…).
- Mua mail domain giả và spam người dùng với mẫu email gần giống email chính thức của các dịch vụ chính chủ.
Người dùng có thể bị tấn công toàn bộ dữ liệu và tài sản vào tay hacker nếu:
- Truy cập và nhập private key, seed phrase vào trang web giả mạo.
- Click vào các đường link trong email giả mạo.
Để phòng tránh, người dùng cần hết sức cảnh giác khi truy cập vào bất cứ website nào, click vào bất cứ đường link nào…
Tấn công mã độc
Tấn công mã độc (Malware attack) là việc cài đặt, phát tán các phần mềm độc hại, virus… lên thiết bị người dùng. Các loại virus và phần mềm độc hại này có thể tồn tại trên bất cứ loại thiết bị nào từ Windows đến MacOS, Linux…
Để phòng tránh cấp quyền cho hacker kiểm soát thiết bị, phát tán virus, cài mã độc vào thiết bị của mình, người dùng cần:
- Cẩn trọng khi click vào đường link lạ.
- Không tải ứng dụng lậu, crack hoặc apk…
Có nên sử dụng wifi công cộng và free VPN để giao dịch crypto không?
Wifi công cộng có nhiều nhược điểm như:
- Không có firewall (tường lửa) hay cơ chế bảo vệ người dùng.
- Nhà cung cấp wifi công cộng có thể scan dữ liệu vào và ra của một thiết bị, khiến người dùng gặp rủi ro lộ private key hay thông tin nhạy cảm.
Người dùng nên sử dụng 4G hoặc wifi riêng tư khi giao dịch, tương tác crypto.
Free VPN thường cung cấp băng thông và tốc độ thấp nhưng vẫn đảm bảo an toàn cho người dùng. Người dùng có thể sử dụng free VPN hoặc sử dụng phiên bản trả phí.
Rủi ro hack ví khi tương tác với smart contract
Ví điện tử không lưu ký (non-custodial wallet) hoạt động bằng cách:
- Yêu cầu người dùng cấp quyền truy cập một hạn mức tài sản (VD: 100 USDT, 200 C98…) cho smart contract để sử dụng dịch vụ mà smart contract này cung cấp như swap, cung cấp thanh khoản…
- Người dùng tốn một khoản phí gas cho mỗi lần cấp quyền.
=> Nhiều giao thức đã cung cấp dịch vụ “unlimited approve", cho phép người dùng tương tác với giao thức thoải mái mà không cần cấp phép, trả phí gas quá nhiều lần.
Nếu cấp quyền “unlimited approve" cho các trang web giả mạo, giao dịch token có thanh khoản quá thấp, biên độ dao động lớn… người dùng sẽ đối mặt với nguy cơ mất tài sản. Do đó, nên cấp quyền có hạn mức vừa phải và thường xuyên revoke các xác nhận cấp quyền cho bên thứ ba.
Các tips bảo vệ private key và seed phrase
Lưu trữ từng phần ở nhiều nơi
Khi lưu trữ key trên các thiết bị điện thoại/ máy tính, hoặc trong các ứng dụng như Notes, Messenger, Google Drive… người dùng nên:
- KHÔNG lưu trữ một đoạn key toàn vẹn và chính xác ở bất cứ nơi nào trong không gian mạng.
- Lưu trữ từng phần key ở nhiều nơi khác nhau.
- Sửa lại một hoặc hai từ, hoặc hoán đổi vị trí của các từ trong 12 ký tự của seed phrase theo những nguyên tắc tự đề ra.
Nếu làm vậy, ngay cả khi người dùng bị lộ private key này thì quyền truy cập tài sản của người dùng cũng không bị mất.
Nếu thiết bị người dùng bị cài keylogger, thiết bị này cũng không biết được người dùng đã các ký tự như thế nào, và vị trí của ký tự được sửa ở đâu.
Cloud Sync và Clear Clipboard của Coin98 Super Wallet
Coin98 Super Wallet cung cấp 2 tính năng: Cloud Sync và Clear Clipboard. Trong đó:
Cloud Sync:
- Mã hoá một chiều private key của tất cả các ví của người dùng, sau đó lưu trên Google Drive hoặc iCloud.
- Không có bất cứ ai, ngay cả Coin98 Super Wallet, có thể truy cập file này ngoại trừ người dùng.
- Nếu Google Drive hoặc iCloud của người dùng bị tấn công, kẻ tấn công cũng không thể giải mã file chứa private key vì đây là mã hoá một chiều.
Clear Clipboard:
- Xoá đi vùng lưu trữ ngắn hạn được nhúng trong hệ điều hành thiết bị người dùng.
- Tránh bị tấn công “Copy-Paste Heist”, xảy ra khi hacker truy cập trái phép dữ liệu trực tiếp từ khay bộ nhớ tạm, cướp đi private key và tài sản người dùng.
- Người dùng nên có thói quen thường xuyên clear clipboard hoặc clear cache trong các thiết bị của mình.
Sử dụng ví multisig
Ví multisig (Ví đa chữ ký) cung cấp nhiều ưu điểm như:
- Yêu cầu hai hoặc nhiều private key để ký và gửi một giao dịch. Nếu một ví multisig được tạo ra từ 3 private key, người dùng có thể cài đặt 2/3 private key cùng ký giao dịch để giao dịch đó có thể hoàn thành.
- Ngay cả khi người dùng bị lộ 1 private key, tài sản của người dùng vẫn an toàn.
Một số giải pháp lưu trữ tài sản an toàn khác là ví cứng, ví lạnh, ví cứng kết hợp ví lạnh Zen Card… giúp bảo vệ an toàn cho tài sản người dùng, đặc biệt là khi họ lưu trữ tài sản lâu dài.
Xem thêm: Zen Card - Giải pháp lưu trữ toàn diện của Ninety Eight.
Sử dụng nhiều ví cho nhiều mục đích
Nên sử dụng nhiều ví cho nhiều mục đích khác nhau, chẳng hạn như ví dùng để lưu trữ tài sản lâu dài, ví cày airdrop, ví giao dịch tài sản ngắn hạn...
Ngoài ra, người dùng cũng nên thỉnh thoảng đổi ví sử dụng để tránh bị theo dõi, tăng tính an toàn cho ví vì có thể ví cũ đã từng tương tác với những phần mềm, ứng dụng độc hại.
Xem thêm chuỗi series hướng dẫn an toàn và bảo mật tài sản crypto ở đây.