Nền tảng

Ví tiền đóng vai trò quan trọng trong thế giới Web3. Chúng là công cụ lưu trữ cho tài sản số và là công cụ cần thiết cho người dùng thực hiện giao dịch và truy cập vào các ứng dụng phi tập trung (DApps).vấn đề trước đó Trong Hướng dẫn cho người mới bắt đầu về Bảo mật Web3 để Tránh Rủi ro, chúng tôi chủ yếu giới thiệu về việc phân loại ví tiền và liệt kê các điểm rủi ro phổ biến để giúp độc giả hiểu về các khái niệm cơ bản về an ninh của ví tiền. Với sự phổ biến của tiền điện tử và công nghệ blockchain, các tội phạm mạng cũng đã nhắm đến các quỹ của người dùng Web3. Theo biểu mẫu bị đánh cắp mà Nhóm Bảo mật SlowMist nhận được, có thể thấy nhiều người dùng đã bị đánh cắp do tải xuống/mua các ví tiền giả mạo. Do đó, trong vấn đề này, chúng tôi sẽ khám phá lý do tại sao người dùng có thể tải xuống/mua các ví tiền giả mạo và các rủi ro của việc rò rỉ khóa riêng tư/seed phrase. Ngoài ra, chúng tôi sẽ cung cấp một loạt các khuyến nghị bảo mật để giúp người dùng bảo vệ quỹ của họ.

Tải xuống ví tiền giả mạo

Vì nhiều điện thoại di động không hỗ trợ Google Play Store hoặc do sự cố mạng, nhiều người sẽ tải ví tiền từ các cách khác, chẳng hạn như:

Trang web tải về từ bên thứ ba

Một số người dùng sẽ tải ví tiền thông qua các trang web tải về bên thứ ba như apkcombo, apkpure, v.v. Những trang web này thường quảng cáo rằng ứng dụng của họ được tải từ các gương Google Play Store, nhưng độ an toàn của nó ra sao? Nhóm an ninh SlowMist đã tiến hành điều tra và phân tích về nguồn gốc của ví tiền giả mạo Web3 từ các nguồn bên thứ ba, và kết quả cho thấy phiên bản ví tiền được cung cấp bởi trang web tải về bên thứ ba apkcombo không tồn tại. Khi người dùng tạo ví tiền hoặc nhập cụm từ khóa của ví trên giao diện khởi đầu, ví giả mạo sẽ gửi cụm từ khóa và thông tin khác đến máy chủ của trang web lừa đảo.

Công cụ tìm kiếm

Thứ hạng kết quả tìm kiếm của công cụ tìm kiếm có thể bị thao tác, dẫn đến trường hợp trang web chính thức giả mạo có thể xếp hạng cao hơn so với những trang web chính thức thật sự. Do đó, không khuyến nghị người dùng tìm kiếm ví tiền trực tiếp qua công cụ tìm kiếm và sau đó nhấp vào các liên kết xếp hạng cao nhất để tải xuống ví tiền. Làm như vậy có thể dẫn đến việc truy cập vào một trang web chính thức giả mạo và tải xuống một ví tiền giả mạo. Khi người dùng không chắc chắn về URL của trang web chính thức, rất khó để xác định xem đó có phải là một trang web giả mạo dựa chỉ vào giao diện của trang web. Điều này bởi vì kẻ lừa đảo tạo ra các trang web giả mạo mà gần như giống hệt các trang web chính thức thật sự, khiến cho việc phân biệt giữa hai trang trở nên khó khăn. Do đó, cũng không khuyến nghị người dùng nhấp vào các liên kết được chia sẻ bởi người dùng khác trên các nền tảng như Twitter hoặc các nền tảng khác, vì chúng thường là các liên kết lừa đảo.

Người thân và bạn bè / Lừa đảo giết mổ lợn

Trong khu rừng tối của blockchain, việc duy trì sự không tin cậy là rất quan trọng. Mặc dù bạn bè và gia đình của bạn có thể không có ý đồ ác đối với bạn, nhưng các ví tiền họ tải xuống có thể là giả mạo, và chúng có thể chưa bị xâm nhập. Do đó, nếu bạn tải xuống một ví tiền thông qua mã QR/link mà họ chia sẻ, có khả năng bạn đang tải xuống một ví tiền giả mạo.

Nhóm An ninh SlowMist đã nhận được nhiều báo cáo về các vụ lừa đảo liên quan đến việc đánh cắp tiền. Kẻ lừa đảo thường xây dựng sự tin tưởng với nạn nhân, hướng dẫn họ đầu tư vào tiền điện tử, sau đó chia sẻ liên kết để tải xuống ví tiền giả mạo. Cuối cùng, nạn nhân không chỉ mất tiền mà còn mất cả sự tin tưởng của mình. Do đó, người dùng nên luôn cảnh giác khi tương tác với những người quen trực tuyến, đặc biệt khi họ khuyến khích đầu tư hoặc gửi liên kết đáng ngờ. Đừng tin tưởng họ trong những tình huống như vậy.

Telegram

Trên Telegram, khi tìm kiếm các ví tiền nổi tiếng, chúng tôi đã phát hiện một số nhóm chính thức giả mạo. Kẻ lừa đảo sẽ tuyên bố rằng nhóm đó là kênh chính thức của một số ví tiền cụ thể, và thậm chí nhắc nhở người dùng trong nhóm tìm kiếm liên kết trang web chính thức duy nhất. Tuy nhiên, những liên kết này đều là giả mạo.

App Mall

Quan trọng phải nhắc bạn rằng các ứng dụng trong trung tâm ứng dụng chính thức không nhất thiết là an toàn. Một số tội phạm xúi dục người dùng tải xuống các ứng dụng gian lận bằng cách mua xếp hạng từ khóa để điều hướng lưu lượng. Độc giả được khuyến khích cẩn thận.

Vậy, người dùng có thể làm gì để tránh tải ví tiền giả mạo?

Tải Ứng Dụng từ trang web chính thức

Khả năng tìm ra trang web chính thức thực sự không chỉ được sử dụng khi tải ví, mà còn được sử dụng khi người dùng sau đó tham gia dự án Web3, vì vậy chúng ta sẽ nói về cách tìm trang web chính thức đúng ở đây.

Người dùng có thể trực tiếp tìm kiếm bên dự án trên Twitter, sau đó đánh giá xem đó có phải là tài khoản chính thức dựa trên số lượng người theo dõi, thời gian đăng ký và xem nó có nhãn màu xanh hoặc vàng không. Tuy nhiên, tất cả những điều này đều có thể giả mạo. Trong bài viết " Các bên dự án thật và giả mạo | Hãy cẩn thận với việc lừa đảo tài khoản giả mạo trong khu vực bình luậnTôi đã nói với bạn về các sản phẩm màu đen và xám bán số giả cao. Do đó, khuyên các newbie nên trước tiên theo dõi một số công ty an ninh, các chuyên gia an ninh, các phương tiện truyền thông nổi tiếng, v.v. trong ngành trên Twitter để xem họ có theo dõi tài khoản chính thức mà bạn tìm thấy hay không.

(https://twitter.com/DefiLlama)

Thông qua phương pháp trên, người dùng có khả năng cao để tìm thấy tài khoản Twitter chính thống thật sự, nhưng chúng ta vẫn cần thực hiện nhiều bước xác minh. Cuối cùng, không hiếm khi tài khoản Twitter chính thức bị hack, và kẻ tấn công cũng sẽ thay thế liên kết trang web chính thức trên tài khoản chính thức bằng liên kết trang web chính thức giả mạo, vì vậy người dùng cần so sánh liên kết trang web chính thức họ vừa tìm thấy với các liên kết tìm thấy thông qua các kênh khác (như DefiLlama, CoinGecko, CoinMarketCap, v.v.)

(https://defillama.com/)

(https://landing.coingecko.com/links/)

Sau khi tìm và xác nhận liên kết trang web chính thức, người dùng nên lưu liên kết vào danh sách đánh dấu để họ có thể tìm thấy liên kết chính xác trực tiếp từ danh sách đánh dấu lần sau mà không cần phải tìm và xác nhận lại mỗi lần, giảm khả năng truy cập vào một trang web chính thức giả mạo.

App Mall

Người dùng có thể tải ví tiền thông qua cửa hàng ứng dụng chính thức như Apple Store, Google Play Store, v.v., nhưng trước khi tải, hãy chắc chắn kiểm tra thông tin nhà phát triển ứng dụng trước để đảm bảo rằng nó khớp với danh tính nhà phát triển chính thức. Bạn cũng có thể tham khảo thông tin như điểm đánh giá và số lượt tải xuống ứng dụng.

Xác minh phiên bản chính thức

Một số độc giả khi đọc điều này có thể đang tự hỏi: làm thế nào để xác minh xem chiếc ví tiền bạn tải xuống có phải là một chiếc ví thực sự hay không? Người dùng có thể thực hiện xác minh tính nhất quán của tệp, xác định xem tệp đã thay đổi trong quá trình truyền tải hoặc lưu trữ bằng cách so sánh giá trị băm của tệp. Người dùng chỉ cần kéo tệp APK đã tải xuống trước đây vào công cụ xác minh giá trị băm tệp. Công cụ này sẽ sử dụng một hàm băm (như MD5, SHA-256, vv.) để tạo ra giá trị băm của tệp. Nếu giá trị này nhất quán với giá trị băm chính thức, đó là một chiếc ví thực sự; nếu không khớp, đó là một chiếc ví giả mạo. Người dùng nên làm gì nếu họ xác minh rằng chiếc ví của họ là giả mạo?

1. Đầu tiên xác nhận phạm vi của lỗ hổng. Nếu bạn chỉ tải xuống ví tiền giả mạo nhưng chưa nhập khóa riêng/từ khóa seed, sau đó chỉ cần xóa ứng dụng và tải lại phiên bản chính thức.

2. Nếu khóa riêng tư/seed phrase đã được nhập vào ví tiền giả mạo, điều đó có nghĩa là khóa riêng tư/seed phrase đã bị rò rỉ. Vui lòng truy cập trang web chính thức để tải xuống ví tiền chính thống và nhập khóa riêng tư/seed phrase, và tạo một địa chỉ mới để nhanh chóng chuyển quỹ có thể chuyển đổi.

3. Nếu tiền điện tử của bạn bị đánh cắp, bạn có thể sử dụng dịch vụ hỗ trợ cộng đồng miễn phí của chúng tôi để đánh giá vụ việc. Bạn chỉ cần nộp một biểu mẫu theo hướng dẫn phân loại (tiền bị đánh cắp/lừa đảo/ép buộc). Đồng thời, địa chỉ của hacker mà bạn đã nộp cũng sẽ được đồng bộ vào mạng lưới hợp tác trí tuệ đe dọa InMist để kiểm soát rủi ro. (Lưu ý: Nộp biểu mẫu tiếng Trung chohttps://aml.slowmist.com/cn/recovery-funds.html, và gửi biểu mẫu tiếng Anh đến https://aml.slowmist.com/recovery-funds.html)

Mua một chiếc ví tiền giả mạo phần cứng

Tình huống được đề cập ở trên là lý do tại sao ví tiền giả được tải xuống và các giải pháp. Hãy nói về lý do tại sao các ví tiền cứng giả mạo được mua.

Một số người dùng chọn mua ví tiền cứng trong các trung tâm mua sắm trực tuyến, nhưng ví tiền cứng từ các cửa hàng ủy quyền không chính thức như vậy có rủi ro an ninh rất lớn, vì trước khi ví tiền đến tay người dùng, nó sẽ đi qua bao nhiêu người và việc các thành phần bên trong có bị can thiệp hay không là không chắc chắn. Nếu các thành phần bên trong bị can thiệp, sẽ khó phát hiện vấn đề từ bên ngoài và chức năng.

(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)

Dưới đây là một số cách mà chúng tôi cung cấp để xử lý các cuộc tấn công chuỗi cung ứng ví tiền phần cứng:

Mua từ các kênh chính thức: Đây là cách hiệu quả nhất để giải quyết vấn đề tấn công chuỗi cung ứng. Đừng mua ví tiền phần cứng từ các kênh không chính thức như trang web mua sắm trực tuyến, đại lý mua hàng, cư dân mạng, v.v.

Kiểm tra bề ngoài: Sau khi nhận được ví tiền, đầu tiên hãy kiểm tra xem bao bì ngoài đã bị hỏng chưa. Điều này là cơ bản nhất, mặc dù hacker có lẽ sẽ không bị phát hiện ở bước này nhất.

Xác thực: Một số ví tiền cứng cung cấp dịch vụ xác thực thiết bị vật lý trên trang web chính thức. Khi người dùng khởi tạo ví tiền, thiết bị sẽ yêu cầu người dùng thực hiện xác thực thiết bị vật lý trên trang web chính thức. Nếu thiết bị bị can thiệp trong quá trình vận chuyển, nó sẽ không thể qua được xác thực thiết bị thực sự trên trang web chính thức.

Cơ chế tháo rời và tự phá hủy: Bạn có thể chọn mua một chiếc ví tiền cứng với cơ chế tháo rời và tự phá hủy. Khi có ai đó cố gắng mở chiếc ví tiền cứng và can thiệp vào các thành phần bên trong, cơ chế tự phá hủy sẽ được kích hoạt. Tất cả thông tin nhạy cảm trong chip bảo mật sẽ bị xóa tự động, và thiết bị sẽ không thể được sử dụng nữa.

Nguy cơ rò rỉ khóa riêng/seed phrase

Qua nội dung trên, mọi người nên học cách tải xuống hoặc mua một Ví tiền thực sự, nhưng cách để giữ chìa khóa riêng tư/seed phrase là một vấn đề khác. Chìa khóa riêng tư/seed phrase là duy nhất để khôi phục Ví tiền và kiểm soát tài sản. Chìa khóa riêng tư là một chuỗi thập lục phân 64 bit bao gồm chữ cái và số, và seed phrase thường bao gồm 12 từ. Nhóm an ninh SlowMist muốn nhắc nhở bạn rằng nếu chìa khóa riêng tư/seed phrase bị rò rỉ, tài sản trong Ví tiền rất có thể bị đánh cắp. Hãy xem một số lý do phổ biến dẫn đến rò rỉ chìa khóa riêng tư/seed phrase:

Sự bất công bảo mật: Người dùng có thể nói cho người thân và bạn bè biết khóa riêng tư/ cụm từ khóa và yêu cầu họ giúp đỡ để lưu giữ nó. Kết quả, người thân và bạn bè đánh cắp số tiền.

Lưu trữ hoặc truyền tải khóa riêng tư/cụm từ gốc mạng: Mặc dù một số người dùng biết rằng khóa riêng tư/cụm từ gốc mạng không nên được tiết lộ cho người khác, họ vẫn lưu trữ khóa riêng tư/cụm từ gốc mạng thông qua mục ưa thích trên WeChat, chụp ảnh, chụp màn hình, lưu trữ đám mây, ghi chú, v.v. Một khi các tài khoản của nền tảng này bị thu thập và bị hack thành công bởi tin tặc, khóa riêng tư/cụm từ gốc mạng có thể bị đánh cắp dễ dàng.

Sao chép và dán khóa riêng/từ khóa: Nhiều công cụ và phương pháp nhập liệu bảng tạm sẽ tải lên các bản ghi bảng tạm của người dùng lên đám mây, để lộ khóa riêng/từ khóa trong môi trường không an toàn. Hơn nữa, phần mềm Trojan cũng có thể đánh cắp thông tin trong bảng tạm khi người dùng sao chép khóa riêng/từ khóa. Vì vậy, không khuyến khích người dùng sao chép và dán khóa riêng/từ khóa. Hành vi có vẻ vô hại này thực sự có thể tạo ra một rủi ro rò rỉ lớn.

Vậy làm thế nào để tránh rò rỉ khóa riêng tư / cụm từ khóa?

Đầu tiên, đừng nói với bất kỳ ai, kể cả bạn bè và gia đình, khóa riêng / cụm từ hạt giống của bạn. Thứ hai, cố gắng chọn một phương tiện vật lý để lưu khóa riêng / cụm từ hạt giống để ngăn chặn tin tặc lấy nó thông qua các cuộc tấn công mạng và các phương tiện khác. Ví dụ: sao chép khóa riêng / cụm từ hạt giống vào giấy chất lượng tốt (bạn cũng có thể niêm phong nó bằng nhựa) hoặc sử dụng hộp cụm từ hạt giống để lưu trữ nó. Ngoài ra, việc thiết lập đa chữ ký và lưu trữ phi tập trung khóa riêng / cụm từ hạt giống cũng có thể cải thiện tính bảo mật của khóa riêng / cụm từ hạt giống. Về cách sao lưu khóa riêng / cụm từ hạt giống, bạn có thể đọc "Cẩm nang tự cứu hộ rừng tối Blockchain" do SlowMist sản xuất: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.

Tóm tắt

Bài viết này chủ yếu giải thích về các rủi ro khi tải về/mua một Ví tiền, cách tìm trang web chính thức thật sự và xác minh tính xác thực của Ví tiền, cũng như rủi ro rò rỉ khóa riêng tư/cụm từ khóa. Chúng tôi hy vọng rằng nội dung của vấn đề này có thể giúp mọi người bước vào web3. Trong số tiếp theo, chúng tôi sẽ giải thích về các rủi ro khi sử dụng các Ví tiền, như lừa đảo, chữ ký và rủi ro ủy quyền. Chào mừng bạn theo dõi chúng tôi. (Ps. Các thương hiệu và hình ảnh được đề cập trong bài viết này chỉ được sử dụng để hỗ trợ cho việc hiểu biết của độc giả và không tạo thành sự đề xuất hoặc bảo đảm)

1. Bài viết này được sao chép từ [微信公众号：慢雾科技]. Tất cả bản quyền thuộc về tác giả gốc [Nhóm an ninh của SlowMist]. Nếu có ý kiến ​​phản đối về việc tái in này, vui lòng liên hệ với Học việc Gateđội ngũ và họ sẽ xử lý nó ngay lập tức.
2. Tuyên bố từ chối trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ thuộc về tác giả và không hình thành bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi có được đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết dịch là không được phép.