Sẽ thích hợp hơn khi so sánh tài khoản trao đổi với một kho tiền được trang bị bảo vệ sinh trắc học - dấu vân tay, quét khuôn mặt và bảo mật hàng đầu. Tuy nhiên, nhiều người đưa khóa API của họ ("khóa chính" của vault) cho người lạ để tạo điều kiện thuận lợi cho các giao dịch, ngây thơ tin rằng đây là một lợi ích miễn phí. Vào năm 2025, khi robot giao dịch AI đang bay khắp hệ sinh thái Web3, chìa khóa này đang trở thành thủ phạm khiến các nhà đầu tư mất hết tiền.

Các nhà đầu tư tìm kiếm sự tiện lợi trong giao dịch hoặc sử dụng các công cụ sao chép giao dịch có thể dễ dàng rơi vào bẫy của "dịch vụ API miễn phí". Logic của họ nghe có vẻ hợp lý - tắt quyền rút tiền và bạn sẽ ổn, phải không? Nhưng ý tưởng này chính xác là những gì tin tặc thích thấy.

API về cơ bản là các kênh liên lạc giữa các sàn giao dịch và các chương trình bên ngoài. Ngay cả khi quyền rút tiền bị vô hiệu hóa, miễn là quyền giao dịch vẫn còn đó, tài sản của bạn sẽ không có nơi nào để giấu như một thứ gì đó trong tủ trong suốt. Tin tặc không cần phải cố gắng hết sức để lấy tiền của bạn, chúng sử dụng một thủ thuật khác - "thu hoạch phòng ngừa rủi ro". Quy trình hoạt động như sau: đầu tiên tích lũy một số lượng lớn lệnh bán trên một cặp coin không phổ biến nhất định để giảm giá, sau đó sử dụng quyền API có được từ nhiều nạn nhân để bắt đầu lệnh mua cùng lúc ở mức cao, khiến giá tăng vọt. Tài sản trong tài khoản của nạn nhân đã bị cướp bóc điên cuồng trong quá trình này, và các khoản rút tiền thực sự đã được chuyển qua các kênh bí mật.

Cách tiếp cận này hiệu quả vì hầu hết mọi người không biết đủ về quản lý quyền API. Phương pháp này kín đáo hơn và khó theo dõi hơn so với trộm cắp trực tiếp. Vì vậy, hãy ngừng mê tín dị đoan về sự bảo vệ nửa vời của "nó an toàn miễn là bạn đóng rút tiền". Trước khi nắm bắt sự tiện lợi của giao dịch tự động, hãy tự hỏi: nhà cung cấp dịch vụ bên thứ ba này có thực sự đáng tin cậy không?