theo báo cáo từ cointelegraph, gian lận đã trở thành một trong những nguyên nhân chính gây ra tội phạm tiền điện tử, gây thiệt hại trực tiếp lên đến 4.6 tỷ đô la vào năm ngoái (2023).
Theo báo cáo dữ liệu Certik, chỉ trong quý 1 năm 2024 đã có 223 sự cố an ninh quan trọng trên chuỗi trong lĩnh vực tiền điện tử, dẫn đến tổng thiệt hại lên đến 500 triệu đô la. Ngoài ra, báo cáo gần đây của Slowmist đã nhấn mạnh rằng chỉ trong tháng trước (tháng 5) đã có hơn 31 sự cố an ninh đáng chú ý, gây ra thiệt hại lên đến 124 triệu đô la do hack, lừa đảo qua email, mất tài khoản và rút lui. Điều này đại diện cho sự tăng lên khoảng 52,5% so với tháng 4.
Hơn nữa, vụ việc được thảo luận rộng rãi liên quan đến việc đánh cắp số tiền lớn từ người dùng okx đã không chỉ làm cạn kiệt nguồn tiền đáng kể của một số người dùng mà còn dẫn đến việc rút 630 triệu đô la từ sàn giao dịch trong tháng này.
những sự cố này chỉ là những sự cố mà chúng ta biết. nhiều vụ lừa đảo, như các kế hoạch “giết lợn” nhắm vào những người mới vào lĩnh vực này, rất khó có thể định lượng.
đó là lý do tại sao tôi luôn nhấn mạnh hai nguyên tắc cơ bản đối với người mới trong lĩnh vực này: đầu tiên, bảo vệ vốn ban đầu của bạn, và thứ hai, tránh những điều bạn không hiểu. Đơn giản, luôn ưu tiên nhận thức về an ninh. Trước đây, chúng tôi đã tóm tắt một số điểm về an ninh trong các bài viết trước đó. Hôm nay, chúng tôi sẽ tiếp tục cuộc thảo luận này bằng cách nhấn mạnh một số vấn đề an ninh phổ biến:
Các lỗ hổng phổ biến trong defi bao gồm cuộc tấn công vay flash và thao tác oracle, cả hai đều có thể làm cạn kiệt tài nguyên của giao protocdefi.
Flash loan là một sản phẩm DeFi đổi mới cho phép người dùng vay bất kỳ số lượng tài sản tiền điện tử nào từ một giao thức nhóm mà không cần tài sản thế chấp, miễn là số vốn và lãi được trả lại trong cùng một giao dịch (một khối). Lợi thế của Flash loan là cho phép người dùng khai thác cơ hội giá lệch thị trường, đạt được các hoạt động chi phí thấp, lợi nhuận cao. Rủi ro là nếu người dùng không thanh toán trong thời gian quy định, giao dịch sẽ bị hủy, dẫn đến mất phí giao dịch và lãi suất.
Các cuộc tấn công flash loan hoạt động bằng cách thực hiện nhanh chóng nhiều hoạt động vay và giao dịch trên cùng một mạng blockchain, gây ra lỗi trong hợp đồng thông minh và cho phép kẻ tấn công thu được lợi ích không đáng có. Ví dụ, vào ngày 14 tháng 5, giao thức cho vay native của optimism-sonne finance, dựa trên compound, đã bị tấn công flash loan và mất hơn 20 triệu đô la.
oracles là các ứng dụng nhận, xác minh và truyền thông tin bên ngoài (dữ liệu off-chain) đến hợp đồng thông minh trên blockchain. Ngoài việc trích dữ liệu off-chain và phát sóng nó trên ethereum, oracles cũng có thể đẩy thông tin từ blockchain đến hệ thống bên ngoài. Ví dụ, một khóa thông minh có thể được mở khóa ngay khi người dùng gửi một khoản phí thông qua giao dịch ethereum. Nếu thiếu oracles, hợp đồng thông minh sẽ bị hạn chế chỉ sử dụng dữ liệu on-chain.
Thao tác của oracle có thể dẫn đến việc báo cáo sai thông tin về các sự kiện bên ngoài hoặc điều kiện thực tế. Ví dụ, hãy xem xét một tài sản tiền điện tử được giao dịch trên năm sàn giao dịch, trong đó 85% khối lượng giao dịch xảy ra trên hai trong số đó. Nếu oracle chỉ bao phủ ba sàn giao dịch khác có thanh khoản thấp hơn, phạm vi của nó là không đủ. Một kẻ tấn công có thể thao tác giá trên ba sàn giao dịch thanh khoản thấp này, gây ra việc báo cáo giá cả từ oracle sai khỏi giá thực tế trên thị trường, từ đó tạo ra nguy cơ thao túng.
Ví dụ, vào ngày 10 tháng 6, nền tảng cho vay uwu bị tấn công, dẫn đến mất khoảng 19,3 triệu đô la. Nhân tố chính của cuộc tấn công này liên quan đến kẻ tấn công can thiệp vào bảng giá bằng cách thực hiện các giao dịch lớn trong hồ CurveFinance, ảnh hưởng đến giá trị của token SUSDE. Sau đó, kẻ tấn công đã khai thác giá được can thiệp để rút tiền từ các tài sản khác trong hồ.
Do đó, khi sử dụng các giao thức Defi, việc đa dạng hóa đầu tư và tránh sử dụng các giao thức chưa được kiểm toán hoặc có hồ bơi thanh khoản thấp là rất quan trọng.
Nhiều người dùng có thể đã gặp phải các trang web lừa đảo. Kẻ lừa đảo tạo ra các trang web giả mạo chính thức trông có vẻ chính thức và lan truyền chúng rộng rãi qua mạng xã hội, email, nhóm thảo luận và các kênh khác. Nếu người dùng truy cập vào một trang web giả mạo và, bị quyến rũ bởi một số lợi ích, kết nối ví của họ và cấp quyền, tài sản trong ví của họ có thể bị đánh cắp tự động.
Để tránh điều này, luôn kiểm tra hai lần miền dapp (url) khi truy cập trang web, đặc biệt là những trang web yêu cầu xác thực ví tiền như các nền tảng dex. Tốt nhất là đánh dấu trang web chính thức mà bạn thường sử dụng thay vì tìm kiếm chúng trên twitter hoặc google mỗi lần, vì kết quả tìm kiếm đôi khi có thể dẫn lạc. Ngoài ra, tránh nhấp chuột vào quảng cáo dự án trên các trang web khác nhau, vì những kẻ lừa đảo thường đặt quảng cáo giả.
tránh nhấp vào các liên kết được gửi bởi người lạ. Ví dụ, một cách lừa đảo phổ biến trên discord là lừa đảo gửi tin nhắn với liên kết đến các trang web giả mạo hoặc bài đăng trên twitter (liên kết bài đăng trên twitter có thể đúng, nhưng nó chứa một liên kết gian lận).
nếu bạn cần cài đặt các plugin trình duyệt, chỉ cài đặt những plugin mà bạn quen thuộc. Gần đây, vào ngày 3 tháng 6, một người dùng báo cáo đã mất một triệu đô la sau khi cài đặt một tiện ích mở rộng Chrome độc hại có tên là aggr.
Vì vậy, khi làm việc với các tiện ích trình duyệt (sử dụng chrome là ví dụ), hãy đảm bảo chỉ cài đặt các tiện ích đã biết từ cửa hàng chrome web để tránh các tiện ích không rõ nguồn gốc. Bạn cũng có thể xem xét sử dụng các tiện ích kiểm tra bảo mật như scamsniffer để duyệt web an toàn hơn.
Nếu bạn đặc biệt quan tâm đến bảo mật, hãy xem xét tạo một hồ sơ người dùng chrome riêng biệt đặc biệt cho các tương tác dapp đòi hỏi truy cập ví tiền. Không cài đặt bất kỳ plugin nào trên hồ sơ này và đảm bảo đăng xuất ngay sau khi hoàn thành giao dịch của bạn.
Ngoài việc xác minh tính an toàn và đáng tin cậy của giao thức khi ủy quyền cho các ứng dụng phi tập trung khác nhau, nên thường xuyên kiểm tra lịch sử ủy quyền của ví của bạn và thu hồi bất kỳ ủy quyền nào có thể gây rủi ro hoặc không rõ ràng, ngay cả khi bạn đã ngắt kết nối ví của mình.
Có một số công cụ có sẵn để kiểm tra quyền ủy quyền ví tiền, trong đó revokecash là một trong những công cụ thường được sử dụng, như minh họa trong hình ảnh dưới đây.
Ngoài ra, một số ví tiền điện tử cung cấp tính năng quản lý các ủy quyền lịch sử. Ví tiền điện tử Rabby ví dụ, là một trong những ví tiền điện tử thuộc Debank, hỗ trợ chức năng này, như được hiển thị trong hình ảnh dưới đây.
về việc sử dụng ví, nếu bạn có một số lượng tài sản đáng kể, nên hạn chế để không giữ toàn bộ quỹ tài sản của bạn trong các ví nóng như metamask hay phantom. Bạn có thể giữ một phần quỹ tài sản mà bạn thường xuyên sử dụng trong các ví nóng (phân tán trên nhiều ví nóng), và một phần khác trong các sàn giao dịch (phân tán trên các sàn giao dịch khác nhau, nhưng chỉ sử dụng các sàn lớn). Phần còn lại của quỹ nên được lưu trữ trong các ví lạnh.
Ngoài ra, ví lạnh không nhất thiết phải là ví cứng như ledger, trezor, hoặc ellipal. Cá nhân tôi sử dụng hai chiếc điện thoại apple riêng biệt offline như là ví lạnh. Đối với giao dịch hàng ngày, tôi sử dụng một chiếc điện thoại apple riêng biệt như là ví nóng (tôi không khuyến nghị sử dụng điện thoại android), cũng là riêng biệt với điện thoại hàng ngày của tôi.
Nhiều người, đặc biệt là những người mới, nghĩ về airdrops như là token hoặc NFT miễn phí mà họ có thể đòi. Kẻ lừa đảo tận dụng điều này bằng cách sử dụng airdrops giả mạo để lừa người khác tiết lộ khóa bí mật của ví hoặc dẫn họ đến các trang web lừa đảo nơi họ ủy quyền cho ví của họ.
Ví dụ, bạn có thể bất ngờ nhận được một NFT (hình ảnh nhỏ) trong ví của mình với một đường dẫn trên đó, kích thích bạn ghé thăm trang web. Nếu bạn truy cập trang web và cho phép ví của mình, tài sản của bạn có thể bị rút hết ngay lập tức.
Khi bạn thấy địa chỉ yêu cầu token miễn phí hoặc liên kết airdrop cho các dự án phổ biến trên mạng xã hội, luôn xác minh tính xác thực của chúng thông qua trang web chính thức của dự án. Không bao giờ chia sẻ cụm từ gốc hoặc khóa riêng tư của bạn để yêu cầu bất kỳ airdrop nào. Cụm từ gốc của bạn tương đương với tất cả tài sản của bạn—không bao giờ tiết lộ cho bất kỳ ai.
Chúng tôi chỉ liệt kê một số vấn đề bảo mật phổ biến và mẹo phòng ngừa ở đây. Không gian tiền điện tử đầy rẫy các phương pháp lừa đảo đang phát triển. Những kẻ lừa đảo liên tục nghĩ ra những cách mới để đánh lừa, nhấn mạnh quan điểm mà chúng tôi đã đưa ra trước đó: khi ai đó tập trung vào một lĩnh vực cụ thể và tiếp tục nghiên cứu, họ có thể vượt lên. Những kẻ lừa đảo luôn tinh chỉnh chiến thuật của chúng, khiến hầu hết mọi người ngày càng khó được bảo vệ.
Để kết thúc, hãy xem một số tin tức nóng nhất trong vài ngày qua:
Mời người khác bỏ phiếu
theo báo cáo từ cointelegraph, gian lận đã trở thành một trong những nguyên nhân chính gây ra tội phạm tiền điện tử, gây thiệt hại trực tiếp lên đến 4.6 tỷ đô la vào năm ngoái (2023).
Theo báo cáo dữ liệu Certik, chỉ trong quý 1 năm 2024 đã có 223 sự cố an ninh quan trọng trên chuỗi trong lĩnh vực tiền điện tử, dẫn đến tổng thiệt hại lên đến 500 triệu đô la. Ngoài ra, báo cáo gần đây của Slowmist đã nhấn mạnh rằng chỉ trong tháng trước (tháng 5) đã có hơn 31 sự cố an ninh đáng chú ý, gây ra thiệt hại lên đến 124 triệu đô la do hack, lừa đảo qua email, mất tài khoản và rút lui. Điều này đại diện cho sự tăng lên khoảng 52,5% so với tháng 4.
Hơn nữa, vụ việc được thảo luận rộng rãi liên quan đến việc đánh cắp số tiền lớn từ người dùng okx đã không chỉ làm cạn kiệt nguồn tiền đáng kể của một số người dùng mà còn dẫn đến việc rút 630 triệu đô la từ sàn giao dịch trong tháng này.
những sự cố này chỉ là những sự cố mà chúng ta biết. nhiều vụ lừa đảo, như các kế hoạch “giết lợn” nhắm vào những người mới vào lĩnh vực này, rất khó có thể định lượng.
đó là lý do tại sao tôi luôn nhấn mạnh hai nguyên tắc cơ bản đối với người mới trong lĩnh vực này: đầu tiên, bảo vệ vốn ban đầu của bạn, và thứ hai, tránh những điều bạn không hiểu. Đơn giản, luôn ưu tiên nhận thức về an ninh. Trước đây, chúng tôi đã tóm tắt một số điểm về an ninh trong các bài viết trước đó. Hôm nay, chúng tôi sẽ tiếp tục cuộc thảo luận này bằng cách nhấn mạnh một số vấn đề an ninh phổ biến:
Các lỗ hổng phổ biến trong defi bao gồm cuộc tấn công vay flash và thao tác oracle, cả hai đều có thể làm cạn kiệt tài nguyên của giao protocdefi.
Flash loan là một sản phẩm DeFi đổi mới cho phép người dùng vay bất kỳ số lượng tài sản tiền điện tử nào từ một giao thức nhóm mà không cần tài sản thế chấp, miễn là số vốn và lãi được trả lại trong cùng một giao dịch (một khối). Lợi thế của Flash loan là cho phép người dùng khai thác cơ hội giá lệch thị trường, đạt được các hoạt động chi phí thấp, lợi nhuận cao. Rủi ro là nếu người dùng không thanh toán trong thời gian quy định, giao dịch sẽ bị hủy, dẫn đến mất phí giao dịch và lãi suất.
Các cuộc tấn công flash loan hoạt động bằng cách thực hiện nhanh chóng nhiều hoạt động vay và giao dịch trên cùng một mạng blockchain, gây ra lỗi trong hợp đồng thông minh và cho phép kẻ tấn công thu được lợi ích không đáng có. Ví dụ, vào ngày 14 tháng 5, giao thức cho vay native của optimism-sonne finance, dựa trên compound, đã bị tấn công flash loan và mất hơn 20 triệu đô la.
oracles là các ứng dụng nhận, xác minh và truyền thông tin bên ngoài (dữ liệu off-chain) đến hợp đồng thông minh trên blockchain. Ngoài việc trích dữ liệu off-chain và phát sóng nó trên ethereum, oracles cũng có thể đẩy thông tin từ blockchain đến hệ thống bên ngoài. Ví dụ, một khóa thông minh có thể được mở khóa ngay khi người dùng gửi một khoản phí thông qua giao dịch ethereum. Nếu thiếu oracles, hợp đồng thông minh sẽ bị hạn chế chỉ sử dụng dữ liệu on-chain.
Thao tác của oracle có thể dẫn đến việc báo cáo sai thông tin về các sự kiện bên ngoài hoặc điều kiện thực tế. Ví dụ, hãy xem xét một tài sản tiền điện tử được giao dịch trên năm sàn giao dịch, trong đó 85% khối lượng giao dịch xảy ra trên hai trong số đó. Nếu oracle chỉ bao phủ ba sàn giao dịch khác có thanh khoản thấp hơn, phạm vi của nó là không đủ. Một kẻ tấn công có thể thao tác giá trên ba sàn giao dịch thanh khoản thấp này, gây ra việc báo cáo giá cả từ oracle sai khỏi giá thực tế trên thị trường, từ đó tạo ra nguy cơ thao túng.
Ví dụ, vào ngày 10 tháng 6, nền tảng cho vay uwu bị tấn công, dẫn đến mất khoảng 19,3 triệu đô la. Nhân tố chính của cuộc tấn công này liên quan đến kẻ tấn công can thiệp vào bảng giá bằng cách thực hiện các giao dịch lớn trong hồ CurveFinance, ảnh hưởng đến giá trị của token SUSDE. Sau đó, kẻ tấn công đã khai thác giá được can thiệp để rút tiền từ các tài sản khác trong hồ.
Do đó, khi sử dụng các giao thức Defi, việc đa dạng hóa đầu tư và tránh sử dụng các giao thức chưa được kiểm toán hoặc có hồ bơi thanh khoản thấp là rất quan trọng.
Nhiều người dùng có thể đã gặp phải các trang web lừa đảo. Kẻ lừa đảo tạo ra các trang web giả mạo chính thức trông có vẻ chính thức và lan truyền chúng rộng rãi qua mạng xã hội, email, nhóm thảo luận và các kênh khác. Nếu người dùng truy cập vào một trang web giả mạo và, bị quyến rũ bởi một số lợi ích, kết nối ví của họ và cấp quyền, tài sản trong ví của họ có thể bị đánh cắp tự động.
Để tránh điều này, luôn kiểm tra hai lần miền dapp (url) khi truy cập trang web, đặc biệt là những trang web yêu cầu xác thực ví tiền như các nền tảng dex. Tốt nhất là đánh dấu trang web chính thức mà bạn thường sử dụng thay vì tìm kiếm chúng trên twitter hoặc google mỗi lần, vì kết quả tìm kiếm đôi khi có thể dẫn lạc. Ngoài ra, tránh nhấp chuột vào quảng cáo dự án trên các trang web khác nhau, vì những kẻ lừa đảo thường đặt quảng cáo giả.
tránh nhấp vào các liên kết được gửi bởi người lạ. Ví dụ, một cách lừa đảo phổ biến trên discord là lừa đảo gửi tin nhắn với liên kết đến các trang web giả mạo hoặc bài đăng trên twitter (liên kết bài đăng trên twitter có thể đúng, nhưng nó chứa một liên kết gian lận).
nếu bạn cần cài đặt các plugin trình duyệt, chỉ cài đặt những plugin mà bạn quen thuộc. Gần đây, vào ngày 3 tháng 6, một người dùng báo cáo đã mất một triệu đô la sau khi cài đặt một tiện ích mở rộng Chrome độc hại có tên là aggr.
Vì vậy, khi làm việc với các tiện ích trình duyệt (sử dụng chrome là ví dụ), hãy đảm bảo chỉ cài đặt các tiện ích đã biết từ cửa hàng chrome web để tránh các tiện ích không rõ nguồn gốc. Bạn cũng có thể xem xét sử dụng các tiện ích kiểm tra bảo mật như scamsniffer để duyệt web an toàn hơn.
Nếu bạn đặc biệt quan tâm đến bảo mật, hãy xem xét tạo một hồ sơ người dùng chrome riêng biệt đặc biệt cho các tương tác dapp đòi hỏi truy cập ví tiền. Không cài đặt bất kỳ plugin nào trên hồ sơ này và đảm bảo đăng xuất ngay sau khi hoàn thành giao dịch của bạn.
Ngoài việc xác minh tính an toàn và đáng tin cậy của giao thức khi ủy quyền cho các ứng dụng phi tập trung khác nhau, nên thường xuyên kiểm tra lịch sử ủy quyền của ví của bạn và thu hồi bất kỳ ủy quyền nào có thể gây rủi ro hoặc không rõ ràng, ngay cả khi bạn đã ngắt kết nối ví của mình.
Có một số công cụ có sẵn để kiểm tra quyền ủy quyền ví tiền, trong đó revokecash là một trong những công cụ thường được sử dụng, như minh họa trong hình ảnh dưới đây.
Ngoài ra, một số ví tiền điện tử cung cấp tính năng quản lý các ủy quyền lịch sử. Ví tiền điện tử Rabby ví dụ, là một trong những ví tiền điện tử thuộc Debank, hỗ trợ chức năng này, như được hiển thị trong hình ảnh dưới đây.
về việc sử dụng ví, nếu bạn có một số lượng tài sản đáng kể, nên hạn chế để không giữ toàn bộ quỹ tài sản của bạn trong các ví nóng như metamask hay phantom. Bạn có thể giữ một phần quỹ tài sản mà bạn thường xuyên sử dụng trong các ví nóng (phân tán trên nhiều ví nóng), và một phần khác trong các sàn giao dịch (phân tán trên các sàn giao dịch khác nhau, nhưng chỉ sử dụng các sàn lớn). Phần còn lại của quỹ nên được lưu trữ trong các ví lạnh.
Ngoài ra, ví lạnh không nhất thiết phải là ví cứng như ledger, trezor, hoặc ellipal. Cá nhân tôi sử dụng hai chiếc điện thoại apple riêng biệt offline như là ví lạnh. Đối với giao dịch hàng ngày, tôi sử dụng một chiếc điện thoại apple riêng biệt như là ví nóng (tôi không khuyến nghị sử dụng điện thoại android), cũng là riêng biệt với điện thoại hàng ngày của tôi.
Nhiều người, đặc biệt là những người mới, nghĩ về airdrops như là token hoặc NFT miễn phí mà họ có thể đòi. Kẻ lừa đảo tận dụng điều này bằng cách sử dụng airdrops giả mạo để lừa người khác tiết lộ khóa bí mật của ví hoặc dẫn họ đến các trang web lừa đảo nơi họ ủy quyền cho ví của họ.
Ví dụ, bạn có thể bất ngờ nhận được một NFT (hình ảnh nhỏ) trong ví của mình với một đường dẫn trên đó, kích thích bạn ghé thăm trang web. Nếu bạn truy cập trang web và cho phép ví của mình, tài sản của bạn có thể bị rút hết ngay lập tức.
Khi bạn thấy địa chỉ yêu cầu token miễn phí hoặc liên kết airdrop cho các dự án phổ biến trên mạng xã hội, luôn xác minh tính xác thực của chúng thông qua trang web chính thức của dự án. Không bao giờ chia sẻ cụm từ gốc hoặc khóa riêng tư của bạn để yêu cầu bất kỳ airdrop nào. Cụm từ gốc của bạn tương đương với tất cả tài sản của bạn—không bao giờ tiết lộ cho bất kỳ ai.
Chúng tôi chỉ liệt kê một số vấn đề bảo mật phổ biến và mẹo phòng ngừa ở đây. Không gian tiền điện tử đầy rẫy các phương pháp lừa đảo đang phát triển. Những kẻ lừa đảo liên tục nghĩ ra những cách mới để đánh lừa, nhấn mạnh quan điểm mà chúng tôi đã đưa ra trước đó: khi ai đó tập trung vào một lĩnh vực cụ thể và tiếp tục nghiên cứu, họ có thể vượt lên. Những kẻ lừa đảo luôn tinh chỉnh chiến thuật của chúng, khiến hầu hết mọi người ngày càng khó được bảo vệ.
Để kết thúc, hãy xem một số tin tức nóng nhất trong vài ngày qua: