Số này là số thứ 03 của số đặc biệt về bảo mật . Chúng tôi đã mời các chuyên gia bảo mật nổi tiếng trong ngành 0xAA và nhóm bảo mật ví OKX Web3 để giải thích các rủi ro bảo mật phổ biến và các biện pháp phòng ngừa của "người lông lá" từ góc độ hướng dẫn thực tế.
Học viện WTF: Cảm ơn bạn rất nhiều vì lời mời từ OKX Web3. Tôi là 0xAA từ Học viện WTF . Học viện WTF là một trường đại học nguồn mở Web3 giúp các nhà phát triển bắt đầu phát triển Web3. Năm nay, chúng tôi đã triển khai dự án giải cứu Web3 RescuETH (nhóm giải cứu trên chuỗi), tập trung vào việc giải cứu số tài sản còn lại trong ví bị đánh cắp của người dùng. Hiện tại, chúng tôi đã giải cứu thành công hơn 3 triệu nhân dân tệ tài sản bị đánh cắp trên Ethereum , Solana và Cosmos. .
Nhóm bảo mật ví OKX Web3 : Xin chào mọi người, tôi rất vui được chia sẻ điều này. Nhóm bảo mật ví OKX Web3 chịu trách nhiệm chính trong việc xây dựng các khả năng bảo mật khác nhau của OKX trong lĩnh vực Web3, chẳng hạn như xây dựng khả năng bảo mật ví, kiểm tra bảo mật hợp đồng thông minh, giám sát bảo mật dự án trên chuỗi, v.v. để cung cấp cho người dùng sản phẩm bảo mật, bảo mật quỹ, bảo mật giao dịch, v.v. Nhiều dịch vụ bảo vệ góp phần duy trì hệ sinh thái bảo mật của toàn bộ chuỗi khối.
Câu 1 : Vui lòng chia sẻ một số trường hợp rủi ro thực tế mà người thủ dâm gặp phải.
Học viện WTF : Rò rỉ khóa riêng là một trong những rủi ro bảo mật lớn mà người dùng Lumao phải đối mặt. Về cơ bản, khóa riêng tư là một chuỗi ký tự được sử dụng để kiểm soát tài sản mật mã. Bất kỳ ai sở hữu khóa riêng tư đều có toàn quyền kiểm soát tài sản mật mã tương ứng. Một khi khóa riêng bị rò rỉ, kẻ tấn công có thể truy cập, chuyển giao và quản lý tài sản của người dùng mà không được phép, khiến người dùng chịu tổn thất tài chính. Vì vậy, tôi sẽ tập trung chia sẻ một số trường hợp khóa riêng bị đánh cắp.
Alice (bút danh) đã bị tin tặc trên mạng xã hội dụ dỗ tải xuống phần mềm độc hại và sau khi chạy phần mềm độc hại, khóa riêng của cô đã bị đánh cắp. Hiện tại, phần mềm độc hại có nhiều dạng khác nhau, bao gồm nhưng không giới hạn ở: tập lệnh khai thác, trò chơi, Người dùng cần cải thiện. nhận thức về bảo mật của họ liên quan đến phần mềm hội nghị, tập lệnh Chongtugou, rô-bốt clip, v.v.
Sau khi Bob (bút danh) vô tình tải khóa riêng lên GitHub , nó đã bị người khác lấy được, khiến tài sản bị đánh cắp.
Khi Carl (bút danh) tham khảo ý kiến của nhóm Tegegram chính thức của dự án , anh ấy đã tin tưởng vào dịch vụ khách hàng giả mạo, người đã chủ động liên hệ với anh ấy và tiết lộ cụm từ ghi nhớ của anh ấy. Sau đó, tài sản trong ví của anh ấy đã bị đánh cắp.
Nhóm bảo mật ví OKX Web3 : Có nhiều trường hợp rủi ro như vậy. Chúng tôi đã chọn một số trường hợp điển hình mà người dùng gặp phải khi thủ dâm.
Loại đầu tiên là các tài khoản có mức độ giả mạo cao xuất bản các airdrop giả. Khi người dùng A đang duyệt Twitter của một dự án phổ biến , anh ta tìm thấy thông báo về một sự kiện airdrop dưới Twitter mới nhất, sau đó nhấp vào liên kết thông báo để tham gia airdrop, điều này cuối cùng dẫn đến việc anh ta bị lừa đảo. Hiện nay, nhiều kẻ lừa đảo bắt chước các tài khoản chính thức và đăng các thông báo sai sự thật trên Twitter chính thức để dụ người dùng mắc bẫy. Người dùng nên chú ý nhận dạng và không nên xem nhẹ.
Trong loại thứ hai, tài khoản chính thức bị chiếm đoạt. Tài khoản Twitter và Discord chính thức của một dự án nào đó đã bị hack, sau đó hacker đã đăng một liên kết giả mạo tới sự kiện airdrop trên tài khoản chính thức của dự án. Vì liên kết được đăng từ các kênh chính thức nên Người dùng B không nghi ngờ tính xác thực của nó sau khi nhấp vào. liên kết này để tham gia airdrop, tôi đã bị lừa đảo.
Loại thứ ba là gặp phải các bên dự án độc hại. Khi người dùng C tham gia vào hoạt động khai thác của một dự án nhất định, để có được thu nhập thưởng cao hơn, anh ta đầu tư tất cả tài sản USDT vào hợp đồng đặt cược của dự án . Tuy nhiên, hợp đồng thông minh không được kiểm tra nghiêm ngặt và không phải là nguồn mở. Kết quả là nhóm dự án đã đánh cắp tất cả tài sản mà người dùng C ký gửi trong hợp đồng thông qua cửa sau được bảo lưu trong hợp đồng .
Đối với người dùng Lumao, những người thường có hàng chục hoặc hàng trăm ví, cách bảo vệ tính bảo mật của ví và tài sản là một chủ đề rất quan trọng. Họ cần luôn cảnh giác và nâng cao nhận thức về bảo mật.
Câu 2 : Với tư cách là người dùng tần suất cao, các loại rủi ro bảo mật phổ biến và các biện pháp bảo vệ mà những người có lông phải đối mặt trong các tương tác trên chuỗi
Học viện WTF : Đối với người dân luao và thậm chí tất cả người dùng Web3, hai loại rủi ro bảo mật phổ biến hiện nay là: tấn công lừa đảo và rò rỉ khóa riêng.
Loại đầu tiên là tấn công lừa đảo: tin tặc thường giả mạo các trang web hoặc ứng dụng chính thức, lừa người dùng nhấp vào mạng xã hội và công cụ tìm kiếm, sau đó xúi giục người dùng giao dịch hoặc ký tên trên các trang web lừa đảo để nhận được ủy quyền mã thông báo và đánh cắp tài sản của người dùng.
Các biện pháp phòng ngừa: Đầu tiên, người dùng nên chỉ vào các trang web và ứng dụng chính thức từ các kênh chính thức (chẳng hạn như các liên kết trong hồ sơ Twitter chính thức). Thứ hai, người dùng có thể sử dụng plug-in bảo mật để tự động chặn một số trang web lừa đảo. Thứ ba, khi người dùng vào một trang web đáng ngờ, họ có thể tham khảo ý kiến của nhân viên bảo mật chuyên nghiệp để giúp xác định xem đó có phải là trang web lừa đảo hay không.
Loại thứ hai là rò rỉ khóa riêng: nó đã được giới thiệu trong câu hỏi trước và sẽ không được mở rộng ở đây.
Các biện pháp phòng ngừa: Đầu tiên, nếu người dùng cài đặt ví trên máy tính hoặc điện thoại di động của mình, hãy cố gắng không tải xuống phần mềm đáng ngờ từ các kênh không chính thức. Thứ hai, người dùng cần biết rằng bộ phận chăm sóc khách hàng chính thức thường sẽ không chủ động gửi tin nhắn riêng cho bạn chứ đừng nói đến việc yêu cầu bạn gửi hoặc nhập khóa riêng và cụm từ ghi nhớ của bạn vào một trang web giả mạo. Thứ ba, nếu dự án nguồn mở của người dùng yêu cầu sử dụng khóa riêng, vui lòng định cấu hình tệp .gitignore trước để đảm bảo rằng khóa riêng không được tải lên GitHub .
Nhóm bảo mật ví OKX Web3 : Chúng tôi đã tóm tắt 5 loại rủi ro bảo mật phổ biến mà người dùng gặp phải khi tương tác trên chuỗi và liệt kê một số biện pháp bảo vệ cho từng loại rủi ro.
1. Lừa đảo Airdrop
Hồ sơ rủi ro: Một số người dùng thường thấy rằng một số lượng lớn mã thông báo không xác định xuất hiện trong địa chỉ ví của họ. Những mã thông báo này thường không thành công trong các giao dịch DEX được sử dụng phổ biến. Trang sẽ nhắc người dùng truy cập trang web chính thức của nó để trao đổi và sau đó khi người dùng thực hiện giao dịch. thực hiện một giao dịch được ủy quyền, Hợp đồng thông minh thường được cấp quyền chuyển tài sản tài khoản, điều này cuối cùng dẫn đến hành vi trộm cắp tài sản. Ví dụ, trong vụ lừa đảo airdrop Zape, nhiều người dùng bất ngờ nhận được một lượng lớn Zape coin trong ví của họ , dường như trị giá hàng trăm nghìn đô la. Điều này khiến nhiều người lầm tưởng rằng họ đã bất ngờ kiếm được bộn tiền. Tuy nhiên, đây thực sự là một cái bẫy phức tạp. Vì không thể tìm thấy các mã thông báo này trên nền tảng chính thức nên nhiều người dùng muốn rút tiền sẽ tìm thấy cái gọi là " trang web chính thức " dựa trên tên của mã thông báo . Sau khi làm theo lời nhắc kết nối ví, tôi nghĩ mình có thể bán token, nhưng sau khi được ủy quyền, tất cả tài sản trong ví sẽ bị đánh cắp ngay lập tức.
Các biện pháp bảo vệ: Để tránh lừa đảo airdrop đòi hỏi người dùng phải hết sức cảnh giác, xác minh nguồn thông tin và luôn lấy thông tin về airdrop từ các kênh chính thức (chẳng hạn như trang web chính thức của dự án, tài khoản mạng xã hội chính thức và thông báo chính thức). Bảo vệ khóa riêng và cụm từ ghi nhớ của bạn, không phải trả bất kỳ khoản phí nào và sử dụng cộng đồng cũng như các công cụ để xác minh và xác định các hành vi lừa đảo tiềm ẩn.
2. Hợp đồng thông minh độc hại
Hồ sơ rủi ro: Nhiều hợp đồng thông minh nguồn mở hoặc chưa được kiểm toán có thể chứa các lỗ hổng hoặc cửa hậu, không thể đảm bảo an toàn cho tiền của người dùng.
Biện pháp bảo vệ: Người dùng nên cố gắng chỉ tương tác với các hợp đồng thông minh đã được kiểm toán nghiêm ngặt bởi các công ty kiểm toán chính thức hoặc chú ý kiểm tra báo cáo kiểm tra bảo mật của dự án. Ngoài ra, các dự án có tiền thưởng lỗi thường an toàn hơn.
3. Quản lý ủy quyền:
Hồ sơ rủi ro: Việc ủy quyền quá mức cho các hợp đồng tương tác có thể dẫn đến trộm tiền. Ở đây chúng tôi đưa ra ví dụ: 1 ) Hợp đồng là hợp đồng có thể nâng cấp. Nếu khóa riêng của tài khoản đặc quyền bị rò rỉ, kẻ tấn công có thể sử dụng khóa riêng để nâng cấp. hợp đồng với một phiên bản độc hại từ đó đánh cắp tài sản của người dùng được ủy quyền. 2 ) Nếu hợp đồng có lỗ hổng không xác định, việc ủy quyền quá mức có thể cho phép kẻ tấn công khai thác những lỗ hổng này để đánh cắp tiền trong tương lai.
Các biện pháp bảo vệ: Về nguyên tắc, chỉ cấp số lượng ủy quyền cần thiết cho các hợp đồng tương tác và những ủy quyền không cần thiết cần phải được kiểm tra thường xuyên và thu hồi. Khi ký giấy phép cấp phép ngoài chuỗi , bạn phải hiểu rõ về hợp đồng mục tiêu / loại tài sản / số tiền ủy quyền và suy nghĩ kỹ trước khi hành động.
4.Ủy quyền lừa đảo
Hồ sơ rủi ro: Nhấp vào liên kết độc hại và bị xúi giục ủy quyền cho một hợp đồng hoặc người dùng độc hại
Các biện pháp bảo vệ: 1 ) Tránh ký mù : Trước khi ký bất kỳ giao dịch nào, hãy nhớ hiểu nội dung giao dịch bạn sắp ký và đảm bảo rằng mọi bước thao tác đều rõ ràng và cần thiết. 2 ) Xử lý mục tiêu ủy quyền một cách thận trọng: Nếu mục tiêu ủy quyền là địa chỉ EOA ( Tài khoản thuộc sở hữu bên ngoài ) hoặc hợp đồng chưa được xác minh, bạn phải cảnh giác. Hợp đồng chưa được xác minh có thể chứa mã độc. 3 ) Sử dụng ví plug-in chống lừa đảo: Sử dụng ví plug-in có bảo vệ chống lừa đảo, chẳng hạn như ví OKX Web3, v.v. Những ví này có thể giúp xác định và chặn các liên kết độc hại. 4 ) Bảo vệ cụm từ ghi nhớ và khóa riêng: Tất cả các trang web yêu cầu cụm từ ghi nhớ hoặc khóa riêng đều là liên kết lừa đảo.
5.
