Đừng đợi cho đến khi bạn bị hack: Hướng dẫn về bảo mật Web3

avatar
深潮TechFlow
02-24
Bài viết này được dịch máy
Xem bản gốc
Những khoản lỗ mà tôi đã gánh chịu, bạn không cần phải gánh chịu thêm.

Tác giả: Ye Su

Sau khi Bybit bị đánh cắp 1,5 tỷ USD, Infini - một công ty có uy tín tốt - lại bị hacker tấn công.

Vài năm trước, tôi cũng từng chịu thiệt hại nghiêm trọng do bị hacker tấn công. Sáng nay, công ty chúng tôi đang tiến hành đào tạo an ninh nội bộ, chia sẻ một số bài học kinh nghiệm cá nhân và hướng dẫn phòng ngừa:

Những phương thức tấn công mới nổi trong 2 năm qua

1. Giả mạo bạn bè (Social Engineering)

Hacker thường giả danh nhân viên chăm sóc khách hàng, người nổi tiếng, bạn bè, cơ hội đầu tư, v.v. để lấy được private key hoặc cụm từ hạt giống của bạn, hãy luôn cảnh giác và không nhấn vào các liên kết lạ.

Đây là phương thức tấn công khó phòng ngừa nhất, công ty chúng tôi đã bị hacker giả mạo Twitter/Tg để lừa đảo qua tin nhắn riêng, hacker thường giả danh để gọi điện, nói về cơ hội đầu tư, gửi tài liệu giả, liên kết Zoom và website để cài malware vào bạn.

2. Thâm nhập nội bộ

Đây là chiêu cuối cùng của hacker Triều Tiên, được chia sẻ bởi chính người sáng lập của một sàn giao dịch hàng đầu. Hacker thông qua việc nộp hồ sơ xin việc, lẻn vào công ty và hoạt động ngầm, thường ở các bộ phận quản lý tài sản, kiến trúc an ninh hoặc tài chính. Sau khoảng nửa năm, họ sẽ tiến hành tấn công từ bên trong.

3. Địa chỉ tương tự

Hacker có thể tạo ra các địa chỉ có 5 ký tự đầu và 5 ký tự cuối giống nhau trong vài giây, ví dụ 10 địa chỉ bắt đầu bằng 0x1234 và kết thúc bằng 56abc.

Hacker thường giả mạo giao dịch của những ví lớn bằng cách sử dụng các địa chỉ tương tự, bạn phải kiểm tra kỹ Txid và ít nhất 5-6 ký tự giữa của địa chỉ, tốt nhất là kiểm tra từng bước.

4. Wifi công cộng

Tránh sử dụng Wifi công cộng để tránh bị đánh cắp tài sản do phần mềm độc hại, trojan. Wifi có thể bị hack trực tiếp vào thiết bị, cả khách sạn, bữa tiệc hay thậm chí Wifi của người khác cũng cần cẩn thận. Hãy sử dụng nhiều hơn hotspot của riêng bạn.

Các nguyên tắc cơ bản

1. Nguyên tắc không tin tưởng

Trong thế giới blockchain, đừng dễ dàng tin tưởng bất kỳ ai hoặc bất kỳ công cụ nào, tất cả các giao dịch và hoạt động ký kết đều phải được xác minh độc lập để đảm bảo nguồn gốc đáng tin cậy.

Ngay cả khi bạn bè nhắn tin riêng xin bạn ứng trước một khoản tiền, bạn cũng nên gọi điện/video/gặp mặt trực tiếp để xác nhận.

2. Không đứng dưới bức tường nguy hiểm

Khi có tin đồn (bị đánh cắp/thua lỗ), hãy tránh xa khỏi vị trí xảy ra rủi ro ngay lập tức, đảm bảo an toàn trước, sau đó mới xem xét các vấn đề khác.

Đừng bao giờ tin vào "quá lớn để sụp đổ". FTX sụp đổ, ArkStream và tôi đều may mắn thoát khỏi vụ việc này nhờ rút tiền ngay từ ngày đầu.

Các biện pháp phòng ngừa cơ bản còn lại, mọi người có thể tham khảo Sổ tay tự cứu trong rừng đen blockchain của SlowMist.

Nguồn
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
1
Thêm vào Yêu thích
1
Bình luận
Nội dung liên quan
Followin logo
Không có bình luận
avatar
Trả lời