Một "chuỗi săn bắn" trưởng thành đã âm thầm hình thành và cơ chế xác minh hoàn thiện của nhà sản xuất cùng nhận thức bảo mật của người dùng cần phải được đóng lại ngay lập tức.
Được viết bởi Web3 Farmer Frank
Hãy tưởng tượng bạn là một holder kiên nhẫn đã vượt qua thị trường gấu kéo dài và cuối cùng đã rút số BTC mà bạn khó khăn lắm mới kiếm được từ CEX vào ví phần cứng mới mua, cảm thấy an tâm rằng tài sản đang nằm chắc trong tay bạn.
Hai giờ sau, bạn mở ứng dụng và thấy ví của mình trống rỗng.
Đây không phải là giả thuyết, mà là một sự việc có thật vừa xảy ra: một nhà đầu tư đã mua một ví phần cứng trên JD.com và gửi 4,35 BTC vào đó. Anh ta không hề biết rằng thiết bị này đã được những kẻ lừa đảo khởi tạo trước, tạo ra Cụm từ hạt giống và chèn sách hướng dẫn giả mạo để hướng dẫn người dùng liên kết đến ứng dụng di động theo quy trình bẫy.
Nói cách khác, ngay khi người dùng kích hoạt ví của mình, ví đó đã thuộc về hacker.
Thật không may, đây không phải là trường hợp cá biệt. Gần đây, đã có một số trường hợp người dùng bị lừa đảo hoặc thậm chí bị mất hết tài sản sau khi mua ví phần cứng trên các nền tảng thương mại điện tử như Douyin, JD.com và Amazon . Nếu phân tích kỹ các sự cố bảo mật tương tự gần đây, chúng ta sẽ thấy một "chuỗi săn mồi" trưởng thành hoạt động xung quanh đường dây mua bán ví phần cứng đang âm thầm hình thành.
1. Dây chuyền xám "hàng cũ" săn lùng Tiểu Bạch
Ví phần cứng là thiết bị tạo private key trong "hoàn cảnh hoàn toàn ngoại tuyến". Về lý thuyết, miễn là Cụm từ hạt giống được sao lưu đúng cách, mức độ bảo mật cho việc sử dụng hàng ngày gần như đạt đến mức tối đa. Đây cũng là thuật ngữ phổ cập mà hầu hết người chơi Web3 đều tiếp xúc hàng ngày.
Tuy nhiên, rủi ro thực sự thường không nằm ở bản thân thiết bị mà nằm ở quá trình mua và kích hoạt.
Dưới sự quảng cáo lâu dài, nhiều nhà đầu tư dễ dàng hình thành một công thức nhận thức đơn giản: "Ví phần cứng = bảo mật tuyệt đối". Gợi ý tâm lý này khiến nhiều người bỏ qua một số điều kiện tiên quyết quan trọng sau khi sở hữu thiết bị:
Bao bì thiết bị có đầy đủ và niêm phong có bất thường không; Cụm từ hạt giống có phải do chính bạn tạo ra không; thông tin kích hoạt có được xác minh là "sử dụng lần đầu" không ... Do đó, nhiều người dùng không thể chờ đợi để chuyển tài sản ngay khi nhận được thiết bị ví phần cứng, vô tình tạo cơ hội cho kẻ lừa đảo lợi dụng.
Cho dù đó là sự cố trước đó khi TikTok mua ví phần cứng và 50 triệu tài sản crypto đã bị đánh cắp, hay sự cố mới nhất khi JD.com mua phần cứng imKey và khiến BTC bị xóa, không có ngoại lệ, tất cả các vấn đề đều xảy ra trong quá trình mua và kích hoạt.
Việc bán ví phần cứng trên các nền tảng thương mại điện tử trong nước đã hình thành nên một Chuỗi ngành công nghiệp xám trưởng thành.
Về lý thuyết, Trung Quốc luôn duy trì lập trường áp lực cao đối với crypto. Ngay từ năm 2014, các nền tảng thương mại điện tử đã trực tiếp cấm bán crypto . Vào ngày 4 tháng 9 năm 2017, Ngân hàng Nhân dân Trung Quốc và bảy bộ ngành khác đã cùng ban hành "Thông báo về việc Phòng ngừa Rủi ro Phát hành và Tài trợ Token ", trong đó yêu cầu rõ ràng các nền tảng trong nước không cung cấp dịch vụ giao dịch, trao đổi, định giá, trung gian và các dịch vụ khác liên quan đến crypto.
Theo nghĩa đen, "dịch vụ trung gian và các dịch vụ khác" khá rộng. Ví phần cứng, một công cụ lưu trữ private key, về mặt lý thuyết nằm trong vùng xám, nơi việc mua bán bị cấm. Do đó, các nền tảng như Taobao, JD.com và Pinduoduo không hỗ trợ tìm kiếm bất kỳ từ khóa "liên quan đến tiền tệ" nào.
Nhưng thực tế lại hoàn toàn khác.
Tính đến ngày 29 tháng 7, tác giả đã tiến hành tìm kiếm từ khóa trực tiếp trên các nền tảng Taobao, JD.com, Pinduoduo và Douyin cho năm sản phẩm ví phần cứng: Ledger, Trezor, SafePal, OneKey và imKey (imToken) và nhận thấy rằng các kênh mua và bán khá suôn sẻ.
Trong đó, nền tảng Douyin có phạm vi toàn diện nhất, với Ledger, Trezor, SafePal, OneKey và imKey đều được bán tại các cửa hàng.
Thứ hai là JD.com, nơi bạn có thể tìm thấy ví phần cứng được bán bằng cách tìm kiếm Ledger, Trezor, SafePal và OneKey. Các cửa hàng liên quan đến imKey lẽ ra đã bị hủy niêm yết kệ do sự cố bảo mật.
Taobao khá nghiêm ngặt, chỉ tìm thấy một cửa hàng bán imKey. Xiaohongshu không có chức năng tìm kiếm cửa hàng trực tiếp, nhưng có thể tìm thấy các bài đăng bán hàng cũ và đại lý tư nhân ở khắp mọi nơi.
Không còn nghi ngờ gì nữa, ngoại trừ một số rất ít đại lý, hầu hết các cửa hàng nói trên đều là những nhà bán lẻ nhỏ lẻ thông qua các kênh chính thức. Họ không được cấp phép hoạt động thương hiệu và cũng không thể đảm bảo an toàn cho quá trình lưu thông thiết bị.
Khách quan mà nói, hệ thống đại lý/phân phối ví phần cứng hiện diện trên toàn thế giới, bao gồm các thương hiệu như SafePal, OneKey và imKey, vốn khá phổ biến ở khu vực nói tiếng Trung. Hệ thống bán hàng của các thương hiệu này gần giống nhau:
Mua hàng trực tiếp chính thức: Bạn có thể đặt lệnh hàng nhiều mẫu ví phần cứng khác nhau trên trang web chính thức. Kênh thương mại điện tử: Tại Trung Quốc, việc này thường được thực hiện thông qua các cửa hàng WeChat như Youzan, trong khi ở nước ngoài, việc này phụ thuộc vào các nền tảng chính thức như Amazon. Nhà phân phối khu vực: Các đại lý được ủy quyền tại nhiều quốc gia/khu vực cung cấp cho người dùng các kênh mua hàng địa phương và tính xác thực có thể được xác minh trên trang web chính thức. Ví dụ: SafePal cung cấp trang truy vấn nhà phân phối toàn cầu trên trang web chính thức của mình.
Tuy nhiên, trong hệ sinh thái thương mại điện tử trong nước, phần lớn người dùng vẫn mua hàng thông qua các kênh chính thức, không thể xác minh và truy xuất nguồn gốc, tạo điều kiện thuận lợi cho "bẫy Cụm từ hạt giống có sẵn" của thị trường chợ đen.
Nhiều thiết bị trong đó có thể là "thiết bị lưu hành đã qua sử dụng/đã qua sử dụng" hoặc thậm chí là "thiết bị giả". Không thể loại trừ khả năng một số thiết bị đã bị bóc niêm phong, khởi tạo và cài đặt Cụm từ hạt giống trong quá trình bán lại . Sau khi người dùng kích hoạt thiết bị, tài sản sẽ tự động chuyển thẳng vào ví của kẻ lừa đảo.
Do đó, vấn đề quan trọng nhất là, ngoài phía bán hàng, liệu phía người dùng có thể tự xác minh và bảo vệ rủi ro trên các thiết bị phần cứng đã mua để đảm bảo loại bỏ mọi rủi ro liên quan hay không?
2. Lỗ hổng phía người dùng và cơ chế "tự xác minh"
Nói một cách thẳng thắn, lý do tại sao loại bẫy ví phần cứng này lại thành công đến vậy không phải vì thiết bị có lỗi kỹ thuật mà là vì toàn bộ quá trình lưu thông và sử dụng đều để lộ nhiều lỗ hổng có thể khai thác.
Theo góc nhìn của thương mại điện tử trong nước và chuỗi phân phối đại lý, rủi ro chính tập trung ở hai lĩnh vực:
Thiết bị đã qua sử dụng hoặc nhiều người dùng: Các nhà điều hành chợ đen sẽ mở niêm phong và khởi tạo các thiết bị đã qua sử dụng hoặc đang lưu hành, cài đặt sẵn Cụm từ hạt giống hoặc tài khoản. Khi người dùng trực tiếp sử dụng thiết bị, tài sản sẽ được chuyển vào ví của kẻ lừa đảo. Thiết bị giả mạo hoặc bị can thiệp: Thiết bị giả mạo có thể chảy vào các kênh chính thức, hoặc thậm chí có cửa hậu tích hợp. Khi người dùng chuyển giao tài sản, họ phải đối mặt với rủi ro bị đánh cắp toàn bộ số dư.
Đối với người dùng Degen đã quen thuộc với ví phần cứng, những cạm bẫy này gần như vô hại vì chúng sẽ tự động thực hiện xác minh bảo mật trong quá trình mua, khởi tạo và liên kết. Tuy nhiên, đối với người dùng ví phần cứng mới, chưa có kinh nghiệm hoặc chưa có kinh nghiệm, khả năng bị lừa đảo sẽ tăng cao.
Trong sự cố bảo mật mới nhất lần, những kẻ lừa đảo đã tạo sẵn một ví điện tử và cài đặt sẵn một sách hướng dẫn sử dụng giấy giả. Sau đó, chúng hướng dẫn người dùng mua hàng mở hộp sản phẩm, kích hoạt và sử dụng imKey cũ bằng quy trình giả mạo, qua đó trực tiếp chuyển giao tài sản. Theo trao đổi của tác giả với các chuyên gia liên quan, gần đây chúng tôi nhận thấy ngày càng có nhiều trường hợp mở hộp sản phẩm và bán kèm theo sách hướng dẫn sử dụng giả mạo.
Suy cho cùng, nhiều người dùng mới thường bỏ qua tính toàn vẹn của sản phẩm (bao bì đã bị mở chưa, tem chống hàng giả có bị hỏng không), dễ quên so sánh danh sách sản phẩm trong gói hàng và không biết rằng việc xác minh "thiết bị mới/cũ" có thể được thực hiện trên ứng dụng chính thức. Nếu thông tin này được xác minh chính xác, hầu hết các bẫy có thể được phát hiện ngay lập tức.
Có thể nói rằng việc thiết kế sản phẩm ví phần cứng có thể bao phủ toàn diện và hỗ trợ tích cực cho người dùng thực hiện xác minh tự động hay không chính là cánh cổng quan trọng nhất để phá vỡ chuỗi tấn công thị trường xám.
Lấy ví phần cứng Bluetooth X1 của SafePal làm ví dụ, đường dẫn tự xác thực của nó ở phía người dùng tương đối hoàn chỉnh:
Nhắc nhở liên kết đầu tiên: Khi kích hoạt ví phần cứng và liên kết ứng dụng, lời nhắc sẽ hiển thị: "Thiết bị đã được kích hoạt, có phải do tôi vận hành không?"; Hiển thị thông tin kích hoạt lịch sử: Có thông tin cho rằng giao diện liên quan SafePal cũng sẽ đồng bộ hiển thị thời gian kích hoạt đầu tiên của thiết bị và liệu đó có phải là lần liên kết lần của điện thoại này hay không, giúp người dùng xác định ngay lập tức xem thiết bị có phải là thiết bị hoàn toàn mới hay đã được người khác khởi tạo;
Ngoài ra, dựa trên trải nghiệm sử dụng thực tế của tác giả, dù là SafePal S1 và S1 Pro sử dụng cơ chế tương tác Mã QR hay SafePal X1 sử dụng Bluetooth để tương tác thông tin thì cả hai đều cho phép người dùng xem mã SN và thời gian kích hoạt lịch sử của ví phần cứng tương ứng bất kỳ lúc nào sau khi liên kết Ứng dụng SafePal (như hình bên dưới) để xác nhận thêm nguồn gốc và trạng thái sử dụng của thiết bị.
Điều này là do ví phần cứng của SafePal sẽ ghi một SN vào mỗi thiết bị khi nó rời khỏi nhà máy và thông tin dấu vân tay phần cứng của thiết bị phần cứng này cũng sẽ được liên kết với SN này và được lưu trong nền SafePal để xác nhận thêm nguồn và trạng thái sử dụng của thiết bị.
Điều này có nghĩa là khi người dùng sử dụng ví phần cứng này lần đầu tiên, họ cần kích hoạt nó trước khi có thể tạo ví. Trong quá trình kích hoạt, ứng dụng di động sẽ gửi thông tin SN và dấu vân tay của ví phần cứng được kết nối trở lại hệ thống SafePal để xác minh. Chỉ khi chúng khớp nhau, người dùng mới được nhắc tiếp tục sử dụng ví phần cứng và thời gian kích hoạt sẽ được ghi lại.
Khi các thiết bị di động khác được liên kết lại với ví phần cứng này, người dùng sẽ được nhắc rằng phần cứng đã được kích hoạt và không được sử dụng lần, và người dùng sẽ được yêu cầu xác nhận lần.
Thông qua các bước xác minh này, người dùng gần như có thể nhận diện được bẫy hàng cũ hoặc thiết bị giả ngay khi tiếp xúc lần, qua đó cắt đứt bước đầu tiên của chuỗi tấn công phổ biến của thị trường chợ đen.
Đối với những người dùng ví phần cứng lần đầu, cơ chế xác minh trực quan và có thể theo dõi của SafePal dễ hiểu và triển khai hơn so với các hướng dẫn đơn giản hoặc cảnh báo bằng văn bản, đồng thời phù hợp hơn với nhu cầu phòng chống gian lận thực tế.
3. Hướng dẫn bảo mật "Toàn bộ quy trình" của Ví phần cứng
Nhìn chung, đối với những người dùng mới sử dụng ví phần cứng, điều này không có nghĩa là tài sản có thể an toàn miễn là họ mua ví phần cứng.
Ngược lại, tính bảo mật của ví phần cứng không đạt được chỉ bằng một lần mua. Thay vào đó, nó là một tuyến phòng thủ được xây dựng dựa trên nhận thức bảo mật trong ba khâu: mua, kích hoạt và sử dụng. Sự sơ suất ở bất kỳ khâu nào cũng có thể trở thành cơ hội cho kẻ tấn công.
1. Quy trình mua hàng: chỉ sử dụng các kênh chính thức
Chuỗi bảo mật của ví phần cứng bắt đầu bằng việc chọn kênh mua hàng, vì vậy, mọi người nên truy cập trực tiếp vào trang web chính thức để mua hàng.
Khi bạn chọn đặt hàng trên nền tảng thương mại điện tử/phòng phát sóng đặt lệnh hoặc mua hàng trên nền tảng đồ cũ, ví dụ như thông qua Chuỗi chính thức như Taobao, JD.com và Douyin, điều đó có nghĩa là bạn đang phải đối mặt với rủi ro cực kỳ cao - không có thương hiệu ví lạnh nào bán sản phẩm thông qua các chương trình phát sóng trực tiếp trên Douyin hoặc liên kết Kuaishou, những kênh này gần như là chiến trường chính của các ngành công nghiệp xám.
Bước đầu tiên sau khi nhận hàng là kiểm tra bao bì và tem chống hàng giả. Nếu bao bì đã bị mở, tem chống hàng giả bị hỏng hoặc bao bì bên trong có dấu hiệu bất thường, bạn nên cảnh giác ngay lập tức. Tốt nhất nên kiểm tra từng mặt hàng bao bì theo danh sách được công bố trên trang web chính thức để nhanh chóng loại bỏ một số rủi ro.
Bạn thực hiện giai đoạn này càng cẩn thận thì chi phí bảo mật sau này sẽ càng thấp.
2. Kích hoạt: Không khởi tạo cũng giống như "cho tiền"
Kích hoạt là liên kết cốt lõi trong bảo mật ví phần cứng và cũng là giai đoạn mà các ngành công nghiệp ngầm có nhiều khả năng đặt bẫy nhất.
Một chiến thuật phổ biến là các ngành công nghiệp ngầm mở thiết bị trước, tạo ví và Cụm từ hạt giống , sau đó chèn sách hướng dẫn ngụy tạo để hướng dẫn người dùng trực tiếp sử dụng ví đã tạo sẵn này, và cuối cùng là tịch thu tất cả tài sản được chuyển giao sau đó. Đây chính là trường hợp của vụ lừa đảo imKey gần đây của JD.com.
Do đó, nguyên tắc đầu tiên của quy trình kích hoạt là tự khởi tạo và tạo ra một Cụm từ hạt giống mới. Trong quá trình này, các sản phẩm có khả năng tự kiểm tra trạng thái thiết bị và xác minh lịch sử kích hoạt có thể giảm đáng kể rủi ro người dùng bị động tiếp xúc. Ví dụ, SafePal đã đề cập ở trên sẽ nhắc nhở xem thiết bị đã được kích hoạt trước đó hay chưa trong lần liên kết đầu tiên, đồng thời hiển thị thời gian kích hoạt và thông tin liên kết lịch sử, cho phép người dùng xác định các thiết bị bất thường ngay lần đầu tiên, từ đó cắt đứt chuỗi tấn công.
3. Cách sử dụng: Giữ nguyên Cụm từ hạt giống và cách ly vật lý
Sau khi đưa vào sử dụng hàng ngày, cốt lõi bảo mật của ví phần cứng là quản lý Cụm từ hạt giống và cách ly vật lý.
Cụm từ hạt giống phải được lưu thủ công. Không chụp ảnh hoặc chụp màn hình, và không được lưu trữ qua WeChat, email hoặc lưu trữ đám mây, vì bất kỳ hành vi lưu trữ trực tuyến nào cũng tương đương với việc chủ động phơi bày bề mặt tấn công.
Khi ký hoặc giao dịch, nên sử dụng kết nối Bluetooth hoặc USB trong thời gian ngắn và theo yêu cầu, ưu tiên quét mã QR để ký hoặc truyền dữ liệu ngoại tuyến để tránh tiếp xúc vật lý lâu dài của thiết bị với hoàn cảnh mạng.
Có thể nói rằng tính bảo mật của ví phần cứng không bao giờ là "hoàn hảo" khi mua, mà là một tuyến phòng thủ được người dùng xây dựng trong ba liên kết chính là mua, kích hoạt và sử dụng:
Tránh các kênh không chính chính thức trong quá trình mua hàng; khởi tạo và xác minh trạng thái thiết bị trong quá trình kích hoạt; và bảo vệ Cụm từ hạt giống trong quá trình sử dụng để tránh bị lộ thông tin trực tuyến trong thời gian dài.
Từ góc độ này, các nhà sản xuất ví phần cứng cần khẩn trương cung cấp cho người dùng một thiết kế cơ chế "quy trình đầy đủ" có thể xác minh như SafePal , hiển thị lời nhắc kích hoạt đầu tiên, ngày kích hoạt và thông tin ràng buộc. Chỉ bằng cách này, chuỗi săn lùng mà thị trường chợ đen dựa vào để tồn tại mới thực sự không hiệu quả.
Suy nghĩ cuối cùng
Ví cứng là một công cụ tốt, nhưng chúng không bao giờ là lá bùa hộ mệnh tuyệt đối có thể mang lại cho bạn sự an tâm.
Một mặt, các nhà sản xuất ví phần cứng lớn cần nhận thức kịp thời những thay đổi trong hoàn cảnh thị trường, đặc biệt là nhắm vào "chuỗi săn" mà người dùng mới dễ gặp phải, đồng thời xây dựng cơ chế xác minh trực quan và dễ vận hành hơn trong quá trình thiết kế sản phẩm và sử dụng, để mọi người dùng có thể dễ dàng đánh giá tính xác thực và trạng thái bảo mật của thiết bị trong tay họ.
Mặt khác, bản thân người dùng cũng phải xây dựng thói quen bảo mật tốt. Từ khâu mua hàng chính thức, khởi tạo và kích hoạt, đến việc quản lý Cụm từ hạt giống hàng ngày, không được bỏ sót bất kỳ bước nào, và phải xây dựng cảm giác an toàn trong suốt quá trình sử dụng.
Chỉ khi cơ chế xác minh của ví tạo thành một vòng khép kín với nhận thức bảo mật của người dùng thì ví phần cứng mới có thể tiến gần hơn một bước tới mục tiêu "bảo mật tuyệt đối".
