Không phải chìa khóa của bạn, không phải tiền của bạn
Tác giả: ngày
Sản xuất bởi: Vernacular Blockchain (ID: hellobtc)
Bìa: Ảnh của GuerrillaBuzz Blockchain PR Agency trên Bapt
Gần đây, nhiều sự cố bảo mật ví khác nhau trong ngành đã lần lượt xuất hiện:
Vào ngày 18 tháng 4, một tweet bị đánh cắp 5.000 ETH của nhà phát triển ví MetaMask @tayvano_ đã được lan truyền rộng rãi trong cộng đồng mã hóa, tin rằng MetaMask có sơ hở, gây hoang mang trong cộng đồng. Vào ngày 19 tháng 4, MetaMask trả lời rằng nó đã bị đánh cắp do lỗ hổng, nhưng nó đang nghiên cứu nguồn gốc của lỗ hổng.
Vào ngày 20 tháng 4, quan chức imToken đã nhắc nhở rằng những kẻ lừa đảo đã giả danh nhân viên chính thức của imToken, liên lạc với người dùng bằng cách gửi tin nhắn văn bản, v.v., dụ người dùng truy cập các trang web giả mạo và nhập các từ dễ nhớ, khiến người dùng bị tổn thất tài sản. Các nhà nghiên cứu của SlowMist cho biết Quảng cáo dính sau khi tìm kiếm Google "imToken" là một loại trang web lừa đảo mới, vui lòng không nhấp vào liên kết và chú ý để tránh rủi ro.
Vào ngày 22 tháng 4, Trust Wallet đã đưa ra thông báo rằng có lỗ hổng trong địa chỉ tạo ví mới từ ngày 14 đến 23 tháng 11 năm ngoái, tạo ra quy trình bồi thường cho người dùng bị ảnh hưởng.
Với sự bùng nổ của các nhu cầu tương tác trên chuỗi như DeFi và NFT, ngành công nghiệp này không còn như những ngày đầu. Miễn là bạn mua tiền trên CEX và đặt chúng trên CEX, bạn có thể đáp ứng nhu cầu của hầu hết các nhà đầu tư . Hầu hết các nhà đầu tư sẽ tham gia một phần hoặc thậm chí là tất cả. Token được đặt trong ví của chính họ, điều này cũng dẫn đến việc ngành này trở thành thiên đường của tin tặc. Thỉnh thoảng, sẽ có thông báo rằng một số nhà đầu tư tải xuống các ứng dụng giả do được ủy quyền, rò rỉ khóa cá nhân hoặc rò rỉ trong ví, dẫn đến tài sản của chính họ bị đánh cắp. Cuối cùng, hóa ra chẳng là gì cả và việc đảm bảo an toàn cho tài sản do chính họ sở hữu đã trở thành một kỹ năng không thể thiếu trong ngành.
Tiếp theo, chúng ta sẽ hiểu đầy đủ cách bảo vệ tính bảo mật của tài sản chuỗi khối từ một số khía cạnh như kiến thức liên quan đến ví, trường hợp bị đánh cắp và bảo vệ khóa riêng tư.
Kiến thức liên quan đến ví
Trước khi đảm bảo an toàn cho tài sản của chính mình, bạn cần có hiểu biết nhất định về một số kiến thức cơ bản về ví trong ngành để hiểu rõ hơn về cách bảo vệ tài sản của mình. Tiếp theo, một vài khái niệm liên quan được giới thiệu ngắn gọn.
1. Mã hóa đối xứng và mã hóa bất đối xứng
Trước khi tìm hiểu khóa công khai (riêng), chúng ta hãy tìm hiểu sơ qua về mã hóa đối xứng và mã hóa bất đối xứng trong mật mã học. Mã hóa đối xứng có nghĩa là A có thể lấy được B thông qua một thuật toán nhất định và ngược lại, B có thể giải mã ngược lại A bằng cùng một thuật toán. , nhưng B không thể giải mã ngược B thông qua cùng một thuật toán và việc mã hóa và giải mã ở đây cần sử dụng các thuật toán khác nhau. 
Như thể hiện trong hình, sự khác biệt giữa mã hóa đối xứng và mã hóa bất đối xứng nằm ở chỗ khóa chung của người nhận tin nhắn và khóa riêng của người nhận tin nhắn trong hình có phải là cùng một khóa hay không.
2. Khóa công khai (riêng tư), ghi nhớ, địa chỉ
Sau khi hiểu về mã hóa đối xứng và mã hóa bất đối xứng, bạn có thể hiểu rõ hơn về một số khái niệm cơ bản liên quan đến ví.
Cặp khóa : Trong mã hóa bất đối xứng, có một cặp cặp khóa, cụ thể là khóa chung và khóa riêng, khóa chung là khóa công khai còn khóa riêng tư thì không.
Khóa công khai : dùng để mã hóa dữ liệu, dữ liệu được mã hóa bằng khóa chung chỉ có thể được giải mã bằng khóa riêng.
Khóa riêng : Khóa riêng có thể tạo khóa chung để giải mã dữ liệu được mã hóa bằng khóa chung.
Địa chỉ : Tương ứng với "khóa chung", vì khóa chung quá dài nên có "địa chỉ" và địa chỉ được tạo bởi khóa chung.
Mnemonic : Tương ứng với “private key”, vì private key là một chuỗi được tạo ngẫu nhiên, quá dài và khó nhớ nên một bộ từ mà con người có thể đọc được đã được tạo ra thay cho private key để giúp người dùng ghi nhớ private key. key , thường là 12 cụm từ bất quy tắc. (khóa riêng = ghi nhớ)
Chữ ký điện tử : Một tin nhắn nào đó (bạn chuyển 100 Ethereum cho ai đó), tin nhắn này cần được ký bằng private key của bạn và phát lên blockchain.
Xác minh chữ ký : Đầu nhận có thể xác minh rằng tin nhắn thực sự được ký bởi khóa riêng của bạn thông qua khóa chung của bạn, nghĩa là bạn đã xuất bản nó và các bản ghi giao dịch nằm trên chuỗi. .
Hiểu một cách đơn giản thì public key (địa chỉ) tương đương với tài khoản của bạn, còn private key (mnemonic) tương đương với tài khoản + mật khẩu của bạn (key riêng có thể tạo ra public key).
Sử dụng thẻ ngân hàng làm phép tương tự, khóa chung = tài khoản ngân hàng, địa chỉ = số thẻ ngân hàng, mật khẩu = mật khẩu thẻ ngân hàng, khóa riêng = số thẻ ngân hàng + mật khẩu thẻ ngân hàng, ghi nhớ = khóa riêng = số thẻ ngân hàng + mật khẩu thẻ ngân hàng, Kho khóa + mật khẩu = Đối với khóa riêng, để biết kiến thức cơ bản về ví, bạn có thể tham khảo bài báo khoa học phổ thông "Nếu bạn muốn giữ tài sản một cách an toàn, trước tiên bạn phải biết những kiến thức này về ví" trước tiếng địa phương.
3. Lưu trữ khóa riêng (cụm từ ghi nhớ)
Đồng xu của bạn không được lưu trữ trong ứng dụng ví của bạn, nhưng trong địa chỉ tương ứng với khóa riêng trong mạng chuỗi khối. Miễn là bạn có khóa riêng, bạn có thể đăng nhập vào tất cả các ví thông qua khóa riêng (ví hỗ trợ bạn có chuỗi tiền xu), ví chỉ được sử dụng làm giao diện người dùng của màn hình quỹ tài khoản và không lưu khóa cá nhân của bạn.
Nếu khóa cá nhân bị mất, đồng nghĩa với việc tài sản của bạn cũng sẽ bị mất và không thể lấy lại được qua ví, khi đăng ký ví lần đầu tiên, trang ví thường sẽ nhắc nhở người dùng chú ý điều này. Điều này hoàn toàn khác với QQ và WeChat mà chúng tôi đã sử dụng trước đây. Nếu mật khẩu bị mất, nó cũng có thể được xác minh thông qua điện thoại di động và có thể lấy lại câu hỏi và xác minh bạn bè. Tất nhiên, đây cũng là nét hấp dẫn của phân cấp chuỗi khối .Tài sản của bạn hoàn toàn Là của riêng bạn.
4. Các loại ví
Theo việc khóa riêng có được kết nối với Internet hay không, ví có thể được chia thành ví nóng và ví lạnh, như thể hiện trong hình trên.
Ví nóng: ví khách hàng, ví bổ trợ, ứng dụng di động.
Dễ sử dụng, dễ thao tác cho người mới, hiệu quả chuyển giao dịch tương đối cao, bảo mật kém, dễ bị đánh cắp.
Ví lạnh: ví phần cứng.
Tính bảo mật cao, phù hợp để lưu trữ số lượng lớn tài sản, tạo phức tạp, chuyển rắc rối, hư hỏng phần cứng hoặc mất khóa riêng có thể gây mất tài sản kỹ thuật số.
Để phân loại ví chi tiết hơn, vui lòng tham khảo bài viết khoa học phổ biến " Khoa học phổ biến | Các loại ví tài sản kỹ thuật số là gì? "
Qua những điều trên, chúng ta có thể biết rằng khóa riêng là tất cả và tất cả các biện pháp bảo vệ tài sản của chúng tôi thực chất là để bảo vệ khóa riêng, bảo vệ khóa riêng và bảo vệ khóa riêng. (Ngăn chặn việc mất khóa riêng và bị người khác lấy)
vụ trộm cắp
Sau khi hiểu các khái niệm liên quan, chúng ta hãy cùng điểm qua các trường hợp thất lạc chủ yếu hiện nay, qua các trường hợp chúng ta có thể tự bảo vệ ví của mình tốt hơn.
1. Rò rỉ khóa riêng (cụm từ ghi nhớ)
Vào đầu năm 2021, Yiren, người sáng lập Shengcaiyoushu, đã lưu khóa riêng tư Bitcoin trong ghi chú trên đám mây, dẫn đến việc mất BTC với tài sản tám con số.
Vào ngày 22 tháng 11, Shen Bo, người sáng lập Fenbushi Capital, đã bị đánh cắp tài sản kỹ thuật số trị giá 42 triệu USD, bao gồm: 38.233.180 USDC, 1607 ETH, 719.760 USDT và 4,13 BTC. Theo phân tích tiếp theo của cơ quan an ninh SlowMist, hành vi trộm cắp là do rò rỉ trí nhớ.
2. Khóa riêng (mnemonic) bị mất
Kỹ sư CNTT người Anh James Howells bị mất ổ cứng máy tính chứa 8.000 bitcoin vào năm 2013. 9 năm sau, anh dự định chi 74,3 triệu USD để lục lọi bãi phế liệu để tìm ổ cứng máy tính.
3. Nhấp vào Liên kết lan truyền
Một người dùng đã nhấp ngẫu nhiên vào liên kết do người khác gửi, khiến tin tặc đọc được bản sao lưu metamask được mã hóa cục bộ và tất cả tài sản đã bị đánh cắp.
Twitter KOLs nhấp vào liên kết riêng tư của người khác, dẫn đến việc đánh cắp tài khoản Twitter, sau đó tung ra thông tin AirDrop độc hại, lợi dụng lòng tin của người hâm mộ đối với KOLs để nhấp vào liên kết nhằm đánh cắp tài sản của người hâm mộ.
4. Ủy quyền ngẫu nhiên, ứng dụng có sơ hở
Vào ngày 2 tháng 10, DEX Transit Swap của Token Pocket đã chính thức tuyên bố rằng nó đã bị hack và mất hơn 15 triệu đô la tài sản, đồng thời nhắc nhở người dùng hủy ủy quyền.
Vào ngày 11 tháng 10, Rabby, một ví plug-in do nhóm DeBank phát triển, tuyên bố rằng hợp đồng Swap của nó có lỗ hổng và đề nghị người dùng hủy ủy quyền Rabby Swap. Cuối cùng, hacker đã kiếm được hơn 190.000 US USD.
5. Tải APP giả (có phần mềm virus)
Sau khi một số tin tặc lấy được thông tin người dùng nền tảng, chúng đã phát tán thông điệp gây hoang mang cho người dùng thông qua tin nhắn văn bản. Nền tảng không còn an toàn nữa. Họ cần nhấp vào liên kết để cài đặt lại ứng dụng hoặc đăng nhập vào tài khoản. Sau khi đăng nhập, tài khoản sẽ nạp tiền bị đánh cắp.
Một người dùng đã tải xuống ứng dụng Binance giả mạo và khi chuyển tiền, đã chuyển nó đến địa chỉ của người khác và tài sản 5 ETH đã bị mất hoàn toàn.
Từ các trường hợp trên, chúng ta có thể thấy rằng tài sản của người dùng bị đánh cắp, chủ yếu trong các trường hợp sau: rò rỉ khóa riêng (ghi nhớ), mất khóa riêng (ghi nhớ), nhấp vào liên kết vi rút, ủy quyền tùy ý, lỗ hổng ứng dụng, Có một số các tình huống như tải xuống APP giả mạo (phần mềm vi-rút) .
Tiếp theo, hãy xem những phương pháp nào có thể tránh tình trạng trên xảy ra.
Làm thế nào để tránh thiệt hại tài sản
1. Lưu trữ khóa riêng (cốt lõi: không dễ mất, không dễ hỏng, người khác không thể chạm vào hoặc sử dụng)
Sao lưu ví kịp thời sau khi tạo, sao lưu kép vì một khi đã mất sẽ không lấy lại được
Bản ghi nhớ được lưu trữ trên một phương tiện không kết nối Internet và không dễ bị mất hoặc bị hỏng , chẳng hạn như sao chép nó ra giấy và tự mã hóa nó (tăng hoặc giảm các ký tự cụ thể để dễ nhớ); tìm một máy ảnh mà sẽ không bao giờ được kết nối với Internet để lưu trữ; có một số ví Nhà cung cấp sẽ bán các tấm sắt liên quan đến ghi nhớ.
Sử dụng ví lạnh (ví phần cứng), chọn ví lạnh nổi tiếng ; mua từ các kênh chính thức, không qua kênh của bên thứ ba (có thể có vi-rút trong các kênh của bên thứ ba); đặt mật khẩu mạnh và sao lưu tài khoản cá nhân khóa cùng lúc để tránh làm mất hoặc hư hỏng ví phần cứng.
2. Ngăn chặn rò rỉ khóa riêng (ghi nhớ)
- Không sao chép và dán khóa riêng, một số phần mềm có thể đọc khay nhớ tạm của người dùng
- Không lưu khóa riêng trong bộ sưu tập WeChat, truyền tệp, Baidu Cloud, Evernote và các nền tảng mạng khác
- Không bao giờ nói cho bất kỳ ai biết khóa riêng. Hãy nhớ rằng, đó là bất kỳ ai. Một số kẻ lừa đảo giả vờ là quan chức của ví để lừa đảo khóa riêng của bạn. Đừng tin điều đó, bên ví không có quyền lấy khóa riêng của người dùng
- Không sao chép và dán khóa cá nhân khi sử dụng Wi-Fi công cộng
- Tải về tất cả các loại ứng dụng, bạn nên đến các kênh chính thức, tất cả các cửa hàng ứng dụng đôi khi không đáng tin cậy (nhớ là tất cả), có những ứng dụng giả mạo
- Hãy thận trọng khi ký ví. Người dùng nhiều giao thức DeFi và tương tác NFT nên nhớ thu hồi ủy quyền kịp thời để tránh bị đánh cắp tài sản do sơ hở của ứng dụng
- Không click vào link (tin nhắn) do người khác gửi, tải file do người khác chia sẻ, thậm chí không click vào link của một số KOL vì có thể chứa virus
- Khi bạn thấy rằng có một chút rò rỉ tài sản trong ví, bạn nên từ bỏ ví càng sớm càng tốt và đừng mạo hiểm
- Không sử dụng VPN miễn phí
- Luôn cập nhật tin tức và cập nhật thông tin mới bị đánh cắp trong thời gian thực
Tất cả các biện pháp trên thực tế là để bảo vệ khóa riêng của bạn khỏi bị tiết lộ, Không phải khóa của bạn, không phải tiền của bạn!
3. Phân cấp tài sản
Bạn có thể phân tán tiền của mình trong ví và nền tảng giao dịch . tay của chính mình. Nó tương đối an toàn và tiện lợi hơn so với ví . Miễn là tổn thất không quá lớn, một số nền tảng hàng đầu thường có thể đủ khả năng bồi thường.
Có một số điểm cần lưu ý khi sử dụng sàn giao dịch tập trung:
- Bật xác minh ba lần (điện thoại di động, email, xác minh phụ của Google)
- Mở danh sách trắng để rút tiền xu
- Tải xuống ứng dụng từ các kênh chính thức
- Khi chuyển tiền, hãy xác nhận xem địa chỉ có đúng không
phần kết
Thông qua các kiến thức liên quan ở trên, người dùng mới có thể hiểu toàn diện về kiến thức liên quan đến bảo mật tài sản blockchain. Với sự phát triển của blockchain và sự gia tăng tương tác trên chuỗi, việc sử dụng ví sẽ dần trở thành một kỹ năng cơ bản quan trọng và nhiều biện pháp khác nhau thực sự không an toàn tuyệt đối, nhưng nói một cách tương đối, chúng có thể cho phép chúng ta tránh được hầu hết các cạm bẫy và với sự phát triển của chuỗi khối, các vấn đề mới sẽ tiếp tục xuất hiện và chúng ta cần tiếp tục cải thiện cơ sở tri thức của chính mình.
Một lượng tiền nhỏ có thể không được giữ theo phương pháp trên, nhưng việc bảo toàn các vị trí tiền lớn của bạn phải thận trọng và thận trọng, bởi vì một trong những sai lầm của bạn có thể khiến bạn bị con tàu blockchain ném đi mãi mãi. không bao giờ đuổi kịp.
Tuyên bố miễn trừ trách nhiệm: Là một nền tảng thông tin blockchain, các bài viết được đăng trên trang này chỉ thể hiện quan điểm cá nhân của tác giả và khách mời, không liên quan gì đến quan điểm của Web3Caff. Nội dung của bài viết này chỉ nhằm mục đích chia sẻ thông tin và không cấu thành bất kỳ lời khuyên hay ưu đãi đầu tư nào và vui lòng tuân thủ các luật và quy định có liên quan của quốc gia hoặc khu vực của bạn.
