Khi hệ sinh thái on-chain tiếp tục mở rộng, các giao dịch on-chain đã dần phát triển thành một hoạt động hàng ngày không thể thiếu đối với người dùng Web3. Việc di chuyển tài sản người dùng từ các nền tảng tập trung sang các mạng phi tập trung đang tăng tốc và xu hướng này cũng có nghĩa là trách nhiệm bảo mật tài sản đang chuyển từ nền tảng sang chính người dùng. Trong môi trường on-chain, người dùng cần phải chịu trách nhiệm cho từng bước tương tác, cho dù đó là nhập ví, truy cập DApps hay ký ủy quyền và bắt đầu giao dịch, bất kỳ lỗi ký hoặc vận hành mù nào cũng có thể trở thành rủi ro bảo mật, dẫn đến hậu quả nghiêm trọng như rò rỉ khóa riêng, lạm dụng ủy quyền hoặc tấn công lừa đảo.
Mặc dù các plug-in và trình duyệt ví chính thống hiện nay đã dần tích hợp nhận dạng lừa đảo, nhắc nhở rủi ro và các chức năng khác, nhưng trước các phương thức tấn công ngày càng phức tạp, vẫn khó tránh hoàn toàn rủi ro bằng cách chỉ dựa vào sự bảo vệ thụ động của các công cụ. Để giúp người dùng xác định rõ hơn các điểm rủi ro tiềm ẩn trong các giao dịch trên chuỗi, nhóm bảo mật của chúng tôi đã sắp xếp các tình huống rủi ro cao trong toàn bộ quy trình dựa trên kinh nghiệm thực tế và xây dựng một bộ hướng dẫn bảo mật giao dịch trên chuỗi có hệ thống dựa trên kinh nghiệm thực tế, kết hợp với các đề xuất bảo vệ và kỹ năng sử dụng công cụ, để giúp mọi người dùng Web3 xây dựng một tuyến phòng thủ an ninh "tự trị và có thể kiểm soát".
Nguyên tắc cốt lõi của giao dịch an toàn:
Từ chối ký mù quáng: Đối với giao dịch hoặc tin nhắn không hiểu, tuyệt đối không ký.
Xác minh nhiều lần: Trước khi thực hiện bất kỳ giao dịch nào, hãy chắc chắn xác minh nhiều lần độ chính xác của thông tin liên quan.
Một|Gợi ý giao dịch an toàn
Giao dịch an toàn là chìa khóa để bảo vệ tài sản kỹ thuật số. Nghiên cứu cho thấy, việc sử dụng ví tiền an toàn và xác thực hai bước (2FA) có thể giảm thiểu rủi ro một cách đáng kể. Dưới đây là những gợi ý cụ thể:
Sử dụng ví tiền an toàn:
Chọn nhà cung cấp Ví tiền có uy tín, chẳng hạn như ví cứng Ledger hoặc Trezor, hoặc ví mềm như Metamask. Ví tiền cứng cung cấp lưu trữ ngoại tuyến, giảm thiểu rủi ro tấn công trực tuyến, thích hợp để lưu trữ tài sản lớn.
Kiểm tra lại chi tiết giao dịch:
Trước khi xác nhận giao dịch, luôn xác minh địa chỉ nhận, số tiền và mạng (ví dụ, đảm bảo bạn đang sử dụng đúng chuỗi, như Ethereum hoặc BNB Chain, v.v.) để tránh mất mát do nhập sai.
Bật xác thực hai bước (2FA):
Nếu nền tảng giao dịch hoặc ví tiền hỗ trợ 2FA, hãy chắc chắn bật nó lên để tăng cường bảo mật tài khoản, đặc biệt là khi sử dụng ví tiền nóng.
Tránh sử dụng Wi-Fi công cộng:
Không thực hiện giao dịch trên mạng Wi-Fi công cộng để phòng ngừa các cuộc tấn công lừa đảo và tấn công trung gian.
Hai|Cách thực hiện giao dịch an toàn
Một quy trình giao dịch DApp hoàn chỉnh bao gồm nhiều bước: cài đặt ví tiền, truy cập DApp, kết nối ví tiền, ký tin nhắn, ký giao dịch, xử lý sau giao dịch. Mỗi bước đều có những rủi ro an toàn nhất định, dưới đây sẽ lần lượt giới thiệu các lưu ý trong quá trình thực hiện.
Chú ý: Lần này chủ yếu nói về quy trình tương tác an toàn trên Ethereum và các chuỗi tương thích EVM, các công cụ và chi tiết kỹ thuật cụ thể được sử dụng trên các chuỗi không phải EVM có thể khác nhau.
1: Ví tiền cài đặt:
Hiện tại, cách sử dụng chính của DApp là tương tác thông qua ví tiền mở rộng trình duyệt. Các ví tiền phổ biến được sử dụng trên chuỗi EVM bao gồm MetaMask.
Khi cài đặt ví tiền tiện ích mở rộng Chrome, cần xác nhận tải xuống và cài đặt từ cửa hàng ứng dụng Chrome để tránh cài đặt từ các trang web bên thứ ba, nhằm ngăn chặn cài đặt phần mềm ví tiền có mã độc. Người dùng có điều kiện được khuyến nghị kết hợp sử dụng ví phần cứng để nâng cao thêm độ an toàn tổng thể trong việc bảo quản khóa riêng.
Khi cài đặt cụm từ sao lưu ví tiền (thường là cụm từ phục hồi từ 12-24 từ), nên lưu trữ chúng ở nơi an toàn, xa khỏi các thiết bị kỹ thuật số (ví dụ: viết trên giấy và cất trong két an toàn).
2: Truy cập DApp
Lừa đảo qua trang web là một thủ đoạn phổ biến trong các cuộc tấn công Web3. Một trường hợp điển hình là dụ dỗ người dùng truy cập vào ứng dụng DApp lừa đảo dưới danh nghĩa airdrop, sau khi người dùng kết nối ví tiền, họ bị dụ ký các giao dịch ủy quyền token, chuyển tiền hoặc ký tên ủy quyền token, dẫn đến mất mát tài sản.
Do đó, khi truy cập DApp, người dùng cần giữ cảnh giác để tránh rơi vào bẫy lừa đảo trên trang web.
Trước khi truy cập DApp, bạn nên xác nhận tính chính xác của địa chỉ web. Khuyến nghị:
Tránh truy cập trực tiếp qua công cụ tìm kiếm: Kẻ tấn công lừa đảo có thể tăng xếp hạng trang web lừa đảo của họ bằng cách mua vị trí quảng cáo.
Tránh nhấp vào các liên kết trên mạng xã hội: Các URL được đăng trong bình luận hoặc tin nhắn có thể là liên kết lừa đảo.
Xác nhận lại tính chính xác của địa chỉ DApp: Có thể đối chiếu qua các thị trường DApp như DefiLlama, tài khoản mạng xã hội chính thức của dự án và nhiều nguồn khác.
Thêm trang web an toàn vào trình duyệt: truy cập trực tiếp từ mục yêu thích sau này.
Khi mở trang web DApp, cũng cần kiểm tra an toàn cho thanh địa chỉ:
Kiểm tra xem tên miền và URL có giống như giả mạo hay không.
Kiểm tra xem có phải là liên kết HTTPS không, trình duyệt nên hiển thị khóa
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Hướng dẫn giao dịch an toàn Web3 không có sai sót trong tương tác on-chain, xin vui lòng lưu lại.
Khi hệ sinh thái on-chain tiếp tục mở rộng, các giao dịch on-chain đã dần phát triển thành một hoạt động hàng ngày không thể thiếu đối với người dùng Web3. Việc di chuyển tài sản người dùng từ các nền tảng tập trung sang các mạng phi tập trung đang tăng tốc và xu hướng này cũng có nghĩa là trách nhiệm bảo mật tài sản đang chuyển từ nền tảng sang chính người dùng. Trong môi trường on-chain, người dùng cần phải chịu trách nhiệm cho từng bước tương tác, cho dù đó là nhập ví, truy cập DApps hay ký ủy quyền và bắt đầu giao dịch, bất kỳ lỗi ký hoặc vận hành mù nào cũng có thể trở thành rủi ro bảo mật, dẫn đến hậu quả nghiêm trọng như rò rỉ khóa riêng, lạm dụng ủy quyền hoặc tấn công lừa đảo.
Mặc dù các plug-in và trình duyệt ví chính thống hiện nay đã dần tích hợp nhận dạng lừa đảo, nhắc nhở rủi ro và các chức năng khác, nhưng trước các phương thức tấn công ngày càng phức tạp, vẫn khó tránh hoàn toàn rủi ro bằng cách chỉ dựa vào sự bảo vệ thụ động của các công cụ. Để giúp người dùng xác định rõ hơn các điểm rủi ro tiềm ẩn trong các giao dịch trên chuỗi, nhóm bảo mật của chúng tôi đã sắp xếp các tình huống rủi ro cao trong toàn bộ quy trình dựa trên kinh nghiệm thực tế và xây dựng một bộ hướng dẫn bảo mật giao dịch trên chuỗi có hệ thống dựa trên kinh nghiệm thực tế, kết hợp với các đề xuất bảo vệ và kỹ năng sử dụng công cụ, để giúp mọi người dùng Web3 xây dựng một tuyến phòng thủ an ninh "tự trị và có thể kiểm soát".
Nguyên tắc cốt lõi của giao dịch an toàn:
Một|Gợi ý giao dịch an toàn
Giao dịch an toàn là chìa khóa để bảo vệ tài sản kỹ thuật số. Nghiên cứu cho thấy, việc sử dụng ví tiền an toàn và xác thực hai bước (2FA) có thể giảm thiểu rủi ro một cách đáng kể. Dưới đây là những gợi ý cụ thể:
Chọn nhà cung cấp Ví tiền có uy tín, chẳng hạn như ví cứng Ledger hoặc Trezor, hoặc ví mềm như Metamask. Ví tiền cứng cung cấp lưu trữ ngoại tuyến, giảm thiểu rủi ro tấn công trực tuyến, thích hợp để lưu trữ tài sản lớn.
Trước khi xác nhận giao dịch, luôn xác minh địa chỉ nhận, số tiền và mạng (ví dụ, đảm bảo bạn đang sử dụng đúng chuỗi, như Ethereum hoặc BNB Chain, v.v.) để tránh mất mát do nhập sai.
Nếu nền tảng giao dịch hoặc ví tiền hỗ trợ 2FA, hãy chắc chắn bật nó lên để tăng cường bảo mật tài khoản, đặc biệt là khi sử dụng ví tiền nóng.
Không thực hiện giao dịch trên mạng Wi-Fi công cộng để phòng ngừa các cuộc tấn công lừa đảo và tấn công trung gian.
Hai|Cách thực hiện giao dịch an toàn
Một quy trình giao dịch DApp hoàn chỉnh bao gồm nhiều bước: cài đặt ví tiền, truy cập DApp, kết nối ví tiền, ký tin nhắn, ký giao dịch, xử lý sau giao dịch. Mỗi bước đều có những rủi ro an toàn nhất định, dưới đây sẽ lần lượt giới thiệu các lưu ý trong quá trình thực hiện.
Chú ý: Lần này chủ yếu nói về quy trình tương tác an toàn trên Ethereum và các chuỗi tương thích EVM, các công cụ và chi tiết kỹ thuật cụ thể được sử dụng trên các chuỗi không phải EVM có thể khác nhau.
1: Ví tiền cài đặt:
Hiện tại, cách sử dụng chính của DApp là tương tác thông qua ví tiền mở rộng trình duyệt. Các ví tiền phổ biến được sử dụng trên chuỗi EVM bao gồm MetaMask.
Khi cài đặt ví tiền tiện ích mở rộng Chrome, cần xác nhận tải xuống và cài đặt từ cửa hàng ứng dụng Chrome để tránh cài đặt từ các trang web bên thứ ba, nhằm ngăn chặn cài đặt phần mềm ví tiền có mã độc. Người dùng có điều kiện được khuyến nghị kết hợp sử dụng ví phần cứng để nâng cao thêm độ an toàn tổng thể trong việc bảo quản khóa riêng.
Khi cài đặt cụm từ sao lưu ví tiền (thường là cụm từ phục hồi từ 12-24 từ), nên lưu trữ chúng ở nơi an toàn, xa khỏi các thiết bị kỹ thuật số (ví dụ: viết trên giấy và cất trong két an toàn).
2: Truy cập DApp
Lừa đảo qua trang web là một thủ đoạn phổ biến trong các cuộc tấn công Web3. Một trường hợp điển hình là dụ dỗ người dùng truy cập vào ứng dụng DApp lừa đảo dưới danh nghĩa airdrop, sau khi người dùng kết nối ví tiền, họ bị dụ ký các giao dịch ủy quyền token, chuyển tiền hoặc ký tên ủy quyền token, dẫn đến mất mát tài sản.
Do đó, khi truy cập DApp, người dùng cần giữ cảnh giác để tránh rơi vào bẫy lừa đảo trên trang web.
Trước khi truy cập DApp, bạn nên xác nhận tính chính xác của địa chỉ web. Khuyến nghị:
Khi mở trang web DApp, cũng cần kiểm tra an toàn cho thanh địa chỉ: