lý lịch

Ví đóng một vai trò quan trọng trong thế giới Web3. Chúng không chỉ là công cụ lưu trữ tài sản kỹ thuật số mà còn là công cụ cần thiết để người dùng thực hiện giao dịch và truy cập DApp. Trong số trước của Hướng dẫn bắt đầu bảo mật Web3 và tránh cạm bẫy, chúng tôi chủ yếu giới thiệu cách phân loại ví và liệt kê các điểm rủi ro phổ biến để giúp người đọc hình thành các khái niệm bảo mật ví cơ bản. Với sự phổ biến của tiền điện tử và công nghệ blockchain, ngành công nghiệp đen cũng tập trung vào tiền của người dùng Web3. Theo các biểu mẫu bị đánh cắp mà nhóm bảo mật SlowMist nhận được, có thể thấy rằng nhiều người dùng đã bị bắt vì tải xuống/mua ví giả. . Do đó, trong số này, chúng tôi sẽ thảo luận về lý do tại sao ví giả được tải xuống/mua, cũng như nguy cơ rò rỉ khóa riêng/cụm từ ghi nhớ, đồng thời sẽ cung cấp một loạt đề xuất bảo mật để giúp người dùng đảm bảo an toàn cho tiền của họ.

Tải xuống ví giả

Do nhiều điện thoại di động không hỗ trợ Google Play Store hoặc do sự cố mạng nên nhiều người sẽ tải ví từ các kênh khác, chẳng hạn như:

Một số người dùng sẽ tải xuống ví thông qua các trang tải xuống của bên thứ ba như apkcombo, apkpure, v.v. Những trang này thường quảng cáo rằng ứng dụng của họ được tải xuống từ gương Google Play Store, nhưng thực sự nó an toàn đến mức nào? Nhóm bảo mật SlowMist đã tiến hành điều tra và phân tích các nguồn ví giả Web3 của bên thứ ba và kết quả cho thấy phiên bản ví do trang tải xuống apkcombo của bên thứ ba cung cấp không thực sự tồn tại. Sau khi người dùng tạo ví hoặc nhập bản ghi nhớ ví trên giao diện bắt đầu, ví giả sẽ gửi bản ghi nhớ và các thông tin khác đến máy chủ của trang web lừa đảo.

Thứ hạng của kết quả công cụ tìm kiếm có thể được mua, điều này dẫn đến tình trạng trang web chính thức giả mạo được xếp hạng cao hơn trang web chính thức thực sự. Do đó, người dùng không nên trực tiếp tìm kiếm ví thông qua các công cụ tìm kiếm rồi nhấp vào trên cùng. -ranked link tải ví, rất có thể bạn sẽ vào một trang web chính thức giả mạo rồi tải xuống ví giả. Khi người dùng không biết địa chỉ trang web chính thức là gì, rất khó để đánh giá đó có phải là trang web giả mạo hay không chỉ bằng cách nhìn vào trang hiển thị của trang web, bởi vì trang web giả mạo do kẻ lừa đảo tạo ra rất giống với trang web chính thức thực sự và có thể bị nhầm lẫn với hàng thật. Do đó, người dùng không nên nhấp vào các liên kết được chia sẻ bởi những người dùng khác trên Twitter hoặc các nền tảng khác. Đây hầu hết là các liên kết lừa đảo.

Bạn phải duy trì sự tin cậy bằng không trong khu rừng tối của blockchain, người thân và bạn bè của bạn có thể không có ý định làm hại bạn, nhưng ví họ tải xuống có thể là giả nhưng vẫn chưa bị đánh cắp, vì vậy nếu bạn vượt qua mã QR. họ đã chia sẻ/ Nếu bạn sử dụng liên kết để tải xuống ví, bạn cũng có thể tải xuống ví giả.

Nhóm bảo mật SlowMist đã nhận được nhiều biểu mẫu bị đánh cắp từ vụ việc Pig Killing Plate. Thủ đoạn của kẻ lừa đảo trước tiên thường là lấy lòng tin của nạn nhân, sau đó hướng dẫn nạn nhân tham gia đầu tư tiền điện tử và cuối cùng chia sẻ liên kết tải xuống của ví giả. , nạn nhân Tức là mình bị lừa tình cảm và bị mất tiền. Vì vậy, người dùng nên cảnh giác với cư dân mạng, nhất là khi họ yêu cầu bạn đầu tư hoặc gửi cho bạn những đường link không rõ nguồn gốc, đừng dễ dàng tin tưởng họ.

Trên Telegram, bằng cách tìm kiếm các ví nổi tiếng, chúng tôi tìm thấy một số nhóm chính thức giả mạo. Những kẻ lừa đảo sẽ cho rằng nhóm này là kênh chính thức của một ví nhất định và thậm chí còn nhắc nhở người dùng trong nhóm tìm kiếm liên kết trang web chính thức duy nhất. Tuy nhiên, những liên kết này đều là giả mạo.

Lời nhắc đặc biệt là các ứng dụng trong trung tâm ứng dụng chính thức không nhất thiết phải an toàn. Một số tội phạm khuyến khích người dùng tải xuống các ứng dụng lừa đảo bằng cách mua thứ hạng từ khóa để chuyển hướng lưu lượng truy cập.

Vậy người dùng có thể làm gì để tránh tải ví giả?

Khả năng tìm thấy trang web chính thức thực sự sẽ không chỉ được sử dụng khi tải xuống ví mà còn được sử dụng khi người dùng sau đó tham gia vào các dự án Web3, vì vậy chúng tôi sẽ nói về cách tìm trang web chính thức chính xác tại đây.

Người dùng có thể trực tiếp tìm kiếm bên dự án trên Twitter, sau đó đánh giá xem đó có phải là tài khoản chính thức hay không dựa trên số lượng người theo dõi, thời gian đăng ký và liệu nó có nhãn màu xanh hay vàng. chúng tôi đã thảo luận về các dự án thật và giả. Fang | Hãy cảnh giác với việc câu cá bằng tài khoản giả cao trong phần bình luận. Tôi đã nói với bạn về các sản phẩm đen và xám bán tài khoản giả cao. Do đó, người mới nên theo dõi một số công ty bảo mật, người hành nghề bảo mật, phương tiện truyền thông nổi tiếng, v.v. trong ngành trên Twitter trước tiên để xem họ có theo dõi tài khoản chính thức mà bạn tìm thấy hay không.

https://twitter.com/DefiLlama

Thông qua phương pháp trên, người dùng có khả năng cao tìm được tài khoản Twitter chính thức thực sự, nhưng chúng ta vẫn cần thực hiện nhiều lần xác minh, việc tài khoản Twitter chính thức bị hack không phải là hiếm và tin tặc cũng sẽ thay thế trang web chính thức. liên kết trên tài khoản chính thức với liên kết trang web chính thức giả mạo, vì vậy người dùng cần so sánh liên kết trang web chính thức họ vừa tìm thấy với các liên kết được tìm thấy qua các kênh khác (chẳng hạn như DefiLlama, CoinGecko, CoinMarketCap, v.v.):

https://defillama.com/

https://landing.coingecko.com/links/

Sau khi tìm và xác nhận link website chính thức, người dùng nên lưu link vào bookmark để lần sau có thể tìm link chính xác trực tiếp từ bookmark mà không cần phải tìm và xác nhận lại mỗi lần, giảm thiểu khả năng vào trang web chính thức. trang web chính thức giả mạo.

Sau khi tìm và xác nhận link website chính thức, người dùng nên lưu link vào bookmark để lần sau có thể tìm link chính xác trực tiếp từ bookmark mà không cần phải tìm và xác nhận lại mỗi lần, giảm thiểu khả năng vào trang web chính thức. trang web chính thức giả mạo.

Người dùng có thể tải xuống ví thông qua các cửa hàng ứng dụng chính thức như Apple Store, Google Play Store, v.v., nhưng trước khi tải xuống, trước tiên họ phải kiểm tra thông tin nhà phát triển ứng dụng để đảm bảo rằng nó phù hợp với danh tính nhà phát triển chính thức. Bạn cũng có thể tham khảo. xếp hạng ứng dụng và khối lượng tải xuống cũng như các thông tin khác.

Một số độc giả nhìn thấy điều này có thể thắc mắc, làm cách nào để xác minh xem ví bạn đã tải xuống có phải là ví thật hay không? Người dùng có thể thực hiện xác minh tính nhất quán của tệp, xác định xem tệp có thay đổi trong quá trình truyền hoặc lưu trữ hay không bằng cách so sánh giá trị băm của tệp. Người dùng chỉ cần kéo tệp apk đã tải xuống trước đó vào công cụ xác minh hàm băm tệp. Công cụ này sẽ sử dụng hàm băm (chẳng hạn như MD5, SHA-256, v.v.) để tạo giá trị băm của tệp nếu giá trị này nhất quán. với chính thức Nếu giá trị băm khớp thì đó là ví thật; nếu không khớp thì đó là ví giả. Người dùng nên làm gì nếu họ xác minh rằng ví của họ là giả?

1. Trước tiên, hãy xác nhận phạm vi rò rỉ. Nếu bạn vừa tải xuống ví giả nhưng không nhập khóa riêng/cụm từ ghi nhớ, thì chỉ cần xóa ứng dụng và tải xuống lại phiên bản chính thức.

2. Nếu khóa riêng/cụm từ ghi nhớ đã được nhập vào ví giả, điều đó có nghĩa là khóa riêng/cụm từ ghi nhớ đã bị rò rỉ. Vui lòng truy cập trang web chính thức để tải xuống ví chính hãng và nhập khóa riêng/cụm từ ghi nhớ. và tạo một địa chỉ mới để chuyển tiền nhanh chóng.

3. Nếu tiền điện tử của bạn không may bị đánh cắp, chúng tôi sẽ cung cấp các dịch vụ hỗ trợ cộng đồng miễn phí để đánh giá trường hợp. Bạn chỉ cần gửi biểu mẫu theo nguyên tắc phân loại (tiền bị đánh cắp/lừa đảo/tống tiền). Đồng thời, địa chỉ hacker bạn gửi cũng sẽ được đồng bộ hóa với mạng lưới hợp tác tình báo mối đe dọa InMist để kiểm soát rủi ro. (Lưu ý: Gửi biểu mẫu tiếng Trung tới https://aml.slowmist.com/cn/recovery-funds.html và gửi biểu mẫu tiếng Anh tới https://aml.slowmist.com/recovery-funds.html)

Mua ví phần cứng giả

Tình huống được đề cập ở trên là lý do tại sao ví phần cứng giả được tải xuống và giải pháp.

Một số người dùng chọn mua ví phần cứng trong các trung tâm mua sắm trực tuyến, nhưng ví phần cứng từ các cửa hàng ủy quyền không chính thức như vậy có rủi ro bảo mật rất lớn, bởi vì trước khi ví đến tay người dùng, sẽ có bao nhiêu người đi qua và liệu các thành phần bên trong có đã bị giả mạo. Đây là những điều không chắc chắn. Nếu các thành phần bên trong đã bị giả mạo, sẽ khó có thể nhận biết được vấn đề từ hình thức bên ngoài và chức năng của nó.

https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/

Dưới đây là một số cách chúng tôi đưa ra để đối phó với các cuộc tấn công chuỗi cung ứng ví phần cứng:

Mua hàng từ các kênh chính thức: Đây là cách hiệu quả nhất để giải quyết các cuộc tấn công chuỗi cung ứng. Không mua ví phần cứng từ các kênh không chính thức, chẳng hạn như trung tâm mua hàng trực tuyến, đại lý mua hàng, cư dân mạng, v.v.

Kiểm tra hình thức bên ngoài: Sau khi lấy ví, trước tiên hãy kiểm tra xem bao bì bên ngoài có bị hư hỏng hay không. Đây là điều cơ bản nhất, mặc dù rất có thể hacker sẽ không bị lộ ở bước này.

Xác minh thiết bị trang web chính thức: Một số ví phần cứng cung cấp dịch vụ xác minh thiết bị trang web chính thức. Khi người dùng khởi tạo ví, thiết bị sẽ nhắc người dùng thực hiện xác minh thiết bị trang web chính thức. Nếu thiết bị bị giả mạo trong quá trình vận chuyển, thiết bị sẽ không thể vượt qua quá trình xác minh thiết bị thực trên trang web chính thức.

Cơ chế tự hủy khi tháo rời: Bạn có thể chọn mua ví phần cứng có cơ chế tự hủy khi tháo rời Khi ai đó cố gắng mở ví phần cứng và giả mạo các thành phần bên trong, cơ chế tự hủy sẽ được kích hoạt và tất cả đều nhạy cảm. thông tin trong chip bảo mật sẽ tự động bị xóa khỏi thiết bị. Nó cũng sẽ không thể sử dụng được nữa.

Nguy cơ rò rỉ khóa riêng/cụm từ ghi nhớ

Qua nội dung trên, mọi người nên tìm hiểu cách tải xuống hoặc mua ví thật, nhưng làm thế nào để giữ khóa riêng/cụm từ ghi nhớ lại là một vấn đề khác. Khóa riêng/cụm từ ghi nhớ là thông tin xác thực duy nhất để khôi phục ví và kiểm soát tài sản. Khóa riêng là một chuỗi thập lục phân 64 bit bao gồm các chữ cái và số, và cụm từ ghi nhớ thường bao gồm 12 từ. Nhóm bảo mật SlowMist muốn nhắc bạn rằng nếu khóa riêng/cụm từ ghi nhớ bị rò rỉ, tài sản ví rất có thể bị đánh cắp. Hãy xem xét một số lý do phổ biến khiến khóa riêng/cụm từ ghi nhớ bị rò rỉ:

Bảo mật không đúng cách: Người dùng có thể nói khóa riêng/cụm từ ghi nhớ của mình cho người thân và bạn bè và nhờ họ giúp cứu. Kết quả là tiền bị người thân và bạn bè đánh cắp.

Lưu trữ mạng hoặc truyền khóa riêng/cụm từ ghi nhớ: Mặc dù một số người dùng biết rằng không nên nói khóa riêng/cụm từ ghi nhớ cho người khác, nhưng họ sẽ lưu khóa riêng/cụm từ ghi nhớ thông qua bộ sưu tập WeChat, chụp ảnh, chụp ảnh màn hình, lưu trữ đám mây, bản ghi nhớ, v.v. Cụm từ ghi nhớ. Sau khi các tài khoản nền tảng này được tin tặc thu thập và xâm phạm thành công, các khóa riêng tư/cụm từ ghi nhớ có thể dễ dàng bị đánh cắp.

Sao chép và dán khóa riêng/cụm từ ghi nhớ: Nhiều công cụ clipboard và phương thức nhập sẽ tải bản ghi clipboard của người dùng lên đám mây, khiến khóa riêng/cụm từ ghi nhớ hiển thị trong môi trường không an toàn. Hơn nữa, phần mềm Trojan còn có thể lấy cắp thông tin trong clipboard khi người dùng sao chép khóa riêng/cụm từ ghi nhớ. Do đó, người dùng không nên sao chép và dán khóa riêng/cụm từ ghi nhớ này. Hành vi tưởng chừng như vô hại này thực chất lại tiềm ẩn nhiều vấn đề. Nguy cơ rò rỉ lớn.

Vậy làm thế nào để tránh rò rỉ khóa riêng/cụm từ ghi nhớ?

Đầu tiên, đừng nói cho bất kỳ ai, kể cả bạn bè và gia đình, khóa riêng/cụm từ ghi nhớ của bạn. Thứ hai, cố gắng chọn phương tiện vật lý để lưu khóa riêng/cụm từ ghi nhớ nhằm ngăn chặn tin tặc lấy được khóa riêng/cụm từ ghi nhớ thông qua các cuộc tấn công mạng và các phương tiện khác. Ví dụ: sao chép khóa riêng/cụm từ ghi nhớ vào giấy chất lượng tốt (bạn cũng có thể dán kín bằng nhựa) hoặc sử dụng hộp ghi nhớ để lưu trữ. Ngoài ra, việc thiết lập đa chữ ký và lưu trữ phi tập trung các khóa riêng/cụm từ ghi nhớ cũng có thể cải thiện tính bảo mật của khóa riêng/cụm từ ghi nhớ. Về cách sao lưu khóa riêng/cụm từ ghi nhớ, bạn có thể đọc "Sổ tay tự cứu rừng đen Blockchain" do Slow Mist sản xuất: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/ blob/chính /README_CN.md.

Tóm tắt

Bài viết này chủ yếu giải thích các rủi ro khi tải xuống/mua ví, cách tìm trang web chính thức thực sự và xác minh tính xác thực của ví cũng như nguy cơ rò rỉ khóa riêng/cụm từ ghi nhớ. Chúng tôi hy vọng nội dung của vấn đề này có thể giúp mọi người bước bước đầu tiên vào khu rừng tối tăm trong số tiếp theo, chúng tôi sẽ giải thích những rủi ro khi sử dụng ví như rủi ro lừa đảo, chữ ký và ủy quyền. (Ps. Các nhãn hiệu và hình ảnh được đề cập trong bài viết này chỉ được sử dụng để giúp người đọc hiểu và không mang tính chất khuyến nghị hay đảm bảo)