Open in app

Sign in

Write

Sign in

Không muốn mất tài sản crypto, đừng nên bỏ qua các lưu ý bảo mật sau

Mad Lukas
10 min readMar 19, 2022

--

Những kẻ lừa đảo đã đánh cắp $14 tỷ từ người dùng tiền điện tử vào năm 2021. Dưới đây là những việc có thể giúp bạn bảo vệ tài sản của mình.

Hiểu các khái niệm cơ bản

Public key

Public key giống như số tài khoản ngân hàng. Bạn có thể gửi và nhận tiền điện tử bằng địa chỉ này.

Private key

Private key giống như một mã Pin ATM để đăng nhập tài khoản ngân hàng, chứng minh bạn sở hữu tài khoản và cho phép bạn gửi các giao dịch. Đừng chia sẻ private key với bất cứ ai.

Seed phrase

Khi lần đầu tiên tạo ví, bạn sẽ được cung cấp seed phrase (một tập hợp các từ khóa để truy cập ví tiền điện tử). Hãy lưu giữ những cụm từ này và đừng chia sẻ cho bất kỳ ai. Nếu ai đó có seed phrase của bạn, họ sẽ có quyền truy cập vào ví và đánh cắp hết tiền của bạn.

Mua ví cứng (Hardware Wallet)

Ví cứng là gì?

Ví cứng là những thiết bị vật lý lưu trữ private key. Sẽ không có giao dịch nào xảy ra trừ khi bạn xác nhận thông qua ví của mình.

Hacker rất khó hack ví của bạn vì họ không thể xác nhận các giao dịch trực tiếp.

Thực chất, coin không được lưu trữ trên thiết bị phần cứng này, mà được lưu trữ trên sổ cái công khai (public ledger). Ví và thiết bị phần cứng chỉ là chìa khóa giúp bạn truy cập vào tiền của mình.

Nếu Ledger bị mất, bạn vẫn có thể tiếp cận tiền của bạn, miễn là có seed phrase.

Bạn nên mua loại ví nào?

Mua trực tiếp Ledger nano S từ website của hãng, đừng mua trên Amazon hoặc những người bán lại (bởi nhiều khả năng họ có thể truy cập trước khi bán cho bạn). Nếu có điều kiện, hãy mua Nano X thay vì Nano S (bộ nhớ nhiều hơn và giao diện đẹp hơn).

Ledger có một tính năng nâng cao cho phép bạn tạo password bí mật thứ 25. Tuy nhiên, điều này không cần thiết đối với hầu hết mọi người.

Làm thế nào để sử dụng ví cứng cho DeFi

Hầu hết các ví nóng sẽ cho bạn kết nối với một ví cứng. Sự kết hợp này cho phép bạn sử dụng DeFi với sự bảo mật từ ví cứng.

Dưới đây là một ví dụ từ metamask.

Cách lưu trữ Seed Phrase

Bạn không nên lưu trữ seed phrase của mình trên thế giới kỹ thuật số:

  • Không lưu trữ trên dropbox
  • Không lưu trữ trên thẻ USBKhông lưu trữ trên trình quản lý mật khẩu.

Mọi người thường viết seed phrase của mình trên giấy. Điều này rất nguy hiểm vì dễ xảy ra sự cố bất ngờ như bị thấm nước hoặc cháy nổ, dẫn đến mất seed phrase.

Cách tốt nhất để lưu trữ seed phrase là giữ chúng trên kim loại. Một lựa chọn rẻ hơn là bút khắc.

Một cách khác nữa, bạn có thể chia nhỏ các seed phrase thành nhiều phần và đem chúng cho những người khác hoặc lưu trữ ở những nơi khác nhau. Để có được quyền truy cập, bạn cần 3 trong số 5 mảnh seed phrase (số lượng có thể tùy chỉnh).

Giấu seed phrase ở đâu?

Đừng lưu trong két, việc đó quá lộ liễu. Hãy sáng tạo tìm nơi để cất giấu chúng. Tôi từng đọc đã có người đóng băng seed phrase bằng nước sốt cà chua và đặt sâu trong tủ đông.

Bảo mật tài khoản của bạn với 2FA

Bạn không nên sử dụng xác thực SMS để bảo mật tài khoản, vì hacker có thể lấy một thẻ sim phục chế từ nhà mạng của bạn. Vì vậy, khi bạn nhận được xác thực qua SMS, họ cũng sẽ nhận được 1 tin nhắn tương tự bạn.

Hãy sử dụng ứng dụng Authenticator của Google. Tất cả những người tham gia thị trường tiền điện tử đều sử dụng ứng này. Đây có thể coi là phương pháp an toàn nhất.

Giao dịch trên một thiết bị riêng biệt

Nếu có thể, hãy sử dụng hai laptop. Một laptop chính để làm tất cả mọi thứ, cái còn lại phục vụ lưu trữ và giao dịch tiền điện tử.

Trong trường hợp laptop chính bị xâm nhập, tất cả những gì hacker có thể lấy cắp là những thông tin của bạn. Tài sản vẫn an toàn vì bạn đã sử dụng một máy tinh riêng để lưu trữ chúng.

Sử dụng hệ điều hành an toàn

Hầu hết mọi người đang sử dụng Window, Mac hoặc Chrome OS. Có những hệ điều hành được thiết kế cho quyền riêng tư và bảo mật như QubesOS hay Tails_live.

Bạn có thể sử dụng Win/Mac cho thiết bị chính của mình và sử dụng hệ điều hành an toàn hơn cho các giao dịch tiền điện tử.

Luôn sử dụng VPN

VPN (Virtual Private Network) giống như lớp bảo vệ của Internet. Đừng bao giờ sử dụng wifi công cộng mà không có VPN.

VPN an toàn nhất hiện nay là mullvladnet. Họ không lưu lại thông tin của bạn hoặc bất cứ thứ gì để nhận dạng.

Cài đặt phần mềm tường lửa

Hãy coi nó như một “lá chắn” cho mạng internet. Mọi hành động ra/vào phải được phê duyệt hoặc thêm vào whitelist.

Đối với Windows thì Win10 có Firewall được tích hợp sẵn. Littlesnitch — phần mềm yêu thích của Tekashi69, rất thích hợp cho những ai sử dụng Macbook.

Giới hạn chi tiêu smart contract

Một số hợp đồng thông minh cho phép một giao thức chi tiêu một lượng tiền không có giới hạn. Điều này ví như việc đưa cho người lạ một séc trống để họ điền bất cứ số tiền mà họ muốn rút vậy.

Bạn có thể đặt giới hạn bằng tính năng “Custom Spending Limit”. Luôn click “Edit” trong mục “Permission” và tùy chỉnh lượng chi tiêu giới hạn.

Đề phòng các trường hợp giả mạo

Giả mạo các trang web

Khi tìm thấy đúng trang web, hãy Bookmark trong trình duyệt. Sử dụng trang web chính thức để tìm các liên kết đến discord, telegram, twitter chính thức của dự án.

Một số hình thức web giả mạo như:

  • Các giao thức giả mạo.
  • Các sàn giao dịch giả mạo.
  • Trang web ví giả mạo.

Giả mạo Livestream trên Youtube

Những kẻ lừa đảo sẽ ghi lại một livestream thật được thực hiện bởi các KOL của thị trường tiền điện tử. Sau đó, chúng sẽ tải lên bản phát lại và phủ lớp thông tin giả lên trên, điều hướng mọi người đến một trang web lừa đảo để lấy cắp seed phrase của họ.

Giả mạo hỗ trợ khách hàng

Những kẻ lừa đảo sẽ tìm kiếm những người cần trợ giúp trên Discord, Telegram, Twitter, Reddit… Sau đó, chúng sẽ tạo những tài khoản giả mạo để hỗ trợ, hướng mọi người đến các trang web lừa đảo trông giống như thật.

Giả mạo email

Các sàn giao dịch tiền điện tử rất dễ bị tấn công. Đây là nơi chứa nhiều cơ sở dữ liệu người dùng nhất. Khi nhận được bất cứ 1 email nào liên quan đến tiền điện tử, hay kiểm tra xem đó có phải là email giả mạo không.

Tuyệt đối không nhấp vào bất cứ liên kết nào có trong email khi chưa xác minh được email đó là thật hay giả. Hãy tạo một email mới chỉ dành cho Crypto. Protonmail là gợi ý dành cho bạn.

Lạm dụng sự uy tín

Công nghệ bây giờ rất hiện đại, nên mọi người có thể dễ dàng photoshop hình ảnh và video. Dưới đây đây là một trò lừa đảo photoshop đơn giản bằng cách sử dụng Vitalik

Không để tiền tại sàn giao dịch tập trung (Centralized Exchange-CEX)

Các sàn giao dịch tập trung dễ có nguy cơ bị hack. Bạn cũng hay gặp phải một số vấn đề khi sử dụng các sàn giao dịch tập trung như bạn có thể bị đóng băng tài khoản, hay bạn không thể hoàn thành KYC (xác minh danh tính).

Bạn có thể mua coin từ sàn giao dịch tập trung, nhưng hãy gửi chúng vào ví của bạn càng sớm càng tốt. “Not your keys no your coins” (Không giữ khóa, thì không phải coin của bạn)

Các địa điểm chính thức có thể bị tấn công

Năm ngoái, tài khoản twitter của Elon Musk và một số nhân vật có ảnh hưởng khác bị hack. Những kẻ xấu đã thực hiện một vụ lừa đảo tặng quà Bitcoin. Hiện tại, hacker nhắm mục tiêu tới các kênh Discord chính thức.

Hãy xác minh thông tin với người khác trước để tránh bị lừa đảo.

Luôn gửi thử một ít tiền trước

Bất cứ khi nào bạn gửi một giao dịch, hãy luôn gửi một số tiền nhỏ trước như một phép thử để xác minh rằng số tiền có đi đến đúng địa chỉ không. Ngay cả VitalikButerin cũng gửi các giao dịch thử nghiệm.

Kiểm tra địa chỉ ví

Một số virus có thể chiếm quyền điều khiển Clipboard của bạn để chèn địa chỉ của chúng. Bất cứ khi nào bạn gửi một giao dịch, hãy đảm bảo rằng giao dịch đó đến đúng địa chỉ.

Đừng lười biếng và chỉ xác minh 4 chữ số cuối cùng của địa chỉ. Hãy giành một ít thời gian để đọc và xác minh toàn bộ địa chỉ.

Dust Attack

Bạn đã bao giờ nhận được token không xác định từ đâu vào ví của mình chưa? Đó có thể là dust attack, họ đang cố lừa bạn tương tác với token đó.

Có thể có mã độc hại trong các hợp đồng thông minh. Đừng chuyển đi hay đụng vào chúng vì bạn có thể bị đánh cắp hết tiền.

Thu hồi hợp đồng (revoke)

Khi một giao thức xuất hiện lỗ hổng và bị khai thác, tài sản của bạn có thể sẽ bị ảnh hưởng. Khi đó, bạn nên kết thúc hợp đồng.

Bạn có thể sử dụng các ứng dụng như zapper_fi hoặc Rabby_io để revoke hoặc dùng các ecosystem scanner như Etherscan cho ETH và SnowTraceHQ cho AVAX

Đừng kết nối ví của bạn với các trang web một cách mù quáng

Bạn không biết những giao thức này sẽ làm gì khi chúng có quyền truy cập vào ví của bạn.

  • Luôn đảm bảo rằng bạn đang sử dụng trang web chính thức.
  • Không kết nối trừ khi bạn có lý do cụ thể.
  • Ngắt kết nối khi bạn đã xong việc.

Đừng nói về tiền điện tử ngoài đời thật

Hiện tại, lạm phát đang ở mức cao nhất mọi thời đại. Tỷ lệ tội phạm đang tăng lên. Nói về Crypto trong cuộc sống thực khiến bạn trở thành mục tiêu cho những vụ trộm.

Niềm tin phải kiếm được tiền

Không nên tin tưởng một cách mù quáng vào bất kỳ ai trong lĩnh vực tiền điện tử.

  • Tại sao một người nào đó gửi tin nhắn trực tiếp cho bạn để giúp đỡ?
  • Nếu ai đó đang kiếm được tiền, tại sao họ lại giúp bạn 1–1 miễn phí?

Không có ai tự nguyện giúp đỡ bạn khi họ không nhận được một lợi ích gì.

Trên đây là những cách có giúp bạn tránh bị mất tiền khi tham gia vào lĩnh vực tiền điện tử.

--

--

Mad Lukas
Mad Lukas

Written by Mad Lukas

323 Followers
459 Following

Co-founder / CMO of AliXPay.com; Aliniex.com; OnBlock Ventures and CryptoHolic

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams