OKX Web3 \u0026 WTF Academy: Một giây cố gắng chăm chỉ, một giây bị Hacker "đánh cắp nhà"?

“引言: Ví Web3 của OKX đã đặc biệt lên kế hoạch cho phần “Bản đặc biệt về an ninh” trong đó giải đáp các vấn đề an ninh trên chuỗi khác nhau. Thông qua các ví dụ thực tế xảy ra gần đây nhất với người dùng, kết hợp với chuyên gia hoặc tổ chức an ninh, chúng tôi cùng nhau chia sẻ và giải đáp từ các góc độ khác nhau, từ đó tìm hiểu và tổng kết các quy tắc giao dịch an toàn từ cơ bản đến nâng cao, nhằm tăng cường việc giáo dục an ninh cho người dùng và giúp họ bắt đầu bảo vệ khóa riêng và tài sản ví của mình.”

Hoạt động của lông dữ dội như hổ, và hệ số an toàn là âm 5 ?

Là một người dùng tần suất cao trên chuỗi, an toàn luôn được ưu tiên hàng đầu đối với người sử dụng Gate.io.

Hôm nay, hai “vua tránh hiểm” trên chuỗi on-chain dạy bạn cách thực hiện chiến lược bảo mật an toàn.

本期是安全特刊第 03 期，特邀行业知名安全专家0x AA 与 OKX Ví Web3安全团队，从实操指南的角度出发，来讲解「撸毛人」常见的安全风险和防范措施。

WTF Academy: Rất cảm ơn OKX Web3 vì lời mời, tôi đến từ WTF Academy của 0x AA. WTF Academy là một trường đại học mã nguồn mở Web3, giúp các nhà phát triển bắt đầu phát triển Web3. Năm nay, chúng tôi đã ấp ủ một dự án cứu trợ Web3 có tên RescuETH (đội cứu trợ trên chuỗi), tập trung vào việc cứu trợ tài sản còn lại trong ví bị đánh cắp của người dùng, hiện đã thành công cứu trợ hơn 3 triệu nhân dân tệ tài sản bị đánh cắp trên Ethereum, Solana và Cosmos.

OKX Đội an ninh ví Web3: Xin chào mọi người, rất vui được chia sẻ trong buổi này. Đội an ninh ví Web3 của OKX chịu trách nhiệm chính trong việc xây dựng các khả năng an ninh trong lĩnh vực Web3 của OKX, bao gồm xây dựng khả năng an ninh của ví, kiểm định an ninh hợp đồng thông minh, giám sát an ninh dự án trên chuỗi và cung cấp dịch vụ bảo vệ đa lớp như an ninh sản phẩm, an ninh tài chính và an ninh giao dịch cho người dùng, đóng góp vào việc duy trì sinh thái an ninh toàn bộ blockchain.

Q1: Vui lòng chia sẻ một số trường hợp rủi ro thực tế mà người chơi đã gặp phải.

**WTF Academy：**Khóa riêng bị rò rỉ là một trong những rủi ro bảo mật lớn mà người dùng tiền điện tử phải đối mặt. Về bản chất, khóa riêng là một chuỗi ký tự được sử dụng để kiểm soát tài sản mã hóa, bất kỳ ai sở hữu khóa riêng đều có thể hoàn toàn kiểm soát tài sản mã hóa tương ứng. Một khi khóa riêng bị rò rỉ, kẻ tấn công có thể truy cập, chuyển nhượng và quản lý tài sản của người dùng mà không cần sự cho phép, dẫn đến thiệt hại kinh tế cho người dùng. Vì vậy, tôi sẽ chia sẻ một số trường hợp bị đánh cắp khóa riêng.

Alice (化名) đã bị kẻ tấn công đánh lừa tải phần mềm độc hại trên mạng xã hội và sau đó khi chạy phần mềm độc hại đã dẫn đến việc mất đi khóa riêng. Hiện nay, phần mềm độc hại có nhiều hình thức và đa dạng, bao gồm nhưng không giới hạn: kịch bản đào tiền, trò chơi, phần mềm họp, kịch bản lừa đảo, robot kẹp và nhiều hơn nữa. Người dùng cần nâng cao ý thức về an ninh.

Bob（化名）không cẩn thận tải lên GitHub Khóa riêng, đã bị người khác lấy đi và dẫn đến việc tài sản bị đánh cắp ngay lập tức.

Carl（化名）在项目方官方的 Tegegram 群咨询问题时，信任了主动联系他的假冒客服，并泄露了自己的cụm từ ghi nhớ，随后Ví tiền资产被盗取。

Đội an ninh Ví Web3 của OKX: Có nhiều trường hợp rủi ro như vậy, chúng tôi đã chọn một số trường hợp kinh điển mà người dùng gặp phải khi đào tiền.

Loại đầu tiên, tài khoản giả mạo đăng thông báo Airdrop giả. Người dùng A khi duyệt trang Twitter của một dự án nổi tiếng, phát hiện thấy thông báo về hoạt động Airdrop mới nhất dưới phần bình luận của Twitter, ngay lập tức nhấp vào liên kết thông báo đó để tham gia Airdrop, kết quả cuối cùng bị lừa đảo. Hiện nay có rất nhiều kẻ lừa đảo, thông qua việc giả mạo tài khoản chính thức và đăng thông báo giả trên Twitter chính thức, nhằm gây quỹ người dùng, người dùng nên chú ý phân biệt, không được coi nhẹ.

第 hai loại, tài khoản chính thức bị chiếm đoạt. Tài khoản Twitter và Discord chính thức của một dự án bị tấn công bởi hacker, sau đó hacker đã đăng một liên kết hoạt động Airdrop giả mạo trên tài khoản chính thức của dự án, do liên kết này được đăng từ kênh chính thức, nên người dùng B đã không nghi ngờ tính xác thực của nó, nhấp chuột vào liên kết đó để tham gia Airdrop sau đó bị lừa đảo.

Loại thứ ba, gặp phải các bên dự án độc hại. Người dùng C tham gia hoạt động đào mỏ của một dự án nào đó, để nhận được lợi nhuận thưởng cao hơn, họ đã đầu tư toàn bộ tài sản USDT vào hợp đồng staking của dự án đó. Tuy nhiên, hợp đồng thông minh đó không được kiểm tra chặt chẽ và không được công khai, kết quả là bên dự án đã đánh cắp toàn bộ tài sản mà người dùng C đã gửi vào hợp đồng thông minh đó thông qua cửa sau đã được dự trữ trong hợp đồng.

Đối với người dùng tiền điện tử, việc sở hữu vài chục hoặc vài trăm ví tiền và cách bảo vệ ví tiền và tài sản an toàn là một chủ đề rất quan trọng, đòi hỏi phải luôn cảnh giác và nâng cao ý thức phòng ngừa an toàn.

Q2: Như một người dùng tần suất cao, người sử dụng thường gặp phải các loại rủi ro an ninh trong giao dịch trên chuỗi và biện pháp bảo vệ phổ biến

WTF Academy: Đối với người dùng Web3 và cả những người dùng khác, hai loại rủi ro bảo mật phổ biến là: tấn công lừa đảo và rò rỉ khóa riêng.

Loại đầu tiên là tấn công lừa đảo: Tin tặc thường mạo danh các trang web hoặc ứng dụng chính thức, lừa người dùng nhấp vào phương tiện truyền thông xã hội và công cụ tìm kiếm, sau đó lừa người dùng giao dịch hoặc chữ ký trên các trang web lừa đảo để có được ủy quyền Token và đánh cắp tài sản của người dùng.

Phòng ngừa biện pháp: Thứ nhất, chúng tôi đề nghị người dùng chỉ truy cập vào trang web và ứng dụng chính thức thông qua kênh chính thức (ví dụ: liên kết trong mô tả Twitter chính thức). Thứ hai, người dùng có thể sử dụng tiện ích bảo mật để tự động chặn một số trang web lừa đảo. Thứ ba, khi truy cập vào trang web đáng ngờ, người dùng có thể tìm kiếm sự giúp đỡ từ các chuyên gia bảo mật chuyên nghiệp để xác định xem đó có phải là trang web lừa đảo hay không.

第 loại là Khóa riêng rò rỉ: Đã được giới thiệu trong vấn đề trước đó, ở đây không mở rộng nữa.

Phòng ngừa biện pháp: Đầu tiên, nếu máy tính hoặc điện thoại của người dùng cài đặt ví tiền, hãy tránh tải phần mềm đáng ngờ từ các nguồn không chính thức. Thứ hai, người dùng cần biết rằng dịch vụ khách hàng chính thức thường không tự động nhắn tin riêng cho bạn và không yêu cầu bạn gửi hoặc nhập khóa riêng và cụm từ ghi nhớ trên các trang web giả mạo. Thứ ba, nếu dự án mã nguồn mở của người dùng cần sử dụng khóa riêng, hãy cấu hình tệp .gitignore trước để đảm bảo khóa riêng không được tải lên GitHub.

OKX Ví Web3 an ninh nhóm: Chúng tôi đã tóm tắt năm loại rủi ro an ninh phổ biến mà người dùng gặp phải khi tương tác trên chuỗi và đã liệt kê một số biện pháp bảo vệ cho mỗi loại rủi ro.

1. Airdrop lừa đảo

Rủi ro: Một số người dùng thường xuyên phát hiện địa chỉ ví của họ xuất hiện một lượng lớn đồng token không rõ nguồn gốc, những đồng token này thường thất bại khi giao dịch trên DEX thông thường và trang web sẽ yêu cầu người dùng đến trang web chính thức để đổi. Sau đó, khi người dùng thực hiện giao dịch ủy quyền, thường sẽ cấp quyền cho hợp đồng thông minh chuyển đi tài sản trong tài khoản, dẫn đến việc tài sản bị đánh cắp. Ví dụ, trò lừa bịp Airdrop của Zape, nhiều người dùng đột ngột nhận được một lượng lớn đồng Zape trong ví tiền, trị giá dường như hàng chục nghìn đô la Mỹ. Điều này khiến nhiều người hiểu lầm rằng họ đã tình cờ kiếm được tiền lớn. Tuy nhiên, đây thực tế là một cái bẫy được thiết kế kỹ lưỡng. Do không thể tra cứu được những đồng token này trên các nền tảng chính thống, nhiều người dùng muốn đổi ngay sẽ tìm thấy “trang web chính thức” dựa trên tên đồng token. Theo hướng dẫn kết nối ví tiền, họ nghĩ rằng có thể bán những đồng token này, nhưng một khi đã ủy quyền, tất cả tài sản trong ví tiền sẽ bị đánh cắp ngay lập tức.

“Phòng chống: Để tránh trò lừa bịp Airdrop, người dùng cần duy trì tình trạng cảnh giác cao, xác minh nguồn thông tin và luôn nhận thông tin Airdrop từ kênh chính thức (như trang web chính thức của dự án, tài khoản mạng xã hội chính thức và thông báo chính thức). Bảo vệ khóa riêng và cụm từ hạt giống, không thanh toán bất kỳ phí nào và sử dụng cộng đồng và công cụ để xác minh và nhận biết các trò lừa bịp tiềm năng.”

2. Hợp đồng thông minh độc hại.

风险简介：很多未审计或未开源的智能合约可能包含漏洞或后门，无法保证用户资金安全。

Phương pháp bảo vệ: Người dùng nên tương tác với các hợp đồng thông minh đã được kiểm tra nghiêm ngặt bởi các công ty kiểm toán chính thức hoặc kiểm tra báo cáo kiểm toán bảo mật của dự án. Ngoài ra, các dự án có chính sách bug bounty thường đảm bảo an ninh hơn.

3. Quản lý ủy quyền:

风险简介：Quá trình ủy quyền quá mức cho hợp đồng tương tác có thể dẫn đến việc mất cắp tài sản, ở đây chúng tôi sẽ đưa ra ví dụ cụ thể: 1) Hợp đồng là hợp đồng có thể nâng cấp, nếu khóa riêng của tài khoản đặc quyền bị tiết lộ, kẻ tấn công có thể sử dụng khóa riêng đó để nâng cấp hợp đồng thành phiên bản độc hại, từ đó đánh cắp tài sản của người dùng đã được ủy quyền. 2) Nếu hợp đồng tồn tại lỗ hổng chưa được xác định, quá trình ủy quyền quá mức có thể khiến kẻ tấn công tận dụng những lỗ hổng này để đánh cắp tài sản trong tương lai.

Phương pháp bảo vệ: Nguyên tắc là chỉ cấp quyền cho hợp đồng tương tác một số tiền cần thiết và cần kiểm tra định kỳ và thu hồi các quyền không cần thiết. Khi thực hiện chữ ký cấp phép permit ngoại chuỗi, cần rõ mục tiêu của việc cấp phép/hợp đồng/loại tài sản được cấp phép và suy nghĩ kỹ trước khi thực hiện.

4. 01928374656574839201

Nhập mô tả rủi ro: nhấp vào liên kết độc hại và bị lừa cho phép hợp đồng độc hại hoặc người dùng.

“Phương thức bảo vệ: 1) Tránh ký kết mù quáng: Trước khi ký kết bất kỳ giao dịch nào, hãy đảm bảo hiểu rõ nội dung giao dịch sẽ được ký kết và đảm bảo mỗi bước thao tác là rõ ràng và cần thiết. 2) Cẩn thận với mục tiêu ủy quyền: Nếu mục tiêu ủy quyền là địa chỉ EOA (Externally Owned Account) hoặc hợp đồng chưa được xác minh, cần tăng cường cảnh giác. Hợp đồng chưa được xác minh có thể chứa mã độc hại. 3) Sử dụng ví tiền có plugin chống lừa đảo: Sử dụng ví tiền có chức năng chống lừa đảo như ví tiền OKX Web3, ví tiền này có thể giúp xác định và ngăn chặn các liên kết độc hại. 4) Bảo vệ từ khóa ghi nhớ và khóa riêng: Tất cả các trang web yêu cầu cung cấp từ khóa ghi nhớ hoặc khóa riêng đều là các liên kết lừa đảo, không được nhập thông tin nhạy cảm này trên bất kỳ trang web hoặc ứng dụng nào.”

5. Tập lệnh lông tơ độc hại

Rủi ro: Chạy mã độc lừa đảo có thể làm lừa hoặc lây vào máy tính, dẫn đến mất khóa riêng.

Các biện pháp bảo vệ: Hãy cẩn thận khi chạy các kịch bản hoặc phần mềm lạ không rõ nguồn gốc.

总之，我们希望用户在进行on-chain交互时候，可以谨慎再谨慎、保护好自己的Ví tiền和资产安全。

Q3: Sắp xếp các loại câu cá cổ điển và phương pháp, cũng như cách nhận biết và tránh né chúng?

Học viện WTF: Tôi muốn trả lời lại câu hỏi này từ một góc độ khác: khi người dùng phát hiện tài sản bị đánh cắp, làm thế nào để phân biệt được là tấn công lừa đảo hay là rò rỉ khóa riêng? Người dùng thường có thể phân biệt qua 2 đặc điểm tấn công này:

一、Đặc điểm của cuộc tấn công lừa đảo: Hacker thường thông qua trang web lừa đảo để lấy được quyền truy cập vào một hoặc nhiều tài sản trong một ví tiền điện tử duy nhất của người dùng, từ đó lấy cắp tài sản. Thông thường, số lượng tài sản bị đánh cắp tương đương với số lần người dùng cho phép trên trang web lừa đảo.

二、Khóa riêng/ từ khóa ghi nhớ bị tiết lộ có những đặc điểm sau: Hacker hoàn toàn kiểm soát toàn bộ tài sản của tất cả các chuỗi dưới một hoặc nhiều ví của người dùng. Do đó, nếu xuất hiện một hoặc nhiều trong các đặc điểm sau đây, có khả năng cao là xác định là thông tin Khóa riêng bị tiết lộ:

1. Token gốc bị đánh cắp (như ETH trên chuỗi ETH) vì token gốc không thể được ủy quyền.

2）多链资产被盗。

3. Trộm cắp tài sản long Ví tiền.

4）Một ví tiền duy nhất bị đánh cắp nhiều tài sản, và nhớ rõ ràng rằng không có sự cho phép nào cho những tài sản này.

5. Không có ủy quyền trước khi đánh cắp Token hoặc trong cùng một giao dịch (Sự kiện phê duyệt).

6）Gas được chuyển vào sẽ ngay lập tức bị Hacker chuyển đi.

Nếu không đáp ứng các đặc điểm trên, có thể đó là một cuộc tấn công lừa đảo.

Đội an ninh Ví Web3 OKX: Để tránh bị lừa đảo, trước tiên cần lưu ý 2 điểm: 1) Hãy nhớ không điền vào bất kỳ trang web nào từ khóa ghi nhớ/ khóa riêng; 2)

Hãy đảm bảo rằng bạn truy cập vào liên kết chính thức và cẩn thận khi nhấn nút xác nhận trên giao diện Ví tiền.

Tiếp theo, chúng tôi sẽ chia sẻ một số kịch bản câu cá cổ điển để giúp người dùng hiểu một cách trực quan hơn.

1、Các trang web lừa đảo: sao chép trang web chính thức của DApp, dẫn dắt người dùng nhập khóa riêng hoặc từ khóa ghi nhớ. Do đó, nguyên tắc hàng đầu của người dùng là không cung cấp khóa riêng hoặc từ khóa ghi nhớ của ví tiền cho bất kỳ ai, bất kỳ trang web nào. Thứ hai, kiểm tra xem URL có chính xác không, hãy cố gắng sử dụng các dấu trang chính thức để truy cập DApp phổ biến và sử dụng ví tiền chính thống như ví tiền Web3 của OKX sẽ cảnh báo về các trang web lừa đảo được phát hiện.

2、Đánh cắp Token chuỗi chính: Hàm hợp đồng độc hại được đặt tên là Claim, SeurityUpdate, AirDrop v.v., có tên gọi gây quyến rũ, logic thực tế của hàm là trống rỗng, chỉ chuyển Token chuỗi chính của người dùng.

3、Giao dịch địa chỉ tương tự: Kẻ lừa đảo sẽ tạo ra một địa chỉ giống với địa chỉ liên quan của người dùng bằng cách va chạm địa chỉ, sử dụng transferFrom để thực hiện giao dịch chuyển khoản 0 đơn vị để đầu độc, hoặc sử dụng USDT giả để thực hiện giao dịch với một số tiền nhất định, làm bẩn lịch sử giao dịch của người dùng, hy vọng người dùng sẽ sao chép địa chỉ sai từ lịch sử giao dịch khi thực hiện chuyển khoản sau này.

4、假冒客服：Hacker giả mạo dịch vụ khách hàng, thông qua mạng xã hội hoặc email liên hệ người dùng, yêu cầu cung cấp Khóa riêng hoặc từ khóa ghi nhớ. Dịch vụ khách hàng chính thức sẽ không yêu cầu cung cấp Khóa riêng, vui lòng bỏ qua các yêu cầu này.

Q4: Lưu ý về an ninh khi sử dụng các công cụ của các chuyên gia mài lông chó chuyên nghiệp.

Học viện WTF: Vì người dùng đụng chạm vào nhiều loại công cụ khác nhau, nên khi sử dụng các công cụ này, cần tăng cường biện pháp bảo mật, ví dụ như 01928374656574839201.

1、Ví tiền an toàn: Đảm bảo không tiết lộ khóa riêng tư hoặc từ khóa ghi nhớ, không lưu trữ khóa riêng tư ở nơi không an toàn và tránh nhập khóa riêng tư trên các trang web không rõ hoặc không tin cậy. Người dùng nên sao lưu và lưu trữ khóa riêng tư hoặc từ khóa ghi nhớ ở nơi an toàn như thiết bị lưu trữ ngoại tuyến hoặc lưu trữ đám mây được mã hóa. Ngoài ra, đối với người dùng ví tiền có tài sản có giá trị cao, việc sử dụng ví tiền đa chữ ký có thể tăng cường tính bảo mật.

2. Cảnh báo về cuộc tấn công lừa đảo: Khi truy cập vào bất kỳ trang web liên quan nào, người dùng hãy chắc chắn kiểm tra kỹ địa chỉ trang web để tránh nhấp vào các liên kết không rõ nguồn gốc. Hãy cố gắng tải xuống liên kết và thông tin từ trang web chính thức của dự án hoặc các phương tiện truyền thông chính thức của dự án, tránh sử dụng các nguồn không phải từ bên thứ ba.

3, An ninh phần mềm: Người dùng nên đảm bảo cài đặt và cập nhật phần mềm chống virus trên thiết bị để ngăn chặn phần mềm độc hại và tấn công virus. Ngoài ra, người dùng cũng nên thường xuyên cập nhật ví tiền và các công cụ liên quan đến blockchain khác để đảm bảo sử dụng các bản vá bảo mật mới nhất. Do các lỗ hổng bảo mật đã xuất hiện trên trình duyệt dấu vân tay và giao diện máy tính từ xa trước đây, không khuyến nghị sử dụng chúng.

Thông qua các biện pháp trên, người dùng có thể giảm thiểu nguy cơ an ninh khi sử dụng các công cụ khác nhau.

Nhóm an ninh ví Web3 của OKX: Đầu tiên, chúng ta hãy xem một ví dụ công khai trong ngành.

比 như, Trình duyệt vân tay Bit cung cấp nhiều tính năng như đăng nhập nhiều tài khoản, ngăn chặn liên kết cửa sổ và mô phỏng thông tin máy tính độc lập, đã được một số người dùng yêu thích. Tuy nhiên, một loạt các sự kiện an ninh vào tháng 8 năm 2023 đã tiết lộ tiềm năng rủi ro của nó. Cụ thể, tính năng “đồng bộ dữ liệu tiện ích” của trình duyệt Bit cho phép người dùng tải lên dữ liệu tiện ích lên máy chủ đám mây và nhanh chóng di chuyển sang thiết bị mới bằng cách nhập mật khẩu. Mặc dù tính năng này được thiết kế với mục đích tiện lợi cho người dùng, nhưng nó cũng có nguy cơ bảo mật. Hacker đã xâm nhập vào máy chủ và lấy được dữ liệu ví tiền của người dùng. Bằng cách tấn công vũ lực, hacker đã giải mã mật khẩu ví tiền của người dùng từ dữ liệu và có được quyền truy cập vào ví tiền. Theo hồ sơ máy chủ, máy chủ lưu trữ bộ nhớ cache đã bị tải xuống bất hợp pháp vào đầu tháng 8 (nhật ký ghi lại cho đến ngày 2 tháng 8). Sự việc này nhắc nhở chúng ta phải cảnh giác với tiềm năng rủi ro bảo mật khi tận hưởng sự tiện lợi.

所 với người dùng, việc đảm bảo công cụ họ sử dụng an toàn và đáng tin cậy là rất quan trọng để tránh rủi ro tấn công của Hacker và rò rỉ dữ liệu. Thông thường, người dùng có thể nâng cao mức độ an toàn theo các phương diện sau.

一、ví cứng sử dụng: 1) Định kỳ cập nhật firmware thông qua kênh chính thức mua. 2) Sử dụng trên máy tính an toàn, tránh kết nối tại nơi công cộng.

二、Sử dụng tiện ích trình duyệt: 1) Hãy sử dụng tiện ích và công cụ của bên thứ ba cẩn thận và chọn sản phẩm uy tín như Ví tiền OKX Web3 càng nhiều càng tốt. 2) Tránh sử dụng tiện ích ví tiền trên các trang web không đáng tin cậy.

Bản dịch: “Sử dụng công cụ phân tích giao dịch: 1) Sử dụng nền tảng đáng tin cậy để thực hiện giao dịch và tương tác hợp đồng. 2) Kiểm tra kỹ địa chỉ hợp đồng và phương thức gọi, tránh nhầm lẫn khi thực hiện.”

Từ điển của Gate.io được thiết kế để hỗ trợ người dùng tra cứu thông tin về các sản phẩm của chúng tôi, nhưng không có nghĩa là chúng tôi cung cấp dịch vụ dịch thuật. Tuy nhiên, tôi sẽ cố gắng dịch câu của bạn sang tiếng Việt: “Bốn, việc sử dụng thiết bị máy tính: 1) Đình kỳ cập nhật hệ thống thiết bị máy tính, cập nhật phần mềm, sửa chữa lỗ hổng bảo mật. 2) Phần mềm chống vi rút, đình kỳ kiểm tra và diệt vi rút hệ thống máy tính.”

Q 5: So với một Ví tiền duy nhất, làm thế nào một người cắt tóc có thể quản lý long Ví tiền và tài khoản an toàn hơn?

**WTF Academy：**Doanh nghiệp cần chú ý đến an toàn tài sản đặc biệt vì người dùng thường xuyên tương tác trên chuỗi, quản lý đồng thời nhiều ví tiền và tài khoản.

一、Sử dụng ví cứng: Ví cứng cho phép người dùng quản lý nhiều tài khoản ví tiền trên cùng một thiết bị, khóa riêng của mỗi tài khoản được lưu trữ trên thiết bị cứng, tương đối đảm bảo tính bảo mật.

Hai, tách chiến lược an toàn & môi trường hoạt động riêng biệt: Đầu tiên là tách chiến lược an toàn, người dùng có thể tách các ví tiền có mục đích khác nhau để phân tán rủi ro. Ví dụ, ví tiền airdrop, ví tiền giao dịch, ví tiền lưu trữ, v.v. Ví dụ khác, ví nóng được sử dụng cho giao dịch hàng ngày và hoạt động lướt sóng, ví lạnh được sử dụng để lưu trữ tài sản quan trọng trong thời gian dài, điều này đồng nghĩa với việc là nếu một ví tiền bị tổn thương, các ví tiền khác sẽ không bị ảnh hưởng.

其次就是分离操作环境，用户可以使用不同设备（例如手机、平板、电脑等）管理不同Ví tiền，防止一个设备的安全问题影响所有Ví tiền。

Ba, quản lý mật khẩu: Người dùng nên đặt mật khẩu mạnh cho mỗi tài khoản ví tiền, tránh sử dụng mật khẩu giống hoặc tương tự nhau. Hoặc sử dụng trình quản lý mật khẩu để quản lý mật khẩu của các tài khoản khác nhau, đảm bảo mỗi mật khẩu độc lập và an toàn.

OKX Đội an ninh Ví Web3: Đối với người dùng đào lông, quản lý nhiều ví và tài khoản một cách an toàn không phải là điều dễ dàng, ví dụ, bạn có thể nâng cao hệ số an ninh ví bằng cách từ các khía cạnh sau:

1、Phân tán rủi ro: 1）Không đặt tất cả tài sản trong một ví tiền, lưu trữ phân tán để giảm thiểu rủi ro. Dựa vào loại tài sản và mục đích sử dụng, lựa chọn các loại ví tiền khác nhau như ví cứng, ví phần mềm, ví lạnh và ví nóng, vv. 2）Sử dụng ví tiền đa ký tự quản lý số lượng tài sản lớn, nâng cao tính bảo mật.

2、Sao lưu và khôi phục: 1）Định kỳ sao lưu từ khóa gợi ý và khóa riêng, lưu trữ ở nhiều địa điểm an toàn. 2）Sử dụng ví cứng để lưu trữ ngoại tuyến, tránh rò rỉ khóa riêng.

**3、避免重复密码：**Đặt mật khẩu mạnh cho mỗi Ví tiền và tài khoản một cách riêng biệt để tránh sử dụng mật khẩu giống nhau, nhằm giảm thiểu nguy cơ một tài khoản bị xâm nhập dẫn đến đe dọa đến các tài khoản khác cùng một lúc.

4. Kích hoạt xác thực hai bước: Trong trường hợp có thể, hãy kích hoạt xác thực hai bước (2FA) cho tất cả các tài khoản để tăng cường bảo mật tài khoản.

**5、Công cụ tự động hóa: **Giảm việc sử dụng các công cụ tự động hóa, đặc biệt là những dịch vụ có thể lưu trữ thông tin của bạn trên đám mây hoặc máy chủ của bên thứ ba, để giảm nguy cơ rò rỉ dữ liệu.

6、Hạn chế quyền truy cập: Chỉ cho phép những người mà bạn tin tưởng truy cập vào ví tiền và tài khoản của bạn, và hạn chế quyền họ thực hiện.

**7、定期检查钱包安全状态：**Sử dụng công cụ để giám sát giao dịch ví tiền, đảm bảo không có giao dịch bất thường xảy ra, nếu phát hiện thông tin riêng tư của ví tiền bị rò rỉ, ngay lập tức thay đổi tất cả các ví tiền và vân vân.

除了以上列举的几个维度外，还有long，无论如何，用户尽可能通过long个维度来确保Ví tiền和资产安全，不要仅仅依赖单一的维度。

Q 6 : Có những đề xuất bảo vệ nào liên quan đến việc trượt giá giao dịch, tấn công MEV và liên quan đến người kiếm tiền tơi tả không?

WTF Academy: Hiểu và phòng ngừa trượt giá giao dịch và tấn công MEV là rất quan trọng, những rủi ro này ảnh hưởng trực tiếp đến chi phí giao dịch và an ninh tài sản.

Người khai thác hoặc robot giao dịch thực hiện giao dịch tương tự trước khi người dùng thực hiện giao dịch, nhằm thu được lợi nhuận. 2) Tấn công bánh mì kẹp, người khai thác chèn lệnh mua và lệnh bán trước và sau giao dịch của người dùng để thu lợi từ biến động giá. 3) Kinh doanh chênh lệch giá: tận dụng sự khác biệt về giá trên các thị trường khác nhau trên chuỗi khối.

Người dùng có thể sử dụng công cụ bảo vệ MEV để gửi giao dịch qua kênh riêng của người khai thác và tránh phát sóng công khai trên chuỗi khối. Hoặc giảm thời gian công khai giao dịch bằng cách giảm thời gian lưu trữ giao dịch trong bể nhớ và sử dụng phí Gas cao hơn để tăng tốc độ xác nhận giao dịch, cũng như tránh giao dịch lớn tập trung trên một nền tảng DEX để giảm rủi ro bị tấn công.

Nhóm an ninh Ví Web3 của OKX: Trượt giá giao dịch là sự chênh lệch giữa giá dự kiến của giao dịch và giá thực tế thực hiện, thường xảy ra khi thị trường biến động mạnh hoặc thanh khoản thấp. Cuộc tấn công MEV là khi kẻ tấn công tận dụng thông tin không đối xứng và đặc quyền giao dịch để thu được lợi nhuận vượt quá. Dưới đây là một số biện pháp bảo vệ phổ biến đối với hai tình huống này:

1、Đặt dung sai trượt giá: Do việc giao dịch trên chuỗi có thể mất một khoảng thời gian nhất định và có thể phải đối mặt với cuộc tấn công MEV, người dùng cần thiết lập trước dung sai trượt giá hợp lý để tránh giao dịch thất bại hoặc mất vốn do biến động thị trường hoặc cuộc tấn công MEV.

2、Giao dịch phân lô: Tránh giao dịch một lần với số lượng lớn, thay vào đó hãy chia thành các lô nhỏ để giao dịch, điều này có thể giảm thiểu ảnh hưởng lên giá trị thị trường và giảm rủi ro trượt giá.

3, sử dụng các cặp giao dịch có thanh khoản cao: khi thực hiện giao dịch, hãy chọn các cặp giao dịch có thanh khoản đủ để giảm thiểu trượt giá.

4、Sử dụng công cụ chống chạy trước: Cố gắng tránh sử dụng Memepool cho các giao dịch quan trọng nhất và có thể sử dụng các công cụ chống chạy trước chuyên nghiệp để bảo vệ giao dịch khỏi bị robot MEV bắt giữ.

Q 7 ：Người dùng có thể sử dụng công cụ giám sát hoặc phương pháp chuyên nghiệp để định kỳ giám sát và phát hiện các tài khoản ví tiền bất thường không?

**WTF Academy：**Người dùng có thể sử dụng nhiều công cụ giám sát và phương pháp chuyên nghiệp để định kỳ giám sát và phát hiện hoạt động bất thường trong ví tiền tài khoản. Những phương pháp này giúp nâng cao tính bảo mật của tài khoản, ngăn chặn truy cập trái phép và ngăn chặn hành vi gian lận tiềm tàng. Dưới đây là một số phương pháp giám sát và phát hiện hiệu quả:

1）Dịch vụ giám sát bên thứ ba: Hiện nay, nhiều nền tảng có thể cung cấp báo cáo chi tiết về hoạt động ví tiền và cảnh báo thời gian thực cho người dùng.

2）Sử dụng plugin an toàn: Một số công cụ an ninh có thể tự động chặn một số trang web lừa đảo.

3）Ví tiền tích hợp các tính năng: Ví tiền OKX Web3 và các ví tiền khác có thể tự động phát hiện và nhận dạng một số trang web lừa đảo và hợp đồng đáng ngờ, cung cấp cảnh báo cho người dùng.

Nhóm an ninh ví Web3 của OKX: Hiện nay, nhiều công ty hoặc tổ chức đều cung cấp một lượng lớn các công cụ để theo dõi và kiểm tra địa chỉ ví tiền, chúng tôi đã tổng hợp một số thông tin công khai trong ngành, ví dụ như:

1. Công cụ giám sát blockchain: sử dụng công cụ phân tích blockchain, giám sát giao dịch bất thường của địa chỉ ví tiền, tình hình thay đổi vốn, thiết lập thông báo giao dịch của địa chỉ.

2、Ví an toàn: Sử dụng các ví chuyên nghiệp như Ví Web3 của OKX để hỗ trợ thực hiện giao dịch trước, phát hiện giao dịch đáng ngờ kịp thời; cũng có thể phát hiện và ngăn chặn giao dịch tương tác với trang web và hợp đồng độc hại kịp thời.

3、Hệ thống cảnh báo（ s）：có thể gửi cảnh báo về giao dịch hoặc thay đổi số dư theo điều kiện được người dùng thiết lập, bao gồm tin nhắn SMS, email hoặc thông báo ứng dụng.

4、OKLink Token Authorization Inquiry: Kiểm tra quyền truy cập của ví tiền đối với DApps, rút ngay quyền truy cập không cần thiết để phòng tránh việc quyền truy cập bị lợi dụng bởi hợp đồng độc hại.

Q 8 ：Làm thế nào để bảo vệ sự riêng tư an toàn on-chain?

WTF Academy: Tính chất công khai và minh bạch của blockchain đã mang lại rất nhiều lợi ích, nhưng cũng có nghĩa là hoạt động giao dịch và thông tin tài sản của người dùng có thể bị lạm dụng, bảo vệ quyền riêng tư trên chuỗi càng trở nên quan trọng hơn bao giờ hết. Tuy nhiên, người dùng có thể bảo vệ quyền riêng tư cá nhân bằng cách tạo và sử dụng nhiều địa chỉ khác nhau. Không khuyến nghị sử dụng trình duyệt dấu vân tay vì đã xuất hiện nhiều lỗ hổng bảo mật trước đây.

Đội an ninh ví tiền Web3 của OKX: Hiện nay, ngày càng có nhiều người dùng bắt đầu chú ý đến bảo vệ quyền riêng tư và an ninh, các phương pháp phổ biến bao gồm

1、long Ví tiền quản lý: phân tán tài sản người dùng, Thả tỷ lệ rủi ro bị theo dõi hoặc tấn công của một ví tiền duy nhất.

2. Sử dụng ví đa chữ ký: Cần có nhiều người ký để thực hiện giao dịch, tăng cường sự an toàn và bảo vệ quyền riêng tư.

3, Ví lạnh: Lưu trữ tài sản giữ lâu dài trong ví cứng hoặc lưu trữ ngoại tuyến để ngăn chặn các cuộc tấn công trực tuyến.

4, không tiết lộ địa chỉ: tránh chia sẻ địa chỉ ví của bạn trên mạng xã hội hoặc nền tảng công khai, để tránh bị người khác theo dõi.

5、Sử dụng địa chỉ email tạm thời: Khi tham gia airdrop hoặc hoạt động khác, hãy sử dụng địa chỉ email tạm thời để bảo vệ thông tin cá nhân không bị tiết lộ.

Q 9 ：Nếu tài khoản ví bị đánh cắp, người dùng phải làm gì? Có nỗ lực hoặc cơ chế nào để giúp người dùng khôi phục tài sản bị mất và bảo vệ tài sản của họ không?

Học viện WTF: Chúng tôi tập trung vào cuộc tấn công lừa đảo và rò rỉ khóa riêng/ từ khóa ghi nhớ tại WTF Academy.

首先, khi xảy ra cuộc tấn công lừa đảo, tài sản mà người dùng đã ủy quyền cho hacker sẽ được chuyển vào ví tiền của hacker và khó khăn trong việc cứu đóng/đòi lại; nhưng số dư tài sản còn lại trong ví của người dùng là tương đối an toàn. Nhóm RescuETH đề nghị người dùng thực hiện các biện pháp sau đây:

1. Rút lại sự ủy quyền tài sản cho Hacker.

2）Liên hệ với công ty an ninh để theo dõi tài sản bị đánh cắp và địa chỉ hacker.

其次, khi khóa riêng / mnemonics bị rò rỉ, tất cả tài sản có giá trị trong ví người dùng sẽ được chuyển đến ví của hacker, phần này gần như không thể cứu kịp / hồi phục, nhưng tài sản hiện tại trong ví người dùng không thể chuyển đi có thể được cứu kịp, như tài sản thế chấp chưa được mở khóa và airdrop chưa được phân phát, đó cũng là mục tiêu cứu kịp chính của chúng tôi. Đội RescuETH đề xuất người dùng thực hiện các biện pháp sau:

1）Kiểm tra ngay lập tức xem có tài sản nào chưa được chuyển đi bởi hacker trong ví tiền không, nếu có, hãy chuyển ngay sang ví tiền an toàn. Đôi khi hacker có thể bỏ sót một số tài sản trên chuỗi khối ít người dùng.

2）Nếu ví tiền có tài sản thế chấp chưa được mở khóa và Airdrop chưa được phát, bạn có thể liên hệ với đội ngũ chuyên nghiệp để được cứu trợ.

3. Nếu nghi ngờ đã cài đặt phần mềm độc hại, hãy nhanh chóng quét virus và xóa phần mềm độc hại trên máy tính. Nếu cần thiết, bạn có thể cài đặt lại hệ điều hành.

Hiện tại, chúng tôi đã thử nhiều phương pháp để cứu giúp tài sản của người dùng bị đánh cắp.

“Đầu tiên, chúng tôi là nhóm đầu tiên thực hiện cứu hộ tài sản từ ví bị đánh cắp. Trong sự kiện Airdrop của Arbitrum vào tháng 3 năm 2023, tôi đã thu thập hơn 40 chìa khóa riêng của các ví bị rò rỉ từ gần 20 người hâm mộ và đánh đào hacker để tranh giành Airdrop $ARB. Cuối cùng, chúng tôi đã thành công cứu hộ được hơn 40,000 đô la ARB, tỷ lệ thành công 80%.”

Thứ hai, khi ví người dùng bị đánh cắp, tài sản có giá trị kinh tế sẽ bị hacker chuyển đi, trong khi NFT hoặc ENS không có giá trị kinh tế nhưng có giá trị kỷ niệm đối với người dùng vẫn còn trong ví. Tuy nhiên, do ví bị hacker giám sát, Gas được chuyển vào sẽ ngay lập tức bị hacker chuyển đi, người dùng không thể chuyển tiếp phần tài sản này. Để giải quyết vấn đề này, chúng tôi đã phát triển một ứng dụng tự cứu: RescuETH App, dựa trên công nghệ MEV gói Flashbots bundle, có thể đóng gói các giao dịch Gas vào và chuyển tiếp giao dịch NFT/ENS để ngăn chặn tập lệnh theo dõi của hacker, từ đó thành công trong việc cứu vớt tài sản. Hiện tại, RescuETH App đang trong giai đoạn thử nghiệm, dự kiến ​​bắt đầu công khai vào tháng 6.

第 ba, chúng tôi cung cấp dịch vụ cứu hộ white hat có thể tùy chỉnh và có phí cho phần tài sản có thể cứu hộ trong ví bị đánh cắp của người dùng (tiền gửi thế chấp chưa mở khóa và airdrop chưa phát). Hiện tại, nhóm white hat của chúng tôi gồm gần 20 chuyên gia an ninh/MEV, đã cứu hơn 3 triệu nhân dân tệ tài sản trong ví bị đánh cắp trên các chuỗi như ETH, Solana, Cosmos, v.v.

**Nhóm an ninh Ví Web3 của OKX: **Chúng tôi tiến hành từ 2 góc độ: biện pháp bảo vệ người dùng và cơ chế bảo mật của Ví Web3 OKX.

Một, biện pháp người dùng

Ngay khi phát hiện ví tiền của mình bị đánh cắp, người dùng nên ngay lập tức thực hiện các biện pháp sau đây:

1. Các biện pháp ứng phó khẩn cấp

1）Chuyển tiền ngay lập tức: Nếu ví còn có tiền, hãy chuyển ngay lập tức đến địa chỉ mới an toàn.

2. Hủy ủy quyền: Hủy bỏ tất cả ủy quyền ngay lập tức thông qua công cụ quản lý để ngăn chặn thêm tổn thất.

3. Theo dõi luồng tiền: Theo dõi kịp thời luồng tiền bị đánh cắp, tổ chức thông tin chi tiết về quá trình bị đánh cắp để tìm kiếm sự trợ giúp từ bên ngoài.

2、Hỗ trợ từ cộng đồng và các bên liên quan đến dự án

1）Tìm kiếm sự trợ giúp từ dự án và cộng đồng: Báo cáo sự việc cho dự án và cộng đồng, đôi khi dự án có thể đóng băng hoặc khôi phục tài sản bị đánh cắp. Ví dụ, USDC có cơ chế danh sách đen, có thể ngăn chặn chuyển tiền.

2）Tham gia tổ chức an ninh blockchain: Tham gia các tổ chức hoặc nhóm liên quan đến an ninh blockchain, sử dụng sức mạnh tập thể để giải quyết vấn đề.

3）Liên hệ với dịch vụ hỗ trợ ví tiền: Liên hệ ngay với nhóm hỗ trợ khách hàng của ví tiền để tìm kiếm sự trợ giúp và hướng dẫn chuyên nghiệp.

Ví Web3 của OKX được bảo đảm an toàn

OKX Ví Web3 cao cấp rất chú trọng đến an ninh tài sản người dùng, và liên tục đầu tư vào việc bảo vệ tài sản người dùng, cung cấp cơ chế bảo mật đa lớp để đảm bảo an toàn cho tài sản kỹ thuật số của người dùng.

1）Thư viện nhãn địa chỉ đen: Ví Web3 OKX đã xây dựng một thư viện nhãn địa chỉ đen phong phú, ngăn chặn người dùng tương tác với các địa chỉ độc hại đã biết. Thư viện nhãn này được cập nhật liên tục để đối phó với các mối đe dọa bảo mật thay đổi liên tục, đảm bảo an toàn tài sản của người dùng.

2）安全插件：Ví Web3 OKX cung cấp chức năng bảo vệ chống lừa đảo tích hợp sẵn, giúp người dùng nhận biết và ngăn chặn các liên kết và yêu cầu giao dịch độc hại tiềm năng, nâng cao tính bảo mật của tài khoản người dùng.

3）24 giờ hỗ trợ trực tuyến: Ví Web3 OKX cung cấp hỗ trợ trực tuyến 24 giờ cho khách hàng, theo dõi sự cố mất cắp và lừa đảo tài sản của khách hàng kịp thời, đảm bảo người dùng có thể nhanh chóng nhận được sự trợ giúp và hướng dẫn.

4）Người dùng giáo dục: Ví Web3 OKX thường xuyên phát hành các lời nhắc an toàn và tài liệu giáo dục, giúp người dùng nâng cao ý thức an toàn, hiểu cách phòng ngừa các rủi ro an ninh phổ biến và bảo vệ tài sản của họ.

Q1 0 ：Có thể chia sẻ về công nghệ bảo mật tiên tiến, ví dụ như việc sử dụng trí tuệ nhân tạo để tăng cường bảo vệ an toàn?

WTF Academy: An ninh trong lĩnh vực blockchain và Web3 là một lĩnh vực đang tiếp tục phát triển, với nhiều công nghệ và phương pháp bảo mật tiên tiến đang xuất hiện. Hiện tại, có một số công nghệ bảo mật nổi bật như sau:

1）Kiểm toán hợp đồng thông minh：Sử dụng trí tuệ nhân tạo và học máy để tự động hóa việc kiểm toán an ninh của hợp đồng thông minh, có thể phát hiện lỗ hổng và rủi ro tiềm ẩn trong hợp đồng thông minh, cung cấp phân tích nhanh hơn và toàn diện hơn so với việc kiểm toán thủ công truyền thống.

2）Phát hiện hành vi bất thường: Sử dụng thuật toán học máy để phân tích giao dịch trên chuỗi và mô hình hành vi, phát hiện hoạt động bất thường và mối đe dọa an ninh tiềm năng. Trí tuệ nhân tạo có thể nhận dạng các mô hình tấn công phổ biến (như tấn công MEV, tấn công lừa đảo) và hành vi giao dịch bất thường, cung cấp cảnh báo thời gian thực.

3. Phát hiện gian lận: Trí tuệ nhân tạo có thể phân tích lịch sử giao dịch và hành vi người dùng, nhận ra và đánh dấu các hoạt động gian lận có thể có.

Nhóm an ninh Ví Web3 OKX: Hiện nay, trí tuệ nhân tạo (AI) đã có nhiều ứng dụng thực tế trong lĩnh vực Web3, dưới đây là một số tình huống sử dụng AI để tăng cường an ninh cho Web3:

Đầu tiên, phát hiện và ngăn chặn sự xâm nhập: Sử dụng trí tuệ nhân tạo và mô hình học máy để phân tích mô hình hành vi của người dùng, phát hiện các hoạt động bất thường. Ví dụ, có thể sử dụng mô hình học sâu để phân tích hành vi giao dịch và hoạt động của ví tiền, nhận dạng các hành vi độc hại tiềm năng hoặc hoạt động bất thường.

第二，AI có thể phân tích nội dung trang web và các đặc điểm liên kết để nhận biết và ngăn chặn các trang web lừa đảo, bảo vệ người dùng khỏi mối đe dọa của cuộc tấn công lừa đảo trên mạng.

第三，恶意软件检测：AI có thể phân tích hành vi và đặc điểm của tệp tin để phát hiện phần mềm độc hại mới và chưa biết, ngăn người dùng tải xuống và thực thi các chương trình độc hại.

Điều thứ tư, phản ứng đe dọa tự động: Trí tuệ nhân tạo (AI) có thể tự động phản ứng bằng cách đóng băng tài khoản hoặc thực hiện các biện pháp bảo vệ khác khi phát hiện hoạt động bất thường.

最后，cảm ơn mọi người đã theo dõi số 03 của chuyên mục “Bản Tin An Toàn” của Ví Web3 OKX, hiện tại chúng tôi đang chuẩn bị nhanh chóng cho nội dung của số 04, không chỉ có các trường hợp thực tế, nhận diện rủi ro, mà còn có các hướng dẫn về an toàn, giữ nguyên!

Miễn trừ trách nhiệm

本文仅供参考，本文无意提供 (i) 投资建议或投资推荐；(ii) 购买、出售或持有tài sản kỹ thuật số的要约或招揽；或 (iii) 财务、会计、法律或税务建议。 持有的tài sản kỹ thuật số（包括稳定币和 NFTs）涉及高风险，可能会大幅Biến động，甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有tài sản kỹ thuật số是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。