“Rừng đen”, nguyên mẫu từ “Tam Thể” và cũng là nguyên tắc xã hội vũ trụ, là sự tóm tắt trần trụi nhất về lĩnh vực an ninh Web3 hiện tại:
Ngành công nghiệp mã hóa, đặc biệt là lĩnh vực chuỗi khối như một lĩnh vực mới nổi, có đủ không gian tưởng tượng và cách chơi sáng tạo, nhưng đồng thời cũng giống như một “rừng tối tăm”, cả người dùng cũ lẫn người chơi mới, để hiểu rõ các rủi ro mà có thể gặp phải khi sử dụng chuỗi khối và cố gắng tránh chúng, là một chủ đề vĩnh viễn chúng ta phải học hỏi.
Gần đây, một trò lừa đảo nhắm vào người dùng ví không giam giữ cũng đã trở nên phổ biến, sử dụng tính năng Ví quan sát (ví hỗ trợ “Chế độ quan sát”) để bẫy nạn nhân một cách không nghi ngờ thông qua cơ chế tin cậy giả mạo và chuỗi logic được thiết kế tốt, có vẻ thô sơ đối với người dùng trung bình, nhưng cực kỳ lừa đảo và phá hoại.
Kẻ lừa đảo tận dụng sự không quen thuộc của người dùng mới với công nghệ phi tập trung và quy trình hoạt động ví để lấy cắp tài sản điện tử. Trong bối cảnh này, việc hiểu và cảnh giác với những rủi ro an ninh phổ biến nhưng nguy hiểm trở nên đặc biệt quan trọng, bài viết này sẽ phân tích chi tiết mô hình hoạt động của hình thức lừa đảo mới này và cung cấp cho người dùng một loạt các kỹ thuật phòng ngừa.
Mô hình “Ví đồng hồ” cho ví không giam giữ là gì?
Như mọi người đều biết, việc quan sát chế độ ví tiền là một đặc điểm của ví tiền mã hóa không quản lý, cho phép người dùng xem số dư và lịch sử giao dịch của địa chỉ ví cụ thể.
Do vẻ minh bạch của blockchain, tất cả địa chỉ ví trên chuỗi, số dư tương ứng và lịch sử giao dịch đều được hiển thị minh bạch. Người dùng có thể nhập bất kỳ địa chỉ ví blockchain nào vào trình duyệt blockchain hoặc các công cụ khác để xem số dư tài sản và lịch sử giao dịch trên chuỗi, bao gồm cả thu, chuyển khoản, ủy quyền trên chuỗi và trong quá trình này, danh tính của chủ sở hữu ví vẫn được giữ ẩn danh, trừ khi họ tự nguyện tiết lộ.
Và ví SafePal, với vai trò là một loại ví không được giám sát, cũng cung cấp chế độ theo dõi ví, ví dụ như khi người dùng tạo ví mới, họ có thể chọn tạo ví mới, khôi phục ví cũ, hoặc chọn chế độ nhập theo dõi ví (nhấn vào đây để xem hướng dẫn chính thức của SafePal về chế độ nhập theo dõi ví).
Dưới đây là một hình ảnh so sánh giữa chế độ xem ví và trang chủ ví thông thường. Từ đó, chúng ta có thể nhận thấy rằng ví xem chỉ cho phép xem số dư, nhưng không có các tùy chọn chuyển tiền, đổi tiền nhanh, v.v.
Khi người dùng nhập chế độ xem ví quan sát, chỉ cần điền địa chỉ ví, người dùng có thể dễ dàng xem số dư trên chuỗi và lịch sử giao dịch của ví trong ví. Tuy nhiên, vì ví quan sát không đại diện cho quyền sở hữu thực tế của ví, chỉ cung cấp chức năng xem, do đó người dùng không thể thực hiện các hoạt động liên quan đến tài sản trong ví ở chế độ ví quan sát.
Do đó, mô hình ví quan sát thường được công chúng sử dụng để theo dõi và giám sát các quỹ trên chuỗi và xu hướng của các địa chỉ ví cụ thể, chẳng hạn như giám sát quy định về chống rửa tiền blockchain, dấu vết quỹ của các sự kiện hack, v.v.
Tuy nhiên, cần chú ý rằng, nó không hỗ trợ người dùng thực hiện bất kỳ giao dịch chuyển tiền nào đối với địa chỉ ví, cũng không giống như việc sở hữu đềa chỉ ví cụ thể, chỉ có người dùng có khác biệt với khóa riêng tư/văn mọn có thể truy cập và quản lý tài sản trong địa chỉ ví.
Và phương pháp lừa đảo mà chúng tôi đề cập đến hôm nay là các kẻ lừa đảo sử dụng sự không quen thuộc của người dùng với kiến thức nền tảng này để thiết kế bẫy lừa.
Trò lừa đảo “Ví đồng hồ” hoạt động như thế nào?
Thực tế, cốt lõi hoạt động của vụ lừa đảo này là kẻ lừa đảo liên lạc và điều khiển nạn nhân, làm cho họ tin rằng họ có thể truy cập vào số tiền trong địa chỉ ví (thường là địa chỉ ví chứa số tiền lớn) và thông báo cho người dùng bị lừa đảo rằng họ cần thực hiện giao dịch để mở khóa số tiền của họ. Nhưng thực tế, họ chỉ có thể xem số dư ví, không có quyền truy cập hoặc quyền sở hữu nào.
Dưới đây là cách hoạt động điển hình của một chiêu trò lừa đảo như sau:
Những kẻ lừa đảo tiếp cận người dùng: Những kẻ lừa đảo mạo danh các chuyên gia hỗ trợ của nhóm ví, những người thường liên hệ với người dùng thông qua các nền tảng truyền thông xã hội như Twitter, Telegram hoặc Reddit và bắt đầu cuộc trò chuyện bằng cách cung cấp “trợ giúp” hoặc “đầu tư” cho các vấn đề liên quan đến ví. Ngoài ra còn có một số kẻ lừa đảo có thể đăng “bài đăng tìm kiếm trợ giúp giả mạo” trên Internet, chẳng hạn như “Tôi có vấn đề với tiền ở đây, tôi không thể rút tiền, bất cứ ai có thể giúp tôi lấy nó ra, tôi sẵn sàng trả rất nhiều lời cảm ơn” và những thứ tương tự.
Tin tức giả mạo: Những kẻ lừa đảo tuyên bố rằng ví của người dùng cần được “xác minh” hoặc “nâng cấp” để truy cập vào số tiền bên trong. Họ thường hướng dẫn người dùng tải xuống ứng dụng ví từ cửa hàng ứng dụng để có vẻ như họ đang hướng dẫn người dùng qua quy trình tạo ví thông thường.
Nhập địa chỉ ví: Sau đó, kẻ lừa đảo yêu cầu người dùng nhập địa chỉ ví trong chế độ theo dõi để họ có thể xem số dư của ví, trong đó có thể bao gồm một lượng lớn tiền điện tử. Kẻ lừa đảo sẽ tiếp tục khẳng định người dùng cần phải thanh toán Phí Gas hoặc gửi thêm tiền điện tử vào địa chỉ ví được chỉ định, đây là một cách làm cho người dùng tin rằng họ cần phải thanh toán phí mới có thể mở khóa số tiền trong địa chỉ ví đó.
Lừa đảo tiền: Ngay khi người dùng gửi tiền đi địa chỉ của kẻ lừa đảo, họ sẽ không nhận được bất kỳ sự trả lại nào và kẻ lừa đảo sẽ biến mất. Trong trường hợp khác, kẻ lừa đảo có thể tiếp tục yêu cầu gửi thêm tiền hoặc chuyển tiền đến địa chỉ ví thông qua các lý do giả mạo khác.
Tại sao mô hình lừa đảo này hiệu quả?
Lý do tại sao chiêu lừa này hiệu quả là do người dùng thường không hoàn toàn hiểu rằng do tính minh bạch của blockchain, tất cả các địa chỉ ví đều có thể được theo dõi và xem trên chuỗi, việc xem số dư trong địa chỉ ví có thể khiến người dùng không có kinh nghiệm nhầm tưởng rằng điều này tương đương với việc truy cập hoặc sở hữu ví, nhưng thực tế nó chỉ là việc xem thôi.
Trong trò lừa đảo này, kẻ lừa đảo lợi dụng sự thiếu hiểu biết của nạn nhân về mẫu ví, mặt khác, sử dụng quy trình trò chuyện để kích thích lòng tham hoặc sự cảm thông của nạn nhân.
Làm thế nào để bảo vệ chính mình? Rất đơn giản, nếu bạn đang sử dụng SafePal hoặc bất kỳ ví tiền điện tử phi tập trung hoặc không được giám sát nào khác, hãy chắc chắn chú ý đến những lời khuyên an toàn sau đây để tránh rơi vào các chiêu trò lừa đảo:
Không tin vào tin nhắn từ người lạ trong riêng tư: Trong điều kiện bình thường, đội ngũ chính thức của ví tiền không bao giờ liên hệ người dùng qua mạng xã hội hoặc tin nhắn trực tiếp (DM), mọi tin nhắn tự đề nghị giúp đỡ và cơ hội làm giàu hoặc yêu cầu thông tin cá nhân đều nên được xem xét cẩn thận.
Hiểu chế độ quan sát hoặc xem địa chỉ ví trên chuỗi: Cho dù đó là SafePal hay ví không giam giữ khác, chế độ ví quan sát là một tính năng cho phép người dùng theo dõi số dư và lịch sử giao dịch của ví, nhưng không cho phép bất kỳ chuyển khoản hoặc rút tiền nào (khóa riêng hoặc cụm từ ghi nhớ là bắt buộc để thực sự truy cập vào địa chỉ ví được chỉ định), người dùng không thể chuyển tiền từ ví trong chế độ quan sát, vì vậy nếu ai đó yêu cầu bạn “mở khóa” hoặc “truy cập” tiền trong chế độ ví quan sát, đừng nghi ngờ, Đó là một trò lừa đảo;
Tránh gửi tiền đến các địa chỉ không xác định: Nếu ai đó yêu cầu bạn gửi tiền đến một địa chỉ không xác định để “mở khóa” tài sản tiền điện tử của bạn, đây là một lá cờ đỏ và những kẻ lừa đảo thường sẽ yêu cầu người dùng trả phí gas hoặc các khoản phí khác, nhưng SafePal và hầu hết các nền tảng ví hợp pháp không bao giờ yêu cầu người dùng chuyển tiền đến một địa chỉ cụ thể để mở khóa tiền;
Chỉ tải xuống ứng dụng từ các trang web chính thức: Đảm bảo bạn chỉ tải xuống ứng dụng ví từ các cửa hàng ứng dụng chính thức, chẳng hạn như Cửa hàng Google Play hoặc Apple App Store và tránh tải xuống từ các trang web hoặc liên kết chưa được xác minh, vì những ứng dụng này có thể là ứng dụng độc hại hoặc lừa đảo;
Báo cáo hoạt động đáng ngờ: Nếu bạn gặp phải tin nhắn đáng ngờ hoặc lừa đảo tiềm ẩn, bạn có thể báo cáo chúng cho các kênh chính thức của ví ngay lập tức, điều này có thể giúp bảo vệ cộng đồng và ngăn chặn những người khác trở thành nạn nhân của lừa đảo.
Kết luận
「Không phải khóa của bạn, không phải tiền của bạn」。
Điều này thực sự cũng là một trong những câu nói tàn nhẫn nhất trong Web3, sau tất cả, “phi tập trung” và “trách nhiệm chủ thể về an ninh” chính là hai mặt của cùng một đồng tiền, khi quyền sở hữu tài sản thực sự được trao trả lại cho sự kiểm soát cá nhân, cũng buộc mỗi người dùng phải tự chịu trách nhiệm về tài sản của mình, hoàn toàn bước vào “rừng rậm đen tối”.
Vì vậy, với sự phát triển đa dạng của các phương pháp lừa đảo trên chuỗi, việc học và hiểu về nguyên tắc hoạt động của ví phi tập trung và ví phi tập trung trên chuỗi đã trở thành kỹ năng sống không thể thiếu của mỗi người dùng Web3, cùng với việc hiểu về các phương pháp lừa đảo phổ biến.
Luôn cảnh giác và an toàn vượt qua “khu rừng tối” trên chuỗi là điều bắt buộc để mỗi chúng ta thích nghi với các quy tắc của thế giới phi tập trung.
