Tác giả: INSIGHTFUL; Trình biên dịch: Shenchao TechFlow
Không có gì trong hướng dẫn này được đảm bảo và không được viết dưới góc độ của một "chuyên gia về tiền điện tử hoặc an ninh mạng" mà dựa trên quá trình học hỏi liên tục từ nhiều nguồn và kinh nghiệm cá nhân.
Ví dụ mình mới vào lĩnh vực này bị lừa do sợ bỏ lỡ (FOMO) và lòng tham (lừa đảo phát sóng trực tiếp giả và robot MEV giả lừa đảo). Vì vậy, tôi đã dành thời gian để tìm hiểu, thiết lập và hiểu rõ về bảo mật.
Đừng trở thành người buộc phải học bảo mật vì họ mất tất cả hoặc nhiều tài sản.
"Các cuộc tấn công của hacker" hoặc sự xâm phạm của tất cả các loại ví, mã thông báo hoặc NFT có thể được chia thành hai loại:
Lạm dụng phê duyệt mã thông báo đã được cấp trước đó.
Rò rỉ khóa riêng hoặc cụm từ ghi nhớ (thường xảy ra trên ví nóng).
Phê duyệt mã thông báo Trên thực tế Các quyền cho phép một hợp đồng thông minh để truy cập và di chuyển một loại hoặc số lượng token cụ thể trong ví của bạn.
Ví dụ:
Cho phép OpenSea di chuyển NFT của bạn để bạn có thể bán nó.
Cấp cho Uniswap quyền sử dụng token của bạn để trao đổi.
Theo thông tin cơ bản, về cơ bản mọi thứ trên mạng Ethereum, ngoại trừ ETH, đều là mã thông báo ERC-20.
Một tính năng của mã thông báo ERC-20 là khả năng cấp quyền phê duyệt cho các hợp đồng thông minh khác.
Đôi khi, bạn sẽ cần phải có những phê duyệt này nếu muốn tham gia vào các tương tác DeFi cốt lõi (như hoán đổi hoặc bắc cầu mã thông báo).
NFT lần lượt là các token ERC-721 và ERC-1155; cơ chế phê duyệt của chúng tương tự như ERC-20, nhưng dành cho thị trường NFT.
Lời nhắc phê duyệt mã thông báo ban đầu của MetaMask (MM) cung cấp một số thông tin, trong đó có liên quan nhất là:
Bạn đang cấp mã thông báo đã được phê duyệt
Hợp đồng thông minh mà bạn đang tương tác
Trong In the Menu thả xuống chi tiết đầy đủ, chúng tôi thấy một thông tin bổ sung: Chức năng phê duyệt.
Tất cả mã thông báo ERC-20 phải có các đặc điểm và thuộc tính nhất định như được nêu trong tiêu chuẩn ERC-20.
Một trong số đó là khả năng hợp đồng thông minh di chuyển mã thông báo dựa trên số tiền được phê duyệt.
Mối nguy hiểm với những phê duyệt này là nếu bạn cấp quyền mã thông báo cho một hợp đồng thông minh độc hại, tài sản của bạn có thể bị đánh cắp hoặc cạn kiệt.
Nhiều ứng dụng DeFi theo mặc định sẽ nhắc bạn phê duyệt không giới hạn mã thông báo ERC-20.
Điều này được thực hiện để cải thiện trải nghiệm người dùng vì nó thuận tiện hơn và không yêu cầu phê duyệt bổ sung trong tương lai, do đó tiết kiệm thời gian và chi phí gas.
Việc cho phép phê duyệt số lượng token không giới hạn có thể khiến tiền của bạn gặp rủi ro.
Việc đặt thủ công phê duyệt mã thông báo ở một số lượng cụ thể sẽ giới hạn số lượng mã thông báo tối đa mà dApp có thể di chuyển mà không cần ký phê duyệt mới, lớn hơn.
Điều này có thể giảm thiểu rủi ro cho bạn khi hợp đồng thông minh bị khai thác. Nếu bạn cấp quyền phê duyệt không giới hạn cho một dApp và dApp đó trở nên dễ bị tấn công, bạn có thể mất tất cả các mã thông báo đã được phê duyệt từ ví chứa những tài sản đó và đã được cấp phê duyệt đó.
Ví dụ: Multichain WETH (WETH là trình bao bọc mã thông báo ERC-20 cho ETH) đã gặp phải lỗ hổng như vậy.
Cây cầu thường được sử dụng này đã bị tấn công vì lạm dụng quyền mã thông báo không giới hạn trước đây, dẫn đến việc đánh cắp tiền của người dùng.
Dưới đây là ví dụ (sử dụng ví Zerion) cho biết cách thay đổi phê duyệt không giới hạn mặc định thành phê duyệt thủ công.
"setApprovalForAll" cho NFT
Đây là sự chấp thuận thường được sử dụng nhưng tiềm ẩn nguy hiểm thường được cấp cho thị trường NFT đáng tin cậy khi bạn muốn bán NFT.
Điều này cho phép các hợp đồng thông minh của thị trường chuyển NFT của bạn. Vì vậy, khi bạn bán NFT cho người mua, hợp đồng thông minh của thị trường có thể tự động chuyển NFT cho người mua.
Sự phê duyệt này cấp quyền truy cập vào tất cả mã thông báo NFT cho một bộ sưu tập hoặc địa chỉ hợp đồng cụ thể.
Điều này cũng có thể được các trang web hoặc hợp đồng độc hại sử dụng để đánh cắp NFT của bạn.
Classic The "thu hẹp tài khoản ví" trong trường hợp truyền miễn phí FOMO là như thế này:
Lượt truy cập của người dùng một trang web độc hại mà họ tin là hợp pháp.
Khi họ kết nối ví của mình với một trang web, trang web đó chỉ có thể xem nội dung của ví.
Tuy nhiên, trang web độc hại sẽ quét ví để tìm NFT có giá trị cao nhất và nhắc người dùng rút hợp đồng cho NFT đó khỏi Địa chỉ MetaMask (MM) thành "Đặt tất cả phê duyệt".
Người dùng nghĩ rằng họ đang đúc NFT, nhưng thực tế họ đang cấp cho các hợp đồng độc hại quyền di chuyển các mã thông báo này.
Sau đó, kẻ lừa đảo đánh cắp mã thông báo và thanh lý chúng để đấu giá trên OpenSea hoặc Blur trước khi mặt hàng được đánh dấu là bị đánh cắp ở giữa.
Việc phê duyệt yêu cầu thanh toán gas phí , vì chúng liên quan đến việc xử lý giao dịch.
Việc ký không cần gas và thường được sử dụng để đăng nhập vào dApp nhằm chứng minh quyền kiểm soát ví của bạn.
Ký tên nói chung là một hoạt động có rủi ro thấp nhưng vẫn có thể được sử dụng để khai thác các phê duyệt đã được cấp trước đó đối với các trang web đáng tin cậy như OpenSea.
Đối với mã thông báo ERC-20, bạn cũng có thể sửa đổi phê duyệt của mình thông qua chữ ký không cần gas, vì chức năng cấp phép gần đây đã được giới thiệu trên Ethereum.
Bạn có thể thấy điều này nếu bạn sử dụng sàn giao dịch phi tập trung (DEX) như 1inch.
Hãy thận trọng khi đưa ra bất kỳ phê duyệt nào và đảm bảo rằng bạn biết những gì bạn Mã thông báo nào được phê duyệt và hợp đồng thông minh nào (sử dụng etherscan).
Hạn chế rủi ro phê duyệt của bạn:
Sử dụng nhiều ví (phê duyệt dành riêng cho từng ví) - không ký phê duyệt cho kho tiền hoặc ví có giá trị cao của bạn.
Lý tưởng nhất là giảm hoặc tránh hoàn toàn việc cấp phê duyệt không hạn chế cho mã thông báo ERC-20.
Kiểm tra và thu hồi phê duyệt định kỳ thông qua etherscan hoặc revoke.cash.
Ví nóng Kết nối với Internet thông qua máy tính hoặc điện thoại di động của bạn, đồng thời các khóa và thông tin xác thực về ví được lưu trữ trực tuyến hoặc cục bộ trong trình duyệt của bạn.
Ví lạnh là thiết bị phần cứng nơi khóa được tạo và lưu trữ hoàn toàn ngoại tuyến và gần gũi với bạn về mặt vật lý.
Vì Sổ cái có giá khoảng 120 USD, nếu bạn có hơn 1000 USD tiền điện tử, có lẽ bạn nên mua và thiết lập Sổ cái. Bạn có thể kết nối ví Ledger của mình với MetaMask (MM) để tận hưởng chức năng tương tự như các ví nóng khác trong khi vẫn duy trì mức độ bảo mật.
Ledger và Trezor là những lựa chọn phổ biến nhất. Tôi thích Ledger vì nó có khả năng tương thích tốt nhất với ví trình duyệt (tương tự Rabby và MM).
Luôn mua từ trang web chính thức của nhà sản xuất, không bao giờ mua trên Ebay hoặc Amazon - chúng có thể bị giả mạo hoặc cài đặt sẵn phần mềm độc hại.
Đảm bảo bao bì được niêm phong khi bạn nhận được hàng.
Lần đầu tiên bạn thiết lập Sổ cái, nó sẽ tạo ra một cụm từ ghi nhớ.
Chỉ viết cụm từ ghi nhớ của bạn trên giấy cứng hoặc trên một tấm thép trong tương lai để đảm bảo cụm từ ghi nhớ của bạn chống cháy và không thấm nước.
Không bao giờ chụp ảnh hoặc gõ cụm từ ghi nhớ trên bất kỳ bàn phím nào (kể cả điện thoại di động) - điều này sẽ số hóa cụm từ ghi nhớ và ví lạnh của bạn sẽ trở thành Ví nóng không an toàn.
Tài sản tiền điện tử không được lưu trữ trên ví phần cứng mà được lưu trữ trong ví "trong" được tạo từ các cụm từ ghi nhớ.
Cụm từ ghi nhớ (12-24 từ) là tất cả những gì cần thiết và phải được bảo vệ và bảo mật bằng mọi giá.
Nó cung cấp toàn quyền kiểm soát và quyền truy cập vào tất cả các ví được tạo theo cụm từ ghi nhớ này.
Cụm từ ghi nhớ không dành riêng cho thiết bị và bạn có thể "nhập" nó vào ví phần cứng khác để dự phòng nếu cần.
Nếu cụm từ ghi nhớ bị mất hoặc bị hỏng và ví phần cứng gốc cũng bị mất, hư hỏng hoặc bị khóa, bạn sẽ vĩnh viễn mất quyền truy cập vào tất cả nội dung.
Có nhiều cách để lưu trữ các ghi nhớ, chẳng hạn như chia nó thành nhiều phần, tăng khoảng cách vật lý giữa các phần và cất giữ nó ở một nơi kín đáo ( Ví dụ: , một hộp súp ở dưới cùng của tủ lạnh, một nơi nào đó dưới lòng đất trong khuôn viên nhà bạn, v.v.).
Ít nhất bạn nên có 2-3 bản, một trong số đó phải được làm bằng thép để chống nước và lửa.
"Private key" tương tự như một cụm từ ghi nhớ nhưng chỉ dành cho một ví cụ thể. Nó thường được sử dụng để nhập ví nóng vào tài khoản MetaMask (MM) mới hoặc để sử dụng trong các công cụ tự động như bot giao dịch.
Ngoài từ ghi nhớ 24 từ ban đầu, Ledger cũng cung cấp một tính năng bảo mật bổ sung tùy chọn.
Cụm mật khẩu là tính năng nâng cao thêm từ thứ 25 bạn chọn, tối đa 100 ký tự vào cụm từ khôi phục của bạn.
Việc sử dụng cụm mật khẩu sẽ tạo ra một nhóm địa chỉ hoàn toàn khác mà không thể truy cập được chỉ bằng cụm từ khôi phục 24 từ.
Ngoài việc thêm một lớp bảo mật, cụm mật khẩu còn mang lại khả năng từ chối hợp lý nếu bạn bị xâm phạm.
Nếu bạn sử dụng cụm mật khẩu, hãy đảm bảo lưu trữ cụm mật khẩu đó một cách an toàn hoặc ghi nhớ chính xác, theo từng ký tự và phân biệt chữ hoa chữ thường.
Đây là biện pháp phòng vệ duy nhất và cuối cùng trước một tình huống đe dọa về thể chất như cuộc tấn công bằng cờ lê 5 đô la.
Tại sao phải tốn quá nhiều công sức để thiết lập ví phần cứng?
Ví nóng lưu trữ khóa riêng ở một vị trí được kết nối với Internet.
Rất dễ bị lừa, đánh lừa và thao túng để tiết lộ những thông tin xác thực này qua Internet.
Có ví lạnh có nghĩa là những kẻ lừa đảo cần tìm và lấy được Sổ cái hoặc cụm từ ghi nhớ của bạn để truy cập vào các ví này và tài sản bên trong chúng.
Khi cụm từ ghi nhớ bị xâm phạm, tất cả ví nóng và tài sản trong đó sẽ gặp rủi ro, ngay cả những ví chưa tương tác với các trang web hoặc hợp đồng độc hại.
Trước đây, mọi người đã bị hack thông qua ví nóng Các cách "hack" phổ biến (rò rỉ cụm từ ghi nhớ) bao gồm:
Bị lừa Tải xuống phần mềm độc hại, chẳng hạn như thông qua các bản PDF mời làm việc, trò chơi beta, chạy macro thông qua Google Trang tính hoặc mạo danh các trang web và dịch vụ hợp pháp.
Tương tác với các hợp đồng độc hại: Khai thác FOMO trên các trang web giả mạo hoặc tương tác với các hợp đồng NFT để nhận được các airdrop hoặc biên nhận không xác định.
Chèn hoặc gửi khóa và cụm từ ghi nhớ tới bộ phận Hỗ trợ khách hàng hoặc chương trình/biểu mẫu liên quan.
Arkham Intel Exchange kỷ niệm một cột mốc quan trọng khi hai điều tra viên blockchain xuất sắc nhận thành công phần thưởng tiền thưởng lần đầu tiên vì đã khám phá ra bằng chứng quan trọng liên quan đến ví tiền điện tử khó nắm bắt của Do Kwon.
BitcoinistCác luật sư của SEC đã xem trước một kháng cáo có khả năng lật ngược các phần của Ripple Labs vào tuần trước trong một vụ kiện thực thi riêng chống lại những người sáng tạo TerraUSD và Luna là Do Kwon và Terraform Labs.
TheBlockAnh ta cũng khẳng định rằng người mà anh ta bị bắt cùng là vô tội.
cryptopotatoCác luật sư của Kwon sẽ tìm cách giảm thời hạn gia hạn giam giữ 30 ngày do chính quyền Montenegro phán quyết.
cryptopotatoTerraform Labs có trụ sở và đăng ký tại Singapore và đây là lần đầu tiên quốc gia này công khai hành động chống lại Do Kwon và công ty của ông.
CryptoSlateSau khi vào Serbia gần đây, người sáng lập Terra, Do Kwon, đã chuyển 9,64 BTCS (khi đó trị giá gần 190.000 đô la) từ ví LFG sang ví Binance vào ngày 8 tháng 11. Đây là lần đầu tiên dữ liệu trên chuỗi ghi lại việc Do Kwon đổi bitcoin lấy tiền mặt, chẳng hạn như đô la, trong khi anh ta đang chạy trốn.
OthersLUNC đã bật lên ở vùng hỗ trợ $0,000275. LUNA đã giảm 66% kể từ ngày 9 tháng 9.
BeincryptoTrong khi các nhà phát triển Tornado Cash đang lo sợ cho tính mạng của họ, Do Kwon đang "tiệc tùng", theo podcaster Eric Conner.
CointelegraphMột video Anonymous mới xuất hiện và nó chỉ tay vào Do Kwon khét tiếng. Sự sụp đổ của Terra/ UST/ LUNA ...
BitcoinistĐồng sáng lập Do Kwon và Giám đốc điều hành của TerraForm Labs gần đây đã công bố kế hoạch hồi sinh Terra và nhận được nhiều phản ứng trái chiều; nhiều ...
Bitcoinist