Ví crypto hoạt động như thế nào và cách tránh để bị hack - The first knowledge sharing application in Vietnam

Bài viết trên được dịch lại bởi dòng tweet này trên Twitter. Nói về cách hoạt động của ví crypto. Cách nó bị tấn công lấy tiền ra sao và tại sao bạn nên sử dụng ví lạnh để bảo vệ phần lớn tài sản của mình.

Here’s a loooong thread on how wallets work so you can stop listening to people who only use their wallets to dump on you🟠:

— F🟠xyDev (@FoxyDev42) August 6, 2022

Dưới đây là một chủ đề dài về cách hoạt động của ví crypto. Để bạn có thể ngừng lắng nghe những người chỉ sử dụng ví của họ để đổ cho bạn:

Trước hết, Ví là gì? Ví lưu trữ các khóa cá nhân (private keys) cho địa chỉ của bạn. Cũng như ủy quyền, ký các giao dịch thay mặt bạn. Ví nóng lưu trữ các khóa cá nhân của bạn trên máy tính của bạn. Ví lạnh lưu trữ khóa cá nhân ngoại tuyến.

Cụm từ hạt giống là danh sách các từ được chọn theo thuật toán. Được sử dụng để tạo khóa mới. Bạn có thể chọn một danh sách các từ ngẫu nhiên và sử dụng nó làm hạt giống của mình không? Có, bạn có thể, nhưng bạn không nên vì con người thường ngu ngốc và không thể chọn những từ thực sự ngẫu nhiên.

Khi bạn truy cập vào một trang web và nhấp vào “Connect” (Kết nối), điều này cho phép trang web truy cập vào địa chỉ ví đã chọn của bạn (khóa công khai). Loại ví (Solflare, Phantom…) và cho phép trang web biết rằng bạn sẵn sàng giao dịch trên trang web này.

kết nối ví crypto

Chỉ kết nối ví của bạn với một trang web không làm cho nó trở thành vấn đề bảo mật.

Bây giờ chuyển sang “Ứng dụng đáng tin cậy”. Đây chỉ là danh sách các trang web bạn đã kết nối trước đây. Việc có một trang web trên Ứng dụng đáng tin cậy chỉ cho phép ví của bạn biết để tự động kết nối với trang.

Đây là một thứ giống với trải nghiệm người dùng (UX) hơn. Vì vậy bạn không cần phải tiếp tục kết nối mỗi khi truy cập một trang web. Tuy nhiên, nếu ví của bạn có tính năng tự động phê duyệt. Mà tự động kết nối + tự động phê duyệt (auto-connect + auto approval) có thể là một sự kết hợp gây chết người.

Chính xác thì tự động phê duyệt là gì? Đây chỉ là một tính năng cao cấp. Trong đó ví không yêu cầu bạn ký giao dịch. Nó cho phép trang web 100% có quyền thực hiện giao dịch mà bạn không biết. Nhưng, ví Solflare và Phantom không còn tính năng này nữa nên đó là đều tốt.

Hãy hết sức cẩn thận với điều này. Ngay cả khi trang web không lấy tiền trong ví của bạn ở thời điểm kết nối, nó có thể bị xâm phạm trong tương lai và bị lạm dụng để lấy cắp tiền của bạn. Luôn sử dụng ví ghi (burner wallets).

*(Burner wallet tách biệt (tạm thời) với ví chính của bạn (Vault), chủ yếu được sử dụng để đúc NFT hoặc tương tác với một dApp không được kiểm toán hoặc không đáng tin cậy.

Bạn tạo “ví ghi” giống như bất kỳ ví nào khác nhưng cho một mục đích cụ thể. Chẳng hạn như đúc NFT hoặc tương tác với một dự án chưa được kiểm tra.)

Một số trang web sẽ yêu cầu bạn ký một tin nhắn sau khi kết nối ví. Hãy coi đây là một tính năng “Đăng nhập người dùng” giống như trên Web2 hiện tại. Ký một tin nhắn bằng khóa cá nhân của bạn, khóa này sau đó có thể được xác minh là hợp pháp bằng địa chỉ khóa công khai của bạn. Do đó ủy quyền cho bạn.

Một tin nhắn đã ký không có hại trừ khi tin nhắn đó không phải là duy nhất. Và trang web lưu trữ nó ở đâu đó. Nếu điều này bị rò rỉ, bất kỳ ai cũng có thể xác thực trang web là bạn. NHƯNG! nó sẽ không dẫn đến một thỏa hiệp ví.

Một số trang web như Matrica sử dụng tính năng này để xác minh bạn. Họ cũng sử dụng nonce duy nhất để bạn an toàn 100% khi ký tên này. Việc liên kết ví của bạn với một trang web không thể gây ra bất kỳ hoạt động “lợi dụng” nào từ trang web muốn tấn công vào ví bạn.

Bây giờ chúng ta sẽ đến những thứ nguy hiểm. Điều gì xảy ra khi bạn thực hiện một giao dịch bằng cách nhấp vào nút “Mint” (đúc) hoặc “Mua” hoặc một nút “XYZ” bất kỳ nào đó?

1. Trang web chuyển giao dịch ở định dạng nhị phân đến ví của bạn

2. Ví đầu tiên mô phỏng giao dịch và cho bạn biết sự thay đổi số dư.

3. Khi bạn nhấp vào “Approve” (Phê duyệt). Ví của bạn sẽ ký giao dịch bằng khóa cá nhân của bạn. Điều này hiện chỉ có thể được xác minh bằng khóa công khai của bạn, được thực hiện bởi chuỗi.

Điều này tạo cơ hội để nói về mật mã khóa công khai (https://en.wikipedia.org/wiki/Public-key_cryptography). Khóa công khai và khóa cá nhân được gọi là cặp khóa. Khi bạn mã hóa thứ gì đó bằng khóa công khai. Chỉ có khóa riêng tư mới có thể giải mã nó và ngược lại.

Khóa công khai (public key) hay còn gọi là địa chỉ ví của bạn. Được blockchain và các dịch vụ sử dụng để xác minh xem giao dịch có thực sự do bạn ký hay không.

Bây giờ trở lại những gì chúng ta đã nói.

Luôn kiểm tra giao dịch mô phỏng trước khi bạn phê duyệt và gửi nó. Đã có trường hợp các nhà nghiên cứu bảo mật có thể giả mạo mô phỏng. Tức là làm giảm số dư của bạn trong khi hiển thị số dư dương. Đây là lý do tại sao cần phải tin tưởng vào trang web bạn đang sử dụng.

Vì vậy, bạn có thể bị xâm phạm trong tương lai bằng cách giao dịch trên một trang web không? Có thể có cũng có thể không.

Thứ nhất, Solana cần một “Blockhash gần đây” được gắn vào mọi giao dịch. Điều này có nghĩa là một giao dịch đã ký chỉ có thể được sử dụng trong vòng vài giây trước khi blockhash đó cũ.

Thứ hai, một trang web có mục đích xấu có thể sử dụng một cái gì đó được gọi là “Ủy quyền” để nhận quyền đối với token trong tài khoản của bạn. Ví dụ: nó có thể nhận được quyền chuyển 10k token USDC từ tài khoản của bạn và khai thác nó vào một ngày sau đó.

Bạn có thể sử dụng công cụ thu hồi @FamousFoxFed để xem tất cả các quyền đó và thu hồi chúng nếu cần. Hơn nữa, ví Solflare cho bạn biết khi nào một trang web đang cố gắng “Ủy quyền” ví của bạn.

*(Solflare Wallet là ví tiền điện tử được cộng đồng phát triển cho hệ sinh thái Solana. SolFlare Wallet hỗ trợ nạp rút và lưu trữ các mã thông báo trên Solana cũng như các mã thông báo SPL một cách đơn giản. SolFlare Wallet còn có tính năng đó là hỗ trợ stake trực tiếp trong ví.)

Đôi khi, các trang web gói nhiều giao dịch và yêu cầu bạn ký chúng cùng một lúc để tránh nhiều dấu hiệu, ví dụ: FoxySend. Solflare có thể mô phỏng nhiều giao dịch mà không có vấn đề gì, nhưng Phantom cho biết “Không thể tìm nạp các thay đổi số dư”. Vì vậy, hãy đảm bảo rằng bạn tin tưởng trang web.

*(Phantom Wallet hay ví Phantom là một ví tiền mã hóa không lưu trữ thông tin người dùng. Được xây dựng trên nền tảng blockchain Solana. Với Phantom Wallet, người dùng có thể lưu trữ, gửi, nhận, hoán đổi và đặt cược token trên nền Solana một cách dễ dàng.)

Đây là một số thông tin về ví lạnh Ledger. Ledger là ví phần cứng lưu trữ khóa cá nhân của bạn ngoại tuyến. Thông thường, ví lưu trữ khóa cá nhân của bạn trên ổ đĩa máy tính được mã hóa bằng mật khẩu của bạn. Điều này dễ gây ra rò rỉ trong trường hợp máy tính của bạn bị đột nhập từ bên ngoài.

Sự thật thú vị, tiện ích mở rộng Slope lưu trữ các khóa được mã hóa của bạn trong một tệp LevelDB tại đây:

C: \ Users \ < User > \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Local Extension Settings \ pocmplpaccanhmnllbbkpgfliimjljg

Các ví khác cũng làm điều đó tương tự.

Nhưng khi bạn sử dụng ví lạnh Ledger. Máy tính của bạn sẽ không bao giờ có thể truy cập các khóa cá nhân của bạn. Ledger chỉ cần ký các giao dịch và chuyển chúng trở lại. Bạn nên sử dụng Ledger để lưu trữ các NFT có giá trị cao và phần lớn số tiền của bạn.

Hãy nhớ rằng, ví lạnh Ledger không phải là bằng chứng ngu ngốc. Bạn không thể chỉ ký một giao dịch ngẫu nhiên và đổ lỗi cho ví Ledger rằng bạn bị mất tiền. Ngoài ra, không sử dụng cùng một “cụm từ hạt giống” (seed phrase) trên ví lạnh Ledger cho ví nóng. (ví nóng là những ví luôn luôn kết nối internet như Trust, Metamask, Phantom…)

Chúc may mắn và luôn an toàn!

Kết thúc phần dịch tweet.

Nếu bạn khó hiểu bởi những thuật ngữ công nghệ phía trên thì một điều đơn giản và dễ hiểu được rút ra là.

Hãy sử dụng ví lạnh. Vì đó là cách an toàn nhất ở thời điểm hiện tại giúp bạn có thể bảo vệ tài sản của bạn trong thị trường Crypto này.

Với một cơ chế hoạt động dễ hiểu. Ví nóng là ví bạn cài đặt vào máy tính hay điện thoại. Ví nóng sẽ luôn kết nối với internet vì điện thoại và laptop của bạn cũng được kết nối với internet mà.

Nên một khi hacker tấn công vào được máy tính của bạn. Hay bạn kết nối ví nóng vào những trang trang web không đáng tin cậy. Thì họ có thể khai thác những lỗ hổng trên ví. Vì khoá cá nhân được nằm ngay trên ví nóng qua sự bảo vệ của mật khẩu.

Còn ví lạnh. Tại sao nó lạnh. Vì nó không có cắm điện vào. Nghĩa là nó 100% offline. Mà khoá cá nhân được để trong ví lạnh thì nó cũng offline nốt. Nên không tài nào hacker có thể tấn công được. Khi bạn kết nối ví lạnh vào máy tính để chuyển tiền. Thì bạn cũng rất khó bị hack, vì khi chuyển tiền cho ai đó. Thì ví lạnh đòi hỏi bạn phải đưa hai ngón tay bấm 2 cái “nút” vật lý trên ví lạnh để chuyển. Và một lần nữa hacker không bấm được 2 nút đó.

Nếu bạn yêu thích ví nóng như Metamask. Thì hãy kết nối nó với ví lạnh Ledger. Để mỗi khi gửi coin đi trên Metamask thì bạn phải cần xác nhận và bấm nút trên ví lạnh.

Hãy giữ phần lớn tài sản của bạn trên ví lạnh. Đừng tin vào ví nóng, đừng tin vào sàn, đừng tin vào công ty thứ 3. Chỉ có bạn mới bảo vệ tài sản của bạn một cách an toàn và đây cũng là một đặt tính có một không hai của crypto cho phép bạn làm điều đó.