Cafe sáng blockchain số 9.

 Bài viết này tổng hợp các câu chuyện "hack ví", bị mất hết coin, token mà mình đã từng được nhờ tư vấn, được nghe kể, chứng kiến. Những điều này hoàn toàn có thể tránh được, vì chủ yếu là lỗi của người dùng.

Giang hồ crypto hiểm ác, hở ra là mất ngay.
-----
Bạn có thể mất tiền theo những cách nào?
  • Approve token vào những dự án scam, bị rút hết tiền mà không biết (vì bản chất là đã ủy quyền cho smartcontract tiêu token của bạn)
  • Ví vừa tạo, vừa nhận tiền ngay lập tức bị chuyển đi luôn mà không rõ tại sao (bạn của 1 admin trong BQT từng mất 300k USDT trong ấm ức theo cách như vậy). Trường hợp này đã bị lộ mnemonic phrase vì backup ko tốt.
  • Để tiền trên ví centralized, trên sàn. Sau đó Sàn hoặc ví bị hack hoặc sập. Không login được nữa. Cũng mất tiền
  • Tự viết smartcontract để tự dùng, chuyển tiền vào đấy, chưa kịp làm gì tiền không cánh mà bay, bị rút hết (do contract không check permission, hoặc có bug).
  • Đã có 1 bạn nhắn tin kể với mình mất 500k usd mà không biết tại sao, không approve linh tinh vào đâu. Mình hỏi kỹ hóa ra bạn ấy lưu mnemonic phrase vào facebook messenger với email.
  • Viết bot, lưu private key vào bot. Bot bị hack==> lộ private key==> mất tiền.
  • Để tiền trong ví cứng(trezor, ledgerNano), nhưng lại lưu mnemonic phrase ra file txt, lưu vào email==> cũng mất luôn
  • Để tiền trong ví cứng(trezor, ledgerNano), sau đó quên pass, cũng quên lưu mnemonic ra ngoài==> không truy cập được, cũng mất luôn.
  • Sử dụng brainwallet, nhưng lại sử dụng passphrase quá dễ đoán, có trong từ điển==> mất tiền trong 01 giây.
  • Đưa private key vào code, upload lên github nhưng quên không xóa đi==> cũng mất luôn
  • Chuyển tiền vào 1 smartcontract bị lỗi của 1 dự án kém chất lượng==> tiền bị đóng băng, không rút ra được
  • Các trường hợp mua token của các dự án lừa đảo thì nhiều vô kể, nhưng nó thuộc 1 chủ đề khác, nên mình sẽ không list cụ thể vào đây. Mua đỉnh bán đáy xong mất tiền cũng vậy.
----
Vậy có thể phòng tránh việc mất coin, token bằng những phương pháp nào
  • Không approve token vào các dự án không đáng tin, nếu có thì revoke ngay hoặc chuyển sang ví khác
  • Không lưu mnemonic phrase ,private key vào các trang web, dịch vụ cloud như note, trello, image trên icloud, email, messenger, telegram, whatsapp. Chỉ nên lưu vào giấy
  • Nếu sử dụng ví cứng thì cũng cần backup mnemonic phrase ra giấy, tránh việc mất usb hoặc quên password
  • Khi viết code mà cần sử dụng private key, mnemonic phrase , thì nên sử dụng ví riêng,cần bao nhiêu chuyển vào bấy nhiêu.
  • Chỉ sử dụng phần mềm ví đáng tin cậy, không dùng ví linh tinh
  • Chỉ sử dụng các ví, sàn có tên tuổi, uy tín. Và cần bật 2FA đầy đủ.
  • Không dùng win lậu, không cài phần mềm lậu, phần mềm free của nhà phát hành không có tên tuổi
  • Không cài extension linh tinh trên chrome.
  • Viết smartcontract thì cần check cẩn thận trước khi deploy và chuyển tiền vào. Kể cả không verify contract trên bscscan, etherscan thì vẫn cần cẩn thận, vì contract bytecode vẫn có thể decompile, scan quét lỗ hổng.

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Tấn công thao túng giá trong DeFi - đơn giản, hay gặp nhưng khó nhận diện

Trong thị trường DEFI, Mọi người hay nghe đến các vụ tấn công liên quan đến flashloan, nhưng thực chất thì flashloan không phải một lỗ hổng, cũng không phải phương thức tấn công, nó chỉ là một công cụ để thực hiện những cuộc tấn công phức tạp, trong đó phương thức tấn công thao túng giá. Tấn công thao túng giá là phương thức tấn công phổ biến nhất, nguyên nhân và cách thức tấn công (chi tiết) cũng đa dạng. Bài viết này nói đến mindset chung của phương thức tấn công, một số case cụ thể và cách phòng tránh. Trong bất kỳ thị trường nào, khi biết chắc chắn giá sẽ tăng hoặc giảm, thì bạn chắc chắn có thể kiếm được lợi nhuận. Vậy, hãy đặt câu hỏi, nếu bạn có thể chủ động khiến giá tăng hoặc giảm thì sao. Trong thị trường chứng khoán và cả crypto, thì có rất nhiều đội lái, nhiều cá mập, cá voi làm việc đó với một nguồn lực lớn và một kế hoạch bài bản, dài hạn, họ cũng có thể thao túng giá và kiếm được lợi nhuận. Nhưng đối với những con sói(tôi hay gọi những hacker, những kẻ tấn công, là những...
Đọc thêm

Cafe sáng blockchain - tập 1. PHI TẬP TRUNG (decentralized)

  PHI TẬP TRUNG   (decentralized) Bản chất của phi tập trung và các hiểu lầm phổ biến. --- Có nhiều bạn không phải dân kỹ thuật đã từng hỏi mình: " Phi tập trung trong blockchain"  nghĩa là dữ liệu được lưu trữ ở nhiều nơi, nên sẽ không lo hỏng hóc và không sợ mất dữ liệu đúng không? Mình đã trả lời là  không , các hệ thống blockchain đúng là có đặc điểm đó, nhưng nó không phải sự thể hiện của tính phi tập trung, mà là sự thể hiện của đặc tính phân tán ( distributed ). ( distributed  bao hàm  decentralized , nhưng không đồng nghĩa) Dữ liệu hệ thống của Symper được lưu trữ trên 30 server, nhưng nó không phải là một hệ thống phi tập trung (Mình, CTO, vẫn có toàn quyền xử lý dữ liệu trên đó) Dữ liệu của Facebook, Google lưu trữ trên nhiều ngàn server, nhưng đó cũng không phải là 1 hệ thống phi tập trung, mà là hệ thống phân tán.Nhân sự quản trị hệ thống của họ vẫn có toàn quyền xử lý dữ liệu. Post các bạn đang đọc được lưu trữ thành nhiều bản sao, lưu trữ ở nh...
Đọc thêm

Ai bảo bitcoin là hữu hạn

Hình ảnh
 Mỗi cộng đồng, mỗi quốc gia, dân tộc, tôn giáo đều có một quá trình lịch sử. Đối với các thể chế tập trung như quốc gia, tôn giáo, thì lịch sử được lưu truyền chưa chắc đã đồng nghĩa với sự thật - nó được viết nên, sửa đổi bởi những người chiến thắng. Nhưng đối với các cộng đồng blockchain, đặc biệt là bitcoin, với tuổi đời còn rất trẻ (13 năm) thì sự thật vẫn là sự thật, mọi dấu vết hầu như vẫn còn nguyên vẹn. Lịch sử của Bitcoin không chỉ nằm ở các giao dịch được lưu trữ lại trên blockchain, mà còn nằm ở những đề xuất nâng cấp bitcoin (bitcoin improvement proposal). Nếu ví code chính là luật, consensus chính là luật, là kinh thánh của tôn giáo bitcoin, thì mỗi BIP là 1 lần sửa đổi kinh thánh, sửa đổi hiến pháp, luật pháp. Hơn 100 BIP, bao gồm cả được chấp nhận và không được chấp nhận, đều được lưu trữ vẹn nguyên, như những trang sử hào hùng và nhiều thăng trầm của một tôn giáo mới, với một hệ tư tưởng mới, tự do và phóng khoáng. Không chỉ đọc code, tôi thích đọc lại các commit, ...
Đọc thêm

Tổng số lượt xem trang