Tổng quan quan điểm SPACEKOL

Phân tích vấn đề an toàn tài khoản sàn giao dịch từ góc độ kỹ thuật, chỉ ra rằng việc thiết lập trường kiểm tra trong tiêu đề yêu cầu có thể ngăn chặn hiệu quả việc đánh cắp cookie.

Với tư cách là một nhà phát triển hợp đồng có kinh nghiệm, tôi nhấn mạnh sự cần thiết của các chính sách an toàn nghiêm ngặt trong việc vận hành tài sản và chia sẻ những quan sát và trải nghiệm cá nhân của mình về các chính sách an toàn của sàn giao dịch.

Thông qua trải nghiệm cá nhân, kể lại quá trình bị hacker tấn công, nhắc nhở mọi người về những rủi ro tiềm ẩn khi sử dụng ví web3.

Với tư cách là một nhà nghiên cứu an ninh, tôi đã phân tích cơ chế của các giao dịch đối kháng và khuyên người dùng nên chú ý đến vấn đề quyền khi tải xuống các plugin trình duyệt, để tránh những rủi ro an ninh tiềm ẩn.

Chia sẻ kinh nghiệm làm việc về nội dung nghiên cứu tại Manta, nhấn mạnh tầm quan trọng của cộng đồng trong quản trị DAO.

Trong phần thảo luận tự do, các chuyên gia đã tiến hành thảo luận sâu về các vấn đề sau:

• Tài sản cá nhân nên được lưu trữ trong ví hay sàn giao dịch thì an toàn hơn? Phần lớn khách mời cho rằng điều này phụ thuộc vào sở thích rủi ro cá nhân của người dùng, quy mô tài sản và tần suất giao dịch. Ví cung cấp mức độ an toàn cao nhất, nhưng ít tiện lợi hơn; trong khi sàn giao dịch thì tiện lợi hơn nhưng độ an toàn phụ thuộc vào hệ thống bảo mật của nó.
• Làm thế nào để cải thiện tính an toàn của tài sản cá nhân? Các gợi ý bao gồm sử dụng chiến lược tách biệt ví nóng và ví lạnh, công nghệ ký nhiều, cảnh giác với các trang web lừa đảo và thông tin gian lận, cũng như thường xuyên kiểm tra tài khoản và tài sản.
• Vai trò của quản lý trong lĩnh vực tiền điện tử? Các khách mời đều cho rằng, sự can thiệp quản lý một cách hợp lý giúp nâng cao tính an toàn của tài sản, đặc biệt là trong quá trình thu hồi tài sản bị đánh cắp.

Tổng kết thú vị của Space

Trong một vụ trộm tài sản người dùng Web3 lên đến 500w vào ngày 24 tháng 5, hacker đã thành công trong việc đánh cắp toàn bộ số tiền trong tài khoản người dùng mà không cần có mật khẩu tài khoản và thông tin xác minh hai bước của một sàn giao dịch nào. Điểm mấu chốt của sự kiện này là hacker đã lợi dụng lỗ hổng bảo mật của giao dịch chéo và plugin trình duyệt. Vậy tại sao giao dịch chéo và plugin trình duyệt lại cho phép kẻ trộm đạt được mục đích của mình?

Nhìn lại sự kiện từ góc độ của các bên liên quan

Tôi đã tham gia vào lĩnh vực này từ năm 2017, trải qua hai vòng thị trường bò và gấu, đã mất trắng 5 lần. Về sự cố bị đánh cắp lần này, tôi không thông qua sàn giao dịch, mà sử dụng một ví Web3.

Vào một buổi sáng cách đây năm ngày, sau khi rời khách sạn, tôi đã xem thông tin chính thức về các dự án mà tôi đã đầu tư. Phát hiện rằng dưới bài tweet của tài khoản chính thức, có người đã giả mạo thông tin bổ sung của chính thức, với tên người dùng giống rất nhiều với tài khoản chính thức------ mặc dù tài khoản là khác nhau. Tôi thường không nhận phần thưởng không rõ nguồn gốc một cách tùy tiện, nhưng lần đó lại bất ngờ muốn thử. Về đến nhà, tôi đã đăng nhập vào ví và sao chép một liên kết. Mở liên kết trong trình duyệt ví, trang chỉ có một nút "Kết nối ví". Do tôi không quen với công nghệ, nên tôi nghĩ đây là một thao tác thông thường. Sau khi kết nối, tôi nhận ra cần phải cấp quyền để chuyển tài sản, nhưng khi tôi đã kết nối, tôi ngay lập tức cảm thấy có điều gì đó không ổn. Sau khi kiểm tra kỹ, tôi phát hiện tên liên kết bị sai, lúc đó tôi nhận ra có thể mình đã bị đánh cắp. Đó là toàn bộ trải nghiệm của tôi. Cảm ơn.

Câu hỏi 1: Làm thế nào để bảo vệ tài sản cá nhân khỏi các cuộc tấn công của hacker?

Đầu tiên, tài khoản sàn giao dịch và cơ chế xác thực hai bước thực chất là để lấy trạng thái đăng nhập của người dùng, tức là cookie mà chúng ta quen thuộc. Thông qua trạng thái này, có thể bỏ qua việc sử dụng tên tài khoản và mật khẩu truyền thống để truy cập trực tiếp vào hệ thống, điều này rất phổ biến trong các cuộc tấn công và phòng thủ mạng.

Từ góc độ kỹ thuật, plugin trình duyệt có quyền truy cập rất cao, có thể truy cập tất cả dữ liệu của trang web, bao gồm cookie của người dùng. Ví dụ, trình quản lý mật khẩu của trình duyệt là một plugin, có thể sử dụng mã JS để nhập tên người dùng và mật khẩu vào các ô nhập tương ứng, do đó nó cũng có thể lấy cookie của người dùng. Người dùng cá nhân nên tránh cài đặt các plugin trình duyệt không rõ nguồn gốc. Nếu phải cài đặt, tốt nhất là kiểm tra mã nguồn trước, xác nhận không có hàm hoặc từ khóa nào đáng ngờ liên quan đến việc lấy cookie.

Nói một cách nghiêm túc, điều này không được coi là một lỗ hổng, CVE cũng sẽ không phân loại nó là một lỗ hổng. Nhưng từ góc độ kỹ thuật, sàn giao dịch hoàn toàn có khả năng tránh được vấn đề tài khoản bị chiếm đoạt do rò rỉ cookie của người dùng. Ví dụ, có thể thiết lập một token hoặc các trường xác thực khác trong tiêu đề yêu cầu, sử dụng những trường xác thực này như chứng nhận của người dùng, thay vì chỉ dựa vào cookie, điều này có thể hiệu quả ngăn chặn việc đánh cắp cookie. Đây là một số quan điểm của tôi.

Jim đã phân tích toàn diện từ góc độ kỹ thuật, tôi xin chia sẻ quan điểm của mình từ góc độ chiến lược. Nhiều ngân hàng trong nước có chính sách bảo mật phần mềm nghiêm ngặt, chẳng hạn như yêu cầu nhập lại mật khẩu sau khi chuyển màn hình, điều này đặc biệt quan trọng trong việc thao tác tài sản. Ví dụ, một sàn giao dịch sớm đã yêu cầu người dùng thiết lập mật khẩu quỹ sau khi đăng nhập để mở khóa quyền giao dịch ngắn hạn, mặc dù quá trình này phức tạp, nhưng đã cung cấp bảo mật bổ sung. Tuy nhiên, với nhu cầu tăng cao về sự tiện lợi trong giao dịch, một sàn giao dịch đã bãi bỏ chính sách này, điều này cho thấy không đủ an toàn trong các vấn đề bảo mật như giao dịch đối kháng.

Giao dịch đối kháng không phải là hiện tượng mới, từ năm 2021 đã có người dùng gặp phải thiệt hại vì các vấn đề loại này. Điều này lại một lần nữa nhắc nhở chúng ta rằng chiến lược an toàn của các sàn giao dịch tập trung cần phải được tăng cường. Việc xây dựng chiến lược an toàn nên cân bằng giữa sự thuận tiện cho người dùng và việc bảo vệ tài sản, nhằm ngăn ngừa sự cố giao dịch đối kháng tương tự xảy ra. Các sàn giao dịch tập trung, như một phần quan trọng trong việc bảo vệ tài sản, phải chú trọng và liên tục tối ưu hóa cơ chế an toàn của mình.

Tôi muốn bổ sung một chút về tầm quan trọng của mật khẩu quỹ trên sàn giao dịch. Mật khẩu quỹ có thể ngăn chặn tài sản bị đánh cắp ở một mức độ nhất định. Ngay cả khi hacker đã đăng nhập vào tài khoản sàn giao dịch bằng cách đánh cắp cookie, họ cũng không thể thực hiện giao dịch nếu không có mật khẩu quỹ.

Giao dịch đối kháng là một kỹ thuật phổ biến, hacker có thể chọn các đồng tiền có tính thanh khoản thấp, thông qua tài khoản của nạn nhân để đặt lệnh, sau đó dùng tài khoản của mình để mua với giá thấp hơn, từ đó chuyển tiền vào tài khoản của mình, gây ra tổn thất.

Ngoài ra, tôi muốn nhấn mạnh đến tính bảo mật của các tiện ích mở rộng trình duyệt. Tiện ích mở rộng trên trình duyệt Chrome có quyền truy cập rất lớn, sau khi tải xuống, trình duyệt sẽ thông báo cho người dùng về các quyền mà tiện ích yêu cầu. Tôi cá nhân khuyên rằng, đối với bất kỳ tiện ích nào có vẻ quyền truy cập quá lớn hoặc không rõ ràng, tốt nhất là nên đọc hướng dẫn quyền truy cập trước, nếu không chắc chắn về tính an toàn, nên chọn gỡ cài đặt để tránh sử dụng. Đây là một phương pháp hiệu quả để phòng ngừa các sự cố an toàn tương tự.

Các khách mời trước đã đề cập đến nhiều điểm quan trọng. Tôi muốn bổ sung rằng, trước hết, chúng ta nên tránh tải xuống các plugin có nguồn gốc không rõ ràng, ngay cả khi một số plugin được KOL khuyến nghị, chúng ta cũng nên cảnh giác với những KOL nước ngoài đã từng quảng bá. Đôi khi, KOL hoặc đại diện dự án có thể công bố thông tin về airdrop hoặc các phúc lợi khác, nhưng ngay cả như vậy, tôi khuyên mọi người vẫn nên kiên nhẫn chờ đợi, không nên vội vàng tham gia. Bởi vì những thông tin này rất có thể đến từ các tài khoản bị đánh cắp, phát tán thông tin giả. Tóm lại, thận trọng là điều cốt yếu, cảm ơn mọi người.

Vấn đề 2: Làm thế nào để đối phó với những thách thức an ninh của công nghệ đổi mặt AI?

Công nghệ Deepfake đang trở thành một phương tiện tấn công mạng phổ biến. Các hoạt động phi pháp lợi dụng công nghệ này để tạo ra tài liệu giả, phát động các cuộc tấn công hàng loạt, và sử dụng các phương pháp lách xác thực, chẳng hạn như tận dụng điểm yếu để tạo ra khuôn mặt giả, nhằm thực hiện các cuộc tấn công.

Trong lĩnh vực an ninh, tường lửa không thể ngăn chặn các cuộc tấn công vượt qua xác thực kiểu này. Ví dụ, một số sàn giao dịch có thể chỉ dựa vào xác thực khuôn mặt duy nhất sau khi người dùng quên mật khẩu, thiếu hệ thống phòng ngừa sâu, điều này có thể dẫn đến lỗ hổng bảo mật. Trong các tình huống yêu cầu an ninh cao, đặc biệt là khi thiết bị lần đầu đăng nhập hoặc trong môi trường bất thường, không nên chỉ sử dụng OCR và xác thực khuôn mặt, mà nên kết hợp với xác thực hai yếu tố như tin nhắn SMS.

Đối với sự đối kháng của thuật toán, lĩnh vực xác thực khuôn mặt có nhiều cuộc tấn công và phòng thủ rất gay gắt, tồn tại nhiều đặc điểm và công cụ biến thể, không thể chỉ dựa vào một thuật toán duy nhất. Chúng ta nên xây dựng một hệ thống phòng thủ khuôn mặt hoàn chỉnh, giống như những gì Alipay đã làm, kết hợp an toàn đầu cuối, đối kháng thuật toán hệ thống, và phản ứng nhanh chóng dựa trên tình hình tấn công và phòng thủ hiện tại.

Nếu cá nhân gặp phải các cuộc tấn công như vậy, khó khăn trong việc kiểm tra, nên ngay lập tức liên hệ với sàn giao dịch để báo cáo tình trạng bị đánh cắp tài khoản, và cố gắng đóng băng tài khoản, thay đổi thông tin truy cập, và kích hoạt xác thực hai yếu tố. Đồng thời, giữ lại các bằng chứng liên quan, cố gắng lấy lại tài sản.

Công nghệ Deepfake mặc dù tiên tiến, nhưng trong quá trình tạo ra có thể xuất hiện lỗi, chẳng hạn như sự biến dạng đặc điểm khuôn mặt. Hiện tại, việc áp dụng các biện pháp xác thực an toàn ở cấp độ Alipay nên đủ để đối phó với những vấn đề này. Tuy nhiên, từ góc độ bảo vệ cá nhân, việc cung cấp các khuyến nghị bảo vệ cụ thể là rất khó khăn.

Các vấn đề như rò rỉ thông tin cá nhân đang phổ biến, và người dùng cá nhân rất khó để tự bảo vệ mình. Tôi cho rằng, cần kêu gọi các sàn giao dịch và các tổ chức khác nâng cao tính an toàn và tiêu chuẩn xác thực của nhận diện khuôn mặt, giải quyết vấn đề từ gốc rễ, thay vì để người dùng tự nghiên cứu cách bảo vệ. Khả năng tự bảo vệ của cá nhân là hạn chế, cần sự hợp tác và hỗ trợ công nghệ chuyên nghiệp từ các công ty an ninh, đây mới là giải pháp tốt nhất.

Tôi muốn nói về quan điểm của mình từ góc độ của một người dùng thông thường. Mặc dù việc thông báo kịp thời cho sàn giao dịch về việc đóng băng tài khoản nghi ngờ là một biện pháp hiệu quả, nhưng phương pháp này không hoàn hảo. Tin tặc thường có tổ chức, họ chuyển tài sản với tốc độ rất nhanh. Tôi đã trải qua một tình huống như vậy, khi tài sản của tôi bị đánh cắp, tin tặc đã nhanh chóng chuyển tài sản, khi tôi liên hệ với sàn giao dịch để đóng băng tài khoản bên kia, tài sản trong tài khoản đã bị rút sạch.

Điều này cho thấy, chúng tôi rất khó để theo kịp tốc độ của tin tặc khi truy hồi tài sản bị đánh cắp. Quá trình bảo vệ quyền lợi rất khó khăn vì chúng tôi thường ở thế bất lợi.

Về sự kiện AI, tôi nghĩ rằng vấn đề nằm ở việc thiết lập bảo mật của sàn giao dịch chưa đủ. Độ an toàn của email tương đối thấp, thường thì việc thay đổi mật khẩu cần mã xác minh qua email, mã xác minh qua điện thoại hoặc xác thực hai yếu tố. Tuy nhiên, trong sự kiện này, hacker chỉ cần tải lên chứng minh nhân dân và video AI đã vượt qua được các xác minh bảo mật khác, cho thấy sự thiếu sót trong các biện pháp quản lý rủi ro.

Khi cài đặt bảo mật được đặt lại, sàn giao dịch nên hạn chế các thao tác liên quan ít nhất trong 24 giờ và thông báo trạng thái đặt lại cho người dùng, để người dùng có đủ thời gian để phản ứng và bảo vệ tài khoản. Nhưng trong trường hợp này, hacker đã chuyển tài sản trong vòng 24 giờ, điều này là không thể chấp nhận.

Tôi cũng đã trải qua việc mua một stablecoin nào đó thông qua C2C tại một sàn giao dịch mà không bị hạn chế rút tiền, điều này tiềm ẩn rủi ro rửa tiền. Hiện tại, có vẻ như các biện pháp kiểm soát rủi ro của sàn giao dịch cần được củng cố. Về việc truy dấu tài sản bị đánh cắp, phản ứng của sàn giao dịch chậm chạp hoặc yêu cầu cung cấp nhiều tài liệu trước khi khóa tài khoản, điều này khiến việc truy dấu và khôi phục tài sản bị đánh cắp trở nên cực kỳ khó khăn. Mặc dù chúng tôi đang cố gắng hợp tác và giao tiếp với sàn giao dịch, nhưng hiện tại đây vẫn là một vấn đề nan giải.

Tôi hoàn toàn đồng ý với quan điểm mà các khách mời đã đưa ra trước đó. Đầu tiên, tôi nghĩ rằng sàn giao dịch nên ngay lập tức điều chỉnh các cài đặt bảo mật, hạn chế việc rút tiền trong vòng 24 giờ. Hơn nữa, việc gửi tài sản vào sàn giao dịch bản thân nó đã dựa trên một giả định an toàn. Nếu có người bên trong sàn giao dịch bán thông tin người dùng, điều này thực sự rất khó để phòng ngừa. Là người dùng bình thường, điều chúng tôi có thể làm là giữ lại bằng chứng, khiếu nại với sàn giao dịch và bảo vệ quyền lợi của mình, hy vọng có thể nhận được bồi thường.

Ngoài ra, đối với người dùng bình thường, bao gồm cả bản thân tôi, tôi khuyên không nên khoe khoang tài sản ở nơi công cộng hoặc trên mạng xã hội, để tránh lộ thông tin cá nhân. Ví dụ, tôi đã biết có một người bạn trong lĩnh vực tiền điện tử khi đi du lịch ở Bali, đã bị cướp điện thoại khi đang chơi điện thoại trên đường, và trên điện thoại đó đã mở ứng dụng ví của mình, dẫn đến việc tài sản bị đánh cắp. Do đó, chúng ta nên tránh việc phơi bày tình hình tài chính của mình ở nơi công cộng.

Còn nữa, đã từng xảy ra sự kiện hacker phát tán chương trình Trojan thông qua việc quét mã QR trong các hoạt động trực tiếp. Vì vậy, tôi nhắc nhở mọi người khi tham gia các hoạt động khác nhau cần giữ cảnh giác, không nên quét mã hoặc tải xuống các ứng dụng có nguồn gốc không rõ ràng. Đây là những điều quan trọng mà chúng ta cần lưu ý khi bảo vệ tài sản cá nhân. Cảm ơn.

Câu hỏi ba: Tài sản cá nhân của người dùng để trong ví thì an toàn hơn, hay để trên sàn giao dịch thì an toàn hơn

Về việc lựa chọn lưu trữ tài sản, tôi nghĩ nên dựa vào sở thích rủi ro cá nhân, quy mô tài sản và tần suất giao dịch để quyết định. Ví lưu giữ khóa riêng có mức độ an toàn cao nhất, mặc dù có thể hy sinh một số sự tiện lợi. Đồng thời, việc quản lý khóa riêng là rất quan trọng, cần phòng ngừa các cuộc tấn công kỹ thuật xã hội như lừa đảo qua mạng.

Đối với những người dùng có tài sản lớn và giao dịch không thường xuyên, việc sử dụng ví có thể phù hợp hơn. Còn việc chọn lưu trữ trên sàn giao dịch có nghĩa là ủy thác khóa riêng cho sàn giao dịch, an toàn hoàn toàn phụ thuộc vào hệ thống bảo mật của sàn. Hiện tại, nhiều sàn giao dịch còn thiếu sót trong vấn đề an ninh mạng và hệ thống quản lý rủi ro, thiếu hụt.