Tin tặc đang bắt đầu nhắm mục tiêu vào NFT, vui lòng giữ mồi chống trộm NFT này

Tìm hiểu cách lưu trữ tài sản NFT của bạn một cách an toàn và tránh lừa đảo.

Tiêu đề gốc: "Hướng dẫn chống trộm NFT: Cách bảo vệ tài sản?" "

Khi số lượng người dùng NFT, khối lượng giao dịch và giá trị thị trường tiếp tục tăng, tội phạm như kẻ lừa đảo và tin tặc cũng bắt đầu nhắm mục tiêu vào thị trường này, đe dọa hơn nữa tính bảo mật của hệ sinh thái NFT.

Một bảng được tổng hợp bởi PeckShield, một công ty phân tích dữ liệu và bảo mật chuỗi khối, cho thấy rằng trong một cuộc tấn công lừa đảo, 254 NFT với tổng giá trị khoảng 1,7 triệu đô la Mỹ đã bị đánh cắp; NFT BAYC#3738 của Jay Chou đã bị đánh cắp vào ngày Cá tháng Tư. một trường hợp điển hình khi một trang web lừa đảo tạo ra một trường hợp đúc tiền để lấy quyền vận hành NFT của người dùng; một dự án có tên MoonManNFT đã đánh cắp gần 400 NFT dưới tên gọi đúc tiền miễn phí...

Nói chung, tin tặc sẽ khóa người sưu tập thông qua Discord và Telegram, đồng thời đánh cắp tài sản NFT của người dùng bằng cách thực hiện các cuộc tấn công đúc tiền và lừa đảo. Với sự phát triển công nghệ hiện nay, các nhà đầu tư và nhà sưu tập NFT bắt buộc phải tuân thủ các phương pháp mới nhất để bảo vệ tài sản của họ.

Xin vui lòng ghi nhớ:

• NFT của bạn không được lưu trữ trên máy tính hoặc thiết bị di động của bạn, nhưng trong một không gian phi tập trung như IPFS hoặc Arweave.

• Sở hữu khóa riêng cung cấp cho bạn toàn quyền truy cập vào chuỗi khối/tài sản của bạn.

• Sơ đồ tách khóa riêng của Shamir có thể cung cấp khả năng bảo vệ thứ cấp cho các từ dễ nhớ.

1. NFT của bạn được lưu trữ ở đâu?

NFT không được lưu trữ trong ví lạnh, PC hoặc ví nóng. NFT là một mã thông báo trên chuỗi khối Ethereum , được thực hiện bởi hơn 2.400 nút mạng đang chạy trên khắp thế giới. NFT được hỗ trợ bởi một hệ thống phi tập trung hoàn toàn đảm bảo hoạt động bình thường của hệ sinh thái NFT và xác minh các giao dịch trực tuyến. Khi bạn giao dịch một NFT, hoạt động thực tế xảy ra là cơ sở dữ liệu thực hiện thay đổi đối với địa chỉ của NFT đó.

2. Ảnh, GIF và nhạc của bạn ở đâu?

URI (Mã định danh tài nguyên thống nhất) của NFT đánh dấu vị trí của hình ảnh. NFT thường được đặt trong các không gian lưu trữ phi tập trung như IPFS hoặc Arweave. Trong Web2, cũng có một kho lưu trữ tập trung như AWS.

3. ví

Ví là một phần mềm lưu trữ khóa cá nhân và hỗ trợ các hoạt động giao dịch. Có hai loại ví: ví nóng (ví phần mềm) và ví lạnh (ví phần cứng).

Ví nóng (ví mềm): phần mềm có thể chạy trên các thiết bị đa năng, có thể kết nối với Web3 và có thể nhận tài sản chỉ bằng một cú nhấp chuột.

Ví lạnh (ví cứng): dành riêng cho thiết bị phần cứng, có thể kết nối với Web3 và nhận tài sản. Sự khác biệt chính giữa nó và ví nóng là cụm từ dễ nhớ của ví lạnh không bao giờ được kết nối với Internet và các giao dịch phải được phê duyệt bằng phương tiện vật lý (chẳng hạn như màn hình cảm ứng).

Sau khi chọn đúng ví, bạn cần hiểu các tính năng của nó:

Đầu tiên, ví nóng/lạnh sẽ yêu cầu bạn tạo mật khẩu, mật khẩu này là duy nhất trên một thiết bị cụ thể. Chỉ có thể truy cập vào ví nếu bạn biết mật khẩu.

Bạn có thể tự do chia sẻ địa chỉ công khai của ví của mình, địa chỉ này không khác gì địa chỉ email Web3 và bất kỳ ai biết địa chỉ của bạn đều có thể gửi NFT cho bạn. Điều này cũng làm phát sinh các vectơ hack mới. Tin tặc gửi cho mọi người NFT và khi mọi người tương tác với NFT (chẳng hạn như gửi nó đến một ví khác hoặc bán nó), tin tặc sẽ đánh cắp tài sản trong ví của người đó. Hãy nhớ, đừng mở các NFT lạ! Ngoài ra, mọi người có thể sử dụng chữ ký giả mạo hoặc phê duyệt để lấy địa chỉ IP của bạn.

Email lừa đảo cũng là một hình thức lừa đảo phổ biến. Mục đích của email là dụ bạn kết nối ví của mình với một trang web giả mạo để tin tặc có thể đánh cắp tài sản của bạn. Vì vậy, đừng nhấp vào các liên kết lạ! Luôn luôn kiểm tra tên trang web. Phương pháp hack hiện tại tương đối đơn giản và chỉ có thể bắt đầu từ các địa chỉ và email công khai, miễn là chúng bị bỏ qua.

Bạn cần bảo quản thật tốt khóa riêng, nó là mật khẩu để truy cập vào địa chỉ công cộng của bạn, chức năng của khóa riêng là:

(1) Chuyển NFT của bạn ra khỏi địa chỉ.

(2) Ký hợp đồng để chứng minh rằng bạn sở hữu khóa riêng của địa chỉ (tương tự như xác minh rằng bạn sở hữu địa chỉ công cộng).

Sự khác biệt lớn nhất giữa địa chỉ công khai và khóa riêng là bạn không bao giờ có thể tiết lộ khóa riêng của mình cho bất kỳ ai. Nếu không, họ có thể nhập khóa cá nhân của bạn vào ví của họ và đánh cắp tất cả tài sản của bạn.

Sau khi làm rõ khái niệm về khóa riêng và địa chỉ công khai, chúng ta hãy xem lại phần ghi nhớ. Thuật nhớ thường bao gồm 12, 18 hoặc 24 từ và được sử dụng để truy xuất ví. Nếu bạn làm mất khóa riêng của mình, bạn có thể sử dụng tính năng ghi nhớ để tạo một khóa mới. Giống như khóa riêng, cụm từ ghi nhớ không bao giờ được người thứ hai biết đến, cũng như không thể lưu trữ cụm từ này trong các thiết bị lưu trữ điện tử hoặc nhà cung cấp dịch vụ (chẳng hạn như google drive, icloud, album ảnh, ghi chú và bản sao trên điện thoại di động). Cách lý tưởng là lưu trữ vật lý, chẳng hạn như viết trên giấy. Sắt cũng được sử dụng để lưu trữ các cụm từ hạt giống, vì nó có khả năng chống cháy tốt hơn. Các phương pháp khác, chẳng hạn như mật khẩu, cũng có thể tăng cường bảo mật cho ví. Mật khẩu là một chuỗi các ký hiệu hoặc từ có thể được kết hợp với một thuật ghi nhớ để tạo một ví mới dựa trên ví ban đầu. Ví dụ: để tạo ví mới dựa trên ví hiện có, chỉ cần nhập:

• Ghi nhớ + "NFTGo"

• ghi nhớ + bất kỳ số nào

• ghi nhớ + bất kỳ chữ cái

• ghi nhớ + bất kỳ cụm từ

Bất kỳ phương pháp nào ở trên đều có thể tạo ví mới với địa chỉ công khai khóa riêng khác, nhưng chức năng mật khẩu chỉ áp dụng cho ví lạnh.

4. Thêm lớp bảo vệ thứ hai

Mua ví lạnh là một cách hiệu quả để cải thiện bảo mật. Trezor, Ledger và Keystone là một số ví phần cứng phổ biến nhất, nhưng mỗi loại đều có ưu điểm và nhược điểm. Mỗi ví lạnh có những đặc điểm riêng. Ví dụ: Keystone sử dụng mã QR để truyền dữ liệu, giúp tránh nguy cơ virus Trojan được truyền đến ví phần cứng thông qua giao diện USB hoặc Bluetooth. Đây cũng là ví phần cứng đầu tiên hỗ trợ ENS (Dịch vụ tên Ethereum ), loại bỏ nhu cầu kiểm tra địa chỉ ban đầu. . Ngoài ra, người dùng có thể tùy chỉnh màn hình 4 inch của họ bằng NFT.

Chúng tôi lấy Keystone làm ví dụ để thiết lập.

(1) Mua ví Keystone từ trang web chính thức.

(2) Cài đặt gói Keystone.

(3) Khởi động Keystone.

(4) Đặt mã PIN cho ví của bạn - mật khẩu duy nhất cho thiết bị này.

(5) Nếu nó được sử dụng bởi doanh nghiệp, nên sử dụng sơ đồ tách khóa riêng Shamir, chia 2 bộ từ ghi nhớ thành 3 nhóm hoặc chia 3 bộ từ ghi nhớ thành 5 nhóm, bạn có thể lưu 3 bộ này của các khóa riêng ở những nơi khác nhau. Nếu bạn có 3 trong số 5 bản sao lưu Shamir và bị mất 2 trong số chúng, bạn vẫn có thể sử dụng 3 bản sao lưu còn lại để khôi phục ví của mình.

Hãy lấy ví dụ về việc chuyển BAYC để xem việc sử dụng ví phần cứng NFT. Trong Keystone, người dùng có thể sử dụng tệp dữ liệu ABI được tải lên trong thẻ nhớ microSD để nhanh chóng xác nhận tính xác thực của địa chỉ và "Board Ape Yacht club" sẽ xuất hiện bằng phông chữ màu xanh lam bên cạnh địa chỉ. Nó cũng cần thiết để xác nhận xem giao dịch hay không liên quan đến bất kỳ hành vi nguy hiểm nào, để không Đăng NFT của bạn cho những kẻ lừa đảo hoặc tin tặc.

1. Đảm bảo tải xuống ứng dụng hoặc ví Web3 từ trang web chính thức

Nguyên nhân chính của các vụ hack tiền điện tử/NFT là do người dùng truy cập vào các trang web không chính thức. Phần lớn các trang web như vậy được tạo ra để lừa đảo và trông rất giống với các trang web chính thức. Không tải xuống các ứng dụng Web3 từ Google Play, chúng có thể không được lấy từ nguồn ban đầu. Bạn có thể tham khảo các gợi ý sau để xác định trang web chính thức:

(1) Tập trung vào thanh URL. Chỉ nhấp vào các URL bắt đầu bằng https:// (không nhấp vào http://!), "s" là viết tắt của "safe", có nghĩa là dữ liệu của trang web này được mã hóa và truyền đi, có thể ngăn chặn các cuộc tấn công của tin tặc.

(2) Kiểm tra tên miền. Một chiến thuật yêu thích của tin tặc là tạo các trang web giả mạo có tên miền giống với tên miền chính hãng đến mức chỉ cần nhấp đúp chuột là có thể nhận ra sự khác biệt. Ví dụ: phiên bản giả mạo của trang web https://wobble.com có thể là https://w0oble.com. Hãy nhớ thỉnh thoảng nhấp đúp vào tất cả các chữ cái của tên miền.

(3) Coi chừng lỗi chính tả. Hầu hết các trang web giả mạo được tạo ra một cách thô sơ, có lỗi chính tả, phát âm, viết hoa và ngữ pháp.

2. Chỉ duyệt các kênh chính thức, twitter chính thức và các liên kết chính thức

Như đã đề cập trước đó, bạn chỉ có thể tin tưởng các trang web chính thức, tài khoản twitter và bất hòa. Bạn có thể tham khảo gợi ý sau để kiểm chứng:

(1) Kiểm tra hoạt động tài khoản.

(2) Kiểm tra số lượng người theo dõi.

(3) Kiểm tra lịch sử tài khoản.

(4) Kiểm tra bình luận và tương tác.

3. Không chia sẻ thông tin đăng nhập hoặc khóa riêng tư với bất kỳ ai

Có một câu nói rất phổ biến trong giới mã hóa: "Không có chìa khóa thì không có xu, xu và chìa khóa là một." Sau khi khóa riêng tư hoặc bản ghi nhớ của bạn được chia sẻ, tài khoản đó không còn thuộc về bạn nữa. Cách tốt nhất là ngăn người khác lấy khóa riêng.

4. Xác minh NFT trước khi mua

Sự siêng năng luôn rất quan trọng trong hệ sinh thái NFT. Trước khi mua hoặc đúc một NFT, điều quan trọng là phải kiểm tra danh tiếng của nhóm tham gia vào dự án, các tương tác hữu cơ trong cộng đồng của họ và suy nghĩ của mọi người về dự án.

5. Đúc NFT bằng nhiều ví

Ví dụ: ví Burner là ví thứ cấp được tạo riêng cho việc đúc NFT. Những ví này được tạo và cấp vốn bằng lượng gas cần thiết để đúc tiền. Sau khi quá trình đúc hoàn tất, NFT được đúc sẽ được gửi đến một ví khác, được sử dụng để lưu trữ NFT. Điều này làm giảm nguy cơ ví chính tương tác với các trang web dễ bị tấn công. Bạn có thể tạo nhiều ví ổ ghi và loại bỏ nó ngay khi phát hiện ra lỗ hổng.

6. Hãy cảnh giác khi nhấp vào liên kết từ các tài khoản lạ

Một thủ thuật phổ biến của tin tặc là gửi quà tặng hoặc liên kết danh sách trắng thông qua tài khoản Discord hoặc email lạ. Đảm bảo đặt Telegram, Discord và email để không nhận tin nhắn từ các tài khoản lạ hoặc địa chỉ không chính thức, đồng thời, hãy cẩn thận với những người dùng giả danh chủ sở hữu nhóm hoặc tin nhắn trực tiếp chính thức cho bạn.

7. Kiểm tra phê duyệt mã thông báo & thu hồi mã thông báo không sử dụng

Mọi người tương tác với các giao thức và liên kết khác nhau mỗi ngày, cấp cho họ quyền truy cập và quyền dựa trên thông tin về hợp đồng thông minh. Điều quan trọng là thỉnh thoảng phải xem xét và thu hồi quyền truy cập. Trang web https://revoke.cash/ có thể giúp bạn thu hồi quyền truy cập.

8. Trước khi chuyển sang bước tiếp theo, hãy đọc kỹ và xác minh các điều khoản giao dịch của hợp đồng thông minh

Trước khi xác nhận giao dịch, hãy đảm bảo bạn đã đọc kỹ từng chi tiết trong hợp đồng thông minh. Nhiều tin tặc sử dụng hợp đồng thông minh để giả mạo quyền truy cập vào số tiền trong ví của bạn theo ý muốn. Bạn nên đọc kỹ để đảm bảo rằng các chi tiết trong hợp đồng không gây ra mối đe dọa, cũng như không có kẽ hở.

9. Cập nhật tin tức và tìm hiểu về các lỗ hổng mới

Với sự quan tâm ngày càng tăng đối với thị trường NFT, bọn tội phạm cũng đang ẩn nấp trong đó, sử dụng các mánh khóe để đánh cắp các tác phẩm và tiền từ các nhà sưu tập và nhà đầu tư, đảm bảo tài sản, ví và tiền có giá trị của bạn không rơi vào tay tin tặc.