Tác giả: Cộng đồng người Trung Quốc CertiK
Vào năm 2024, thế giới Web3.0 sẽ mở ra một làn sóng cơ hội mới, nhưng nhiều cuộc khủng hoảng tiềm ẩn cũng sẽ xuất hiện. . Dữ liệu mới nhất của CertiK từ "Hack3d: Báo cáo bảo mật thường niên năm 2024" cho thấy tổng cộng 760 sự cố bảo mật trên chuỗi đã xảy ra trong suốt cả năm, gây ra tổng thiệt hại 2,36 tỷ USD. Trong số đó, tổn thất do các cuộc tấn công lừa đảo gây ra chiếm gần một nửa, tăng 31% so với cùng kỳ năm ngoái, trở thành một trong những mối đe dọa lớn nhất đối với an ninh tài sản của người dùng.
Trong tình huống như vậy, làm thế nào để ứng phó hiệu quả với các cuộc tấn công lừa đảo đã trở thành một vấn đề mà mọi người dùng Web3.0 và bên dự án phải chú ý. Bài viết này sẽ thảo luận cách ngăn chặn các cuộc tấn công lừa đảo, giúp bạn nắm vững các chiến lược bảo vệ cốt lõi và xây dựng hàng rào bảo mật mạnh mẽ hơn cho tài sản kỹ thuật số.
Mạng Các cuộc tấn công lừa đảo ngày càng tinh vi và không còn giới hạn ở các email đáng ngờ. Ngày nay, tin tặc sử dụng nhiều phương tiện khác nhau để đánh lừa người dùng Web3.0 và đánh cắp tài sản kỹ thuật số của họ. Sau đây là một số phương thức tấn công phổ biến:
Spear lừa đảo Lừa đảo):Đây là phương pháp tấn công có mục tiêu cao. Những kẻ tấn công cải trang thành những cá nhân hoặc tổ chức đáng tin cậy và sử dụng các thủ đoạn lừa đảo phức tạp để lừa người dùng tiết lộ thông tin nhạy cảm hoặc cấp quyền truy cập, từ đó đánh cắp tài sản kỹ thuật số. Kiểu tấn công này thường có tính lừa đảo cao, chiếm được lòng tin của nạn nhân thông qua các cách ngụy trang được tùy chỉnh và đáng tin cậy cao.
Lừa đảo DApp: Kẻ tấn công tạo các ứng dụng phi tập trung (DApp) giả mạo, lôi kéo người dùng kết nối với ví của họ . Khi người dùng được ủy quyền, kẻ tấn công có thể truy cập và hoàn thành hành vi trộm cắp. Cuộc tấn công này khai thác niềm tin của người dùng vào các ứng dụng phi tập trung và sự chưa quen với các công nghệ mới.
Lấy cắp tài khoản mạng xã hội:KOL hoặc KOL trong Web3.0 field Tài khoản mạng xã hội của tổ chức dự án có thể bị hack. Tin tặc sử dụng những tài khoản này để đăng thông tin sai lệch và quảng bá các trò lừa đảo, liên kết lừa đảo hoặc quà tặng giả nhằm đánh lừa người hâm mộ. Vì những tài khoản này thường có mức độ chú ý cao nên các cuộc tấn công như vậy có thể lan rộng trên diện rộng và có thể gây thiệt hại nghiêm trọng cho cả tài sản của người dùng và danh tiếng thương hiệu.
Để ngăn chặn hiệu quả các cuộc tấn công lừa đảo, người dùng phải luôn cảnh giác và thực hiện các biện pháp sau:
Xác minh tính xác thực của URL và hợp đồng thông minh: Luôn sử dụng blockchain trước khi thực hiện bất kỳ giao dịch nào như Etherscan[1], Bscscan[2] hoặc Solscan[3], v.v., xác minh tính hợp pháp của địa chỉ. Bước này rất quan trọng vì địa chỉ giả có thể khiến tài sản của bạn bị tin tặc kiểm soát.
Hãy thận trọng khi ủy quyền các giao dịch:Không bao giờ phê duyệt hoặc ủy quyền bất kỳ giao dịch nào mà bạn không tự mình thực hiện. Trước khi phê duyệt giao dịch, hãy kiểm tra cẩn thận tính chính xác của thông tin để đảm bảo rằng địa chỉ khởi tạo và địa chỉ đích của giao dịch là đáng tin cậy. Bước này có thể ngăn chặn tin tặc đánh cắp tài sản của bạn một cách hiệu quả bằng cách giả mạo ủy quyền giao dịch.
Thu hồi các quyền đáng ngờ: Nếu có nghi ngờ về bất kỳ quyền nào đã được cấp, người dùng có thể sử dụng các công cụ như revoke.cash[4] để thu hồi các quyền được cấp cho DApp. Việc thu hồi kịp thời các quyền không cần thiết có thể làm giảm rủi ro bảo mật tiềm ẩn.
Cẩn thận với các liên kết đáng ngờ: Không bao giờ nhấp vào các liên kết được gửi trong tin nhắn riêng tư. Tin tặc thường sử dụng giao diện giả mạo và URL lừa đảo để đánh lừa người dùng. Luôn kiểm tra các URL không an toàn hoặc đáng ngờ, chứng chỉ SSL giả mạo và các liên kết từ các nguồn không xác định để tránh rơi vào bẫy do tin tặc giăng ra.
Ví lạnh là ví ngoại tuyến có thể cách ly hoàn toàn và lưu trữ khóa riêng một cách an toàn. Nó là một thiết bị vật lý chuyên dụng cho phép người dùng ký các giao dịch mà không để lộ khóa riêng của họ. Không giống như ví nóng, ví lạnh không cho phép kẻ tấn công từ xa truy cập vào bất kỳ lúc nào, do đó giảm nguy cơ bị tấn công một cách hiệu quả. Tính năng này của ví lạnh khiến chúng trở nên lý tưởng cho nhu cầu lưu trữ lâu dài hoặc để giữ những tài sản không được sử dụng thường xuyên. Nó có thể giúp người dùng tránh phụ thuộc vào bên thứ ba trực tuyến, từ đó cải thiện đáng kể tính bảo mật của tài sản kỹ thuật số.
Tuy nhiên, ví lạnh không phải là liều thuốc chữa bách bệnh để bảo vệ. Tính bảo mật của tiền kỹ thuật số đòi hỏi nhiều cấp độ bảo vệ. Ví dụ: người dùng có thể thêm xác thực đa chữ ký hoặc xác thực hai yếu tố (2FA) để tăng cường bảo mật ví hơn nữa. Thông qua các biện pháp này, người dùng có thể xây dựng tuyến phòng thủ an ninh mạnh mẽ hơn để chống lại các mối đe dọa tiềm ẩn khác nhau một cách hiệu quả.
Trên các nền tảng mạng xã hội, tin tặc thường nhắm mục tiêu vào người dùng bằng cách mạo danh những nhân vật nổi tiếng hoặc tạo tài khoản giả để lừa đảo. Các trò lừa đảo phổ biến nhất bao gồm các chiến dịch “tặng quà” giả mạo, thường hứa hẹn cho người dùng phần thưởng cao khi trả một số tiền nhất định. Các chiến thuật khác bao gồm gửi tin nhắn riêng tư, liên kết lừa đảo hoặc những lời hứa hợp tác sai lầm. Những kẻ lừa đảo thường rơi vào bẫy bằng cách lợi dụng cảm giác cấp bách, buộc nạn nhân phải hành động mà không cân nhắc kỹ lưỡng.
Ngoài ra, người dùng cần cảnh giác với các nhóm thảo luận lừa đảo xuất hiện trên các nền tảng như Telegram và Discord. Các nhóm này có thể truyền bá thông tin sai lệch hoặc chia sẻ các liên kết lừa đảo, bắt chước các kênh dự án Web 3.0 chính thức. Để bảo vệ khỏi những rủi ro này, CertiK khuyến nghị người dùng nên thực hiện các bước sau:
Tắt tin nhắn riêng tư: Bạn nên tắt tính năng riêng tư tin nhắn từ các thành viên của các nhóm chia sẻ lớn và hãy cảnh giác với mọi tương tác không được yêu cầu. Điều này có thể làm giảm hiệu quả khả năng bị những kẻ lừa đảo liên hệ trực tiếp.
Theo dõi các kênh chính thức: Khi theo dõi thông tin dự án, chỉ theo dõi các tài khoản chính thức đã được xác minh và ưu tiên tham khảo các tài khoản trực tiếp từ chính thức thông báo trang web. Điều này có hiệu quả có thể tránh bị đánh lừa bởi thông tin sai lệch.
Bảo vệ thông tin cá nhân: Không bao giờ chia sẻ ảnh chụp màn hình hoặc thông tin cá nhân liên quan đến ví của bạn trên mạng xã hội. Thông tin này có thể được những kẻ lừa đảo sử dụng để thực hiện các cuộc tấn công lừa đảo và thậm chí có thể gây ra mối đe dọa cho sự an toàn cá nhân của người dùng.
Trong thế giới Web3.0, bảo mật tổng thể Kiến thức là một trong những chìa khóa để bảo vệ tài sản kỹ thuật số. CertiKSkynet[5] có thể giúp người dùng hiểu được độ tin cậy của dự án và kiểm tra rủi ro của mã dự án bằng cách xem các điểm chính được Skynet tóm tắt và báo cáo kiểm toán chi tiết.
Skynet Quest sử dụng phương pháp học tập tương tác để giúp người dùng nắm vững kiến thức cốt lõi về bảo mật Web 3.0, chẳng hạn như bảo vệ khóa riêng, chọn sàn giao dịch an toàn và xác định các công cụ đánh cắp tiền kỹ thuật số (công cụ rút tiền điện tử). Thông qua các công cụ và tài nguyên này, người dùng có thể nâng cao nhận thức về bảo mật và xử lý tốt hơn các rủi ro khác nhau.
Ngoài ra, người dùng nên tiếp tục tìm hiểu và nhận diện các phương thức lừa đảo mới. Để cập nhật các cảnh báo sự kiện và thống kê dữ liệu bảo mật mới nhất, người dùng có thể theo dõi @certikalert[6] trên X và đọc phân tích sự kiện bảo mật mới nhất[7] được phát hành trên trang web chính thức của CertiK. Bằng cách liên tục học hỏi và cập nhật kiến thức, người dùng có thể ứng phó tốt hơn với các mối đe dọa an ninh mạng luôn thay đổi và đảm bảo rằng tài sản kỹ thuật số của họ được an toàn.
Cảnh sát Hoàng gia Malaysia đã phá đường dây lừa đảo tiền điện tử nhắm vào công dân Nhật Bản, bắt giữ 21 cá nhân sử dụng bungalow sang trọng và ứng dụng mạng xã hội để lừa đảo nạn nhân. Hoạt động này bao gồm các chiến thuật tinh vi, bao gồm sử dụng ứng dụng hẹn hò để thu hút nhà đầu tư và hệ thống thanh toán dựa trên hoa hồng cho những kẻ lừa đảo.
AnaisSony BSL đã ra mắt mạng thử nghiệm công khai "Soneium Minato" dành cho các nhà phát triển Ethereum Layer-2 và giới thiệu chương trình ươm tạo "Soneium Spark" dành cho các nhà phát triển Web3, tạo ra một hệ sinh thái toàn diện cho sự đổi mới trên nền tảng này.
CatherineBài viết này giới thiệu 11 quỹ ETF Bitcoin được chấp thuận vào năm 2024 để giúp các nhà đầu tư lựa chọn công cụ đầu tư phù hợp và dễ dàng tham gia thị trường tiền điện tử.
AlexMeta Spark sẽ ngừng hoạt động vào ngày 14 tháng 1 năm 2025, chấm dứt nền tảng của mình để tạo AR của bên thứ ba và xóa nội dung AR do người dùng tạo ra khỏi Instagram, Facebook và Messenger. Meta đang chuyển trọng tâm sang AI và metaverse, để các nhà phát triển AR tìm kiếm các nền tảng mới như Lens Studio của Snapchat hoặc Unity.
WeatherlyTổng giám đốc điều hành Telegram Pavel Durov đang bị điều tra tại Thụy Sĩ vì cáo buộc ngược đãi trẻ em, sau khi đối tác cũ của ông, Irina Bolgar, khiếu nại. Những cáo buộc này, liên quan đến vấn đề cấp dưỡng nuôi con và quyền nuôi con chưa trả, đã xuất hiện sau vụ bắt giữ gần đây của ông tại Pháp. Durov được tại ngoại với số tiền bảo lãnh là 5,5 triệu đô la nhưng vẫn bị giám sát tư pháp.
CatherineSEC đã ban hành thông báo Wells cho OpenSea, tuyên bố một số NFT nhất định trên nền tảng của họ có thể đủ điều kiện là chứng khoán, đánh dấu sự thay đổi đáng kể về mặt quy định đối với lĩnh vực NFT. Tổng giám đốc điều hành của OpenSea, Devin Finzer, đã phản hồi bằng cách bảo vệ quyền tự do sáng tạo của các nghệ sĩ và công bố quỹ pháp lý trị giá 5 triệu đô la để hỗ trợ những người sáng tạo NFT.
WeatherlyTin tặc Trung Quốc bị nghi ngờ đã khai thác lỗ hổng zero-day trong Versa Director, phần mềm được các ISP sử dụng để bảo mật mạng, xâm nhập vào một số công ty internet tại Hoa Kỳ và nước ngoài.
KikyoThủ tướng Nhật Bản Fumio Kishida đã công bố kế hoạch để Nhật Bản dẫn đầu trong đổi mới Web3, nhấn mạnh các cải cách thuế hỗ trợ và các biện pháp quản lý để thúc đẩy các công ty khởi nghiệp blockchain. Ông cũng đề xuất một khuôn khổ pháp lý cho DAO và nhấn mạnh việc sử dụng các công nghệ Web3 để giải quyết các thách thức của xã hội và thúc đẩy tăng trưởng kinh tế.
AnaisHamster Kombat, trò chơi tap-to-earn hàng đầu của Telegram, sẽ ra mắt token HMSTR trên The Open Network (TON) vào ngày 26 tháng 9, với đợt airdrop cho người chơi cùng ngày. Các chuyên gia dự đoán nó có thể vượt qua thành công của Notcoin.
CatherineHugo Hyungsoo Lee, CEO của Haru Invest, đã bị đâm tại tòa bởi một người đàn ông tức giận vì cáo buộc gian lận của công ty, dẫn đến việc đình chỉ 1,05 tỷ đô la tiền gửi của khách hàng. Vụ tấn công nêu bật hậu quả nghiêm trọng về mặt cá nhân và tài chính của hành vi sai trái về tài chính trong lĩnh vực tiền điện tử.
Anais