Bảo mật trong Web3

Đừng bao giờ chia sẻ nó. Nhấn mạnh việc này không bao giờ là đủ.

Lừa những người từ chối web3 giao nộp hoặc tiết lộ SRP của họ là một trong những cách sinh lợi nhất mà những kẻ lừa đảo hoạt động. Luôn cực kỳ cảnh giác với bất kỳ ai yêu cầu bạn làm điều đó. Metamask chắc chắn sẽ không yêu cầu rồi.

Không phải ngẫu nhiên mà phương thức tấn công chính còn lại cũng liên quan đến việc tận dụng các rủi ro của việc tự quản. Nó xoay quanh cách bạn sử dụng ví MetaMask của mình để cấp quyền cho các ứng dụng phi tập trung (dapp) mà bạn tương tác.

Như chúng ta đã khám phá trong bài học Ví tiền mã hoá là gì , ví của bạn về cơ bản là một công cụ để quản lý danh tính và quyền của bạn. Khi bạn đã sử dụng ví của mình để ký cấp quyền cho bên thứ ba, họ có sự đồng ý cố định của bạn để làm bất cứ điều gì họ yêu cầu. Đây là lý do tại sao bạn nên rất, rất cẩn trọng khi chia sẻ cấp quyền.

Một trong những quyền phổ biến nhất mà bạn sẽ ký trong MetaMask là chấp thuận token. Các giao dịch này có nhiều dạng, nhưng nhìn chung cấp cho dapp được yêu cầu quyền truy cập vào một số lượng token hoặc NFT nhất định. Đặc biệt là, các số và mã thập lục phân dài đặc biệt không thể đọc được bằng con người, điều này tạo cơ hội cho những kẻ lừa đảo: việc buộc bạn chấp thuận một giao dịch độc hại sẽ dễ dàng hơn nếu bạn không hiểu những gì nó kéo theo. Một chiến thuật phổ biến khác là yêu cầu quyền truy cập không giới hạn vào token, vì vậy sau khi được chấp thuận, dapp có thể gỡ bỏ bao nhiêu tùy ý khỏi tài khoản của bạn vì về mặt kỹ thuật, nó đã được cấp quyền làm như vậy. Nếu dapp độc hại, tài khoản của bạn sẽ bị bòn rút.

Chấp thuận và cấp quyền là một chủ đề phức tạp và đang phát triển. Tuy nhiên, nếu có một điều bạn nên nhớ, thì đó là: không bao giờ chấp thuận giao dịch được đề xuất bởi một dapp đáng ngờ và nếu bạn không chắc chắn, đừng cấp cho họ quyền truy cập không giới hạn vào token.

Để đọc thêm về chấp thuận token, hãy xem các tài nguyên trong Tìm hiểu sâu hơn.

Tự quản có nghĩa là bạn cần thực hiện bảo mật của riêng mình. Không ai khác có thể làm điều đó cho bạn. Không ai có thể sao lưu tài khoản của bạn nếu bạn mất quyền truy cập vào tài khoản hoặc lấy lại tiền cho bạn nếu token của bạn bị đánh cắp. Chỉ bạn và bất kỳ ai khác có quyền truy cập vào Cụm từ khôi phục bí mật (SRP) của bạn. Đó là một trách nhiệm lớn, nhưng bạn sẽ có được vinh dự được tìm hiểu và trải nghiệm khi web3 có mặt trên toàn thế giới.

MetaMask ưu tiên bảo mật người dùng hơn tất cả; bạn có thể thấy điều này trong chính cách sử dụng ví, nơi đưa ra các cảnh báo khi bạn chuẩn bị làm điều gì đó nguy hiểm; trong việc phát triển các công cụ như LavaMoat, đảm bảo tính an toàn của mã và các nỗ lực giáo dục như thế này. Ngoài ra còn có các tùy chọn bổ sung có sẵn, cũng như thêm một lớp bảo mật khác giữa bạn và kẻ xấu.

Nhập ví cứng—thiết bị vật lý bên ngoài máy tính của bạn để bảo vệ khóa riêng của tài khoản của bạn. Chúng bị ngắt kết nối với những hành động trực tuyến khác mà bạn thường làm trên điện thoại và máy tính xách tay của mình như kiểm tra email, tải ứng dụng xuống và duyệt Internet để xem các video hài hước về mèo.

Bạn có thể kết nối các ví cứng này với MetaMask để linh hoạt trong khi thực hiện các hoạt động web3. Duyệt các dapp với MetaMask và ký các giao dịch trên ví cứng của bạn.

Kết hợp ví cứng với MetaMask (ví phần mềm), cho phép bạn tăng cường bảo mật khi bạn chịu trách nhiệm nhiều hơn trong quá trình tự quản của mình.