Bảo mật trong Web3

Hero 11

Web3 là cơ hội hiếm có để thay đổi cách công dân trên thế giới tương tác, giao dịch và giải trí. Giống như bất kỳ cuộc hành trình mới nào, việc tham gia vào trào lưu này không phải là không có rủi ro.


Sẽ có những kẻ cố gắng lừa bạn, tương tự như những kẻ xấu săn đón những khách du lịch cả tin. Trộm cắp và lừa đảo không còn là vấn đề mới, chúng đã tồn tại từ rất lâu và thâm nhập vào các ngành công nghiệp theo những cách thức khác nhau.  Dù vậy, thật an ủi phần nào khi ở web3, bạn nắm quyền kiểm soát và cùng với nhận thức, bạn có thể học cách điều hướng thế giới mới này một cách an toàn bằng các phương pháp hay nhất. Trong bài học này, chúng ta sẽ thảo luận về một số nguyên tắc chính mà bạn cần tiếp thu trước khi bắt tay vào hành trình khám phá trên web3 của mình.

Các phương thức tấn công và cách tránh chúng


Nhớ đến bài học về tự quản của chúng tôi không? Chà, có một lý do khiến chúng tôi đề cập đến điều này từ rất sớm. Một trong những cách phổ biến nhất mà người dùng bị khai thác trong web3 là trong khi điều hướng quá trình chuyển đổi từ mô hình tinh thần web2—bạn có tên người dùng và mật khẩu, đồng thời giao phó việc bảo quản an toàn thống tin đó cho một nền tảng—sang mô hình web3, tự quản. Tự quản – mang tính trao quyền vốn có – không phải là không có rủi ro.

Nếu bạn làm mất mật khẩu của ứng dụng ngân hàng trực tuyến, ngân hàng của bạn, với tư cách là người quản lý tài khoản và tiền của bạn, bạn có thể đặt lại mật khẩu đó thay mặt chính mình, miễn là bạn có thể chứng minh danh tính của mình. Tuy nhiên, với quyền tự quản, bạn nắm giữ phương tiện duy nhất để chứng minh danh tính của mình: Cụm từ khôi phục bí mật (cụm từ gốc) của bạn. Không ai khác có thể đặt lại tài khoản của bạn cho bạn.

Secondary assets 10 - 01

Cụm từ khôi phục bí mật (SRP) của bạn chỉ nên nằm trong tay bạn và của mình cá nhân bạn.

Đừng bao giờ chia sẻ nó. Nhấn mạnh việc này không bao giờ là đủ.

Lừa những người từ chối web3 giao nộp hoặc tiết lộ SRP của họ là một trong những cách sinh lợi nhất mà những kẻ lừa đảo hoạt động. Luôn cực kỳ cảnh giác với bất kỳ ai yêu cầu bạn làm điều đó. Metamask chắc chắn sẽ không yêu cầu rồi.

Không phải ngẫu nhiên mà phương thức tấn công chính còn lại cũng liên quan đến việc tận dụng các rủi ro của việc tự quản. Nó xoay quanh cách bạn sử dụng ví MetaMask của mình để cấp quyền cho các ứng dụng phi tập trung (dapp) mà bạn tương tác.

Như chúng ta đã khám phá trong bài học Ví tiền mã hoá là gì , ví của bạn về cơ bản là một công cụ để quản lý danh tính và quyền của bạn. Khi bạn đã sử dụng ví của mình để ký cấp quyền cho bên thứ ba, họ có sự đồng ý cố định của bạn để làm bất cứ điều gì họ yêu cầu. Đây là lý do tại sao bạn nên rất, rất cẩn trọng khi chia sẻ cấp quyền.

Một trong những quyền phổ biến nhất mà bạn sẽ ký trong MetaMask là chấp thuận token. Các giao dịch này có nhiều dạng, nhưng nhìn chung cấp cho dapp được yêu cầu quyền truy cập vào một số lượng token hoặc NFT nhất định. Đặc biệt là, các số và mã thập lục phân dài đặc biệt không thể đọc được bằng con người, điều này tạo cơ hội cho những kẻ lừa đảo: việc buộc bạn chấp thuận một giao dịch độc hại sẽ dễ dàng hơn nếu bạn không hiểu những gì nó kéo theo. Một chiến thuật phổ biến khác là yêu cầu quyền truy cập không giới hạn vào token, vì vậy sau khi được chấp thuận, dapp có thể gỡ bỏ bao nhiêu tùy ý khỏi tài khoản của bạn vì về mặt kỹ thuật, nó đã được cấp quyền làm như vậy. Nếu dapp độc hại, tài khoản của bạn sẽ bị bòn rút.

Chấp thuận và cấp quyền là một chủ đề phức tạp và đang phát triển. Tuy nhiên, nếu có một điều bạn nên nhớ, thì đó là: không bao giờ chấp thuận giao dịch được đề xuất bởi một dapp đáng ngờ và nếu bạn không chắc chắn, đừng cấp cho họ quyền truy cập không giới hạn vào token.

Để đọc thêm về chấp thuận token, hãy xem các tài nguyên trong Tìm hiểu sâu hơn.

Micro System 10
Identity

Đừng để bị mắc bẫy nhé

Bạn có thể tăng cường đáng kể mức độ an toàn cho web3 của mình nếu tìm hiểu các dấu hiệu nhận biết về hoạt động độc hại. Có nhiều cách để những kẻ lừa đảo gây chú ý — cả cố ý và vô tình. Đây chỉ là một số cách:

  • Yêu cầu khẩn cấp: Sử dụng áp lực thời gian để tạo ra sự cấp bách với thời hạn hoặc ngày giới hạn

  • FOMO: Hứa hẹn về lợi nhuận phi thực tế, airdrop hoặc danh sách cho phép

  • Mạo danh: Bắt chước các giao thức, dự án và người nổi tiếng

  • Rắc rối xung quanh các khía cạnh: Ngữ pháp, thiết kế web kém hoặc thương hiệu không chuyên nghiệp nói chung

  • Nhắn tin bất ngờ: Yêu cầu về tiền, sự nhiệt tình thái quá và sự tuyệt vọng nài xin bạn tham gia.

Hãy luôn nhớ rằng: nếu điều gì đó có vẻ khó tin, thì có thể đúng là như vậy.

Ví cứng: Một lớp bảo mật bổ sung

Tự quản có nghĩa là bạn cần thực hiện bảo mật của riêng mình. Không ai khác có thể làm điều đó cho bạn. Không ai có thể sao lưu tài khoản của bạn nếu bạn mất quyền truy cập vào tài khoản hoặc lấy lại tiền cho bạn nếu token của bạn bị đánh cắp. Chỉ bạn và bất kỳ ai khác có quyền truy cập vào Cụm từ khôi phục bí mật (SRP) của bạn. Đó là một trách nhiệm lớn, nhưng bạn sẽ có được vinh dự được tìm hiểu và trải nghiệm khi web3 có mặt trên toàn thế giới.

MetaMask ưu tiên bảo mật người dùng hơn tất cả; bạn có thể thấy điều này trong chính cách sử dụng ví, nơi đưa ra các cảnh báo khi bạn chuẩn bị làm điều gì đó nguy hiểm; trong việc phát triển các công cụ như LavaMoat, đảm bảo tính an toàn của mã và các nỗ lực giáo dục như thế này. Ngoài ra còn có các tùy chọn bổ sung có sẵn, cũng như thêm một lớp bảo mật khác giữa bạn và kẻ xấu.

Nhập ví cứng—thiết bị vật lý bên ngoài máy tính của bạn để bảo vệ khóa riêng của tài khoản của bạn. Chúng bị ngắt kết nối với những hành động trực tuyến khác mà bạn thường làm trên điện thoại và máy tính xách tay của mình như kiểm tra email, tải ứng dụng xuống và duyệt Internet để xem các video hài hước về mèo.

Bạn có thể kết nối các ví cứng này với MetaMask để linh hoạt trong khi thực hiện các hoạt động web3. Duyệt các dapp với MetaMask và ký các giao dịch trên ví cứng của bạn.

Kết hợp ví cứng với MetaMask (ví phần mềm), cho phép bạn tăng cường bảo mật khi bạn chịu trách nhiệm nhiều hơn trong quá trình tự quản của mình.

Bảo mật trong Web3

Hãy thử ký gửi ETH của bạn, chọn nhà cung cấp ký gửi yêu thích của bạn

  • Phần thưởng cao nhất

    mega-staked-eth

    Mega Staked ETH

    mgETH

    69.63% phần thưởng

  • Phần thưởng cao nhất

    lido-staked-eth

    Lido Staked ETH

    stETH

    3% phần thưởng

  • Phần thưởng cao nhất

    rocket-pool-staked-eth

    Rocket Pool Staked ETH

    rETH

    3% phần thưởng

  • Secondary assets 10 - 01
    01

    Tự quản – mang tính trao quyền – có rủi ro và yêu cầu các biện pháp bảo mật thích hợp từ phía tôi

  • Secondary assets 10 - 02
    02

    Hai cuộc tấn công web3 phổ biến nhất mà tôi có thể gặp phải là những kẻ xấu đang cố lấy Cụm từ khôi phục bí mật của tôi và nhận được sự chấp thuận token không mong muốn từ tôi

  • 03 Takeaway 01
    03

    Ví cứng là bước tốt đầu tiên nhằm tăng cường bảo mật web3 của tôi.

Bạn đã sẵn sàng thực hiện bước tiếp theo?

Khám phá MetaMask
Learn