OKX Web3 ví tiền đặc biệt lập trình một chuỗi bài viết về “Bảo mật đặc biệt”, giải đáp các vấn đề an ninh liên quan đến các loại khác nhau trên chuỗi. Thông qua các trường hợp thực tế xảy ra gần gũi người dùng, cùng các chuyên gia hoặc tổ chức trong lĩnh vực an ninh, chia sẻ và giải đáp từ nhiều góc độ khác nhau, từ dễ đến khó để sắp xếp và tổng kết các quy tắc giao dịch an toàn, nhằm tăng cường giáo dục an ninh cho người dùng, đồng thời giúp người dùng bắt đầu từ chính mình để học cách bảo vệ khóa riêng và an toàn tài sản ví.
Trong thế giới Web3, không thể tiết kiệm được 2 khoản tiền:
Một là Gas giao trên chuỗi; một là mua trang bị ngoại tuyến.
Nhưng dù là trên chuỗi hay ngoại tuyến, an ninh đều rất quan trọng ~
Đây là kỳ số 04 của đặc biệt về an ninh, đặc biệt mời đến nhóm an ninh của nhà cung cấp ví tiền ảo OneKey và nhóm an ninh ví Web3 của OKX, bắt đầu từ góc độ hướng dẫn thực hành, dạy bạn cách tăng “Buff” an ninh cho thiết bị.
Nhóm an ninh OneKey: OneKey được thành lập vào năm 19, là một công ty tập trung vào an ninh, cung cấp ví tiền ảo phần cứng và phần mềm mã nguồn mở, và có một phòng thí nghiệm tấn công và phòng thủ an ninh, đã nhận được sự hỗ trợ từ các tổ chức hàng đầu như Coinbase, Ribbit Capital, Dragonfly. Hiện tại, ví tiền ảo phần cứng OneKey đang trở thành một trong những thương hiệu bán chạy nhất tại Châu Á.
Nhóm an ninh ví Web3 của OKX: Xin chào, rất vui được chia sẻ lần này. Nhóm an ninh ví Web3 của OKX chủ yếu chịu trách nhiệm xây dựng các khả năng an ninh của OKX trong lĩnh vực Web3, ví dụ như xây dựng khả năng an ninh của ví, kiểm toán an ninh hợp đồng thông minh, giám sát an ninh các dự án trên chuỗi, cung cấp nhiều lớp bảo vệ an toàn sản phẩm, an toàn quỹ và an toàn giao dịch cho người dùng, đóng góp sức mạnh vào việc duy trì toàn bộ sinh thái an ninh blockchain.
Câu 1: Có thể chia sẻ một vài trường hợp rủi ro thiết bị thực tế của người dùng không?
Nhóm an ninh OneKey: Các trường hợp rủi ro thiết bị liên quan đến người dùng Web3 có tính đa dạng, chúng tôi sẽ đưa ra một số ví dụ phổ biến.
Ví dụ 1, người dùng Alice rời khỏi thiết bị của mình, không biết rằng bị người bên cạnh xâm nhập vật lý vào thiết bị và đánh cắp tài sản. Điều này thường được gọi là “Evil maid attack” trong lĩnh vực an ninh máy tính, cũng là loại rủi ro thiết bị phổ biến nhất mà người dùng gặp phải.
從「擼毛工作室」的同事、打掃房間的阿姨甚至是到親密無間的枕邊人,都有可能是見財起意的攻擊者。此前我們曾經有協助用戶追查硬件錢包內資產被盜情況,用戶報案後,申報交易所獲取了攻擊者所使用的交易所賬戶 KYC,最終發現竟是身邊人所為,所謂「千防萬防,家賊難防」。
案例二,用戶 Bob 被物理協迫,不得已交出自己的有資產控制權限的設備,這在加密圈內有個哭笑不得的名字——「五美元扳手攻擊($5 Wrench Attack)」。
近年來隨著 Crypto 財富效應的出圈,針對高淨值人群的綁架勒索情況似乎愈演愈烈,尤其是在犯罪率偏高的國家。在 2023 年初,就有媒體報道一則線下交易虛擬貨幣遭搶劫的消息。受害者系參與線下數字貨幣投資者聚會,飯後在車內被控制,不法分子強行利用受害人面部識別解鎖手機與錢包軟件,將錢包內加密貨幣兌換為 410 萬枚 USDT 後,隨即轉移資金並離開。近期在推特上,也熱傳一位加密礦業 OG 表示自己在遭遇了國際犯罪集團的搶劫,被勒索了畢生累積的大部分加密資產。
OKX Web3 錢包安全團隊:今天這個主題很好,此前我們聊了私鑰安全、MEME 交易安全、以及擼毛安全等很多鏈上安全的主題,實際上設備安全也非常重要,我們分享一些比較經典的案例。
案例一:被篡改過的硬件錢包
用戶 A 從未經授權的平台購買了一個硬件錢包,未經驗證便開始使用。實際上該錢包固件遭受篡改,已經預先生成過多套助記詞。最終用戶存放於該硬件錢包的加密資產被黑客完全控制,損失慘重。
預防措施:1)用戶盡量從官方或可信渠道購買硬件錢包。2)使用錢包前,進行官方的完整驗證流程以確保固件安全。
案例二:釣魚攻擊
Người dùng B nhận được một email từ “Trung tâm Bảo mật Ví” cho biết ví của người dùng có vấn đề an ninh và yêu cầu người dùng nhập cụm từ phục hồi ví để cập nhật an ninh. Trên thực tế, đây là một cuộc tấn công lừa đảo được thiết kế tinh ý, người dùng cuối cùng mất toàn bộ tài sản của mình.
Biện pháp phòng ngừa: 1) Người dùng không bao giờ nhập khóa riêng tư hoặc cụm từ phục hồi trên bất kỳ trang web chưa được xác minh nào. 2) Sử dụng màn hình ví cứng để xác minh tất cả thông tin giao dịch và hoạt động.
Trường hợp 3: An ninh Phần mềm
Người dùng C tải xuống phần mềm độc hại từ một nguồn không được xác minh, khi người dùng thực hiện thao tác ví, do phần mềm có chứa logic độc hại dẫn đến mất tài sản.
Biện pháp phòng ngừa: 1) Người dùng tải phần mềm từ các kênh chính thức và cập nhật thường xuyên phần mềm và phần cứng liên quan. 2) Sử dụng phần mềm diệt virus và tường lửa để bảo vệ thiết bị của bạn.
Câu 2: Thiết bị và tiện nghi vật lý thường dùng của người dùng và loại rủi ro
Nhóm An ninh OneKey: Đối với thiết bị liên quan đến an ninh tài sản của người dùng, thường bao gồm điện thoại, máy tính, ví cứng, thiết bị lưu trữ USB và thiết bị truyền thông mạng (như WIFI).
Ngoài những cuộc tấn công “Evil Maid Attack” và “5 đô la Wrench Attack” mà chúng ta đã đề cập trước đó, chúng tôi sẽ bổ sung một số khía cạnh cần đặc biệt chú ý như sau.
1. Kỹ thuật Xã hội và tấn công lừa đảo
Kỹ thuật xã hội và tấn công lừa đảo là những phương pháp tấn công phổ biến và hiệu quả hiện nay, kẻ tấn công sử dụng điểm yếu của bản tính để lừa người dùng thực hiện thao tác nguy hiểm. Ví dụ như liên kết lừa đảo và tệp đính kèm, kẻ tấn công có thể gửi email, tin nhắn văn bản hoặc thông điệp trên mạng xã hội có chứa liên kết độc hại, mạo danh là nguồn tin cậy, như thông báo ngân hàng hoặc thông báo từ nền tảng xã hội. Một khi người dùng nhấp vào những liên kết này hoặc tải xuống tệp đính kèm, phần mềm độc hại sẽ được chèn vào thiết bị, dẫn đến thiết bị bị xâm nhập từ xa.
Lại ví dụ, giả mạo nhân viên hỗ trợ kỹ thuật, kẻ tấn công có thể mạo danh là nhân viên hỗ trợ kỹ thuật, liên hệ với người dùng qua điện thoại hoặc email, tuyên bố rằng thiết bị của họ có vấn đề và cần phải hành động ngay lập tức. Họ có thể dụ dỗ người dùng cấp quyền truy cập từ xa vào thiết bị hoặc tiết lộ thông tin nhạy cảm. Hiện tại trên Twitter, chỉ cần bạn đề cập đến thuật ngữ liên quan đến tiền tệ điện tử, sẽ rất nhanh có một đám robot giả mạo hỗ trợ kỹ thuật “dịch vụ” cho bạn.
Hai, tấn công chuỗi cung cấp
Tấn công chuỗi cung cấp là khi kẻ tấn công thực hiện việc can thiệp độc hại trong quá trình sản xuất hoặc vận chuyển thiết bị. Nó cụ thể thể hiện qua ba điểm sau:
Điểm thứ nhất là sửa đổi phần cứng. Kẻ tấn công có thể can thiệp vào quá trình sản xuất ví phần cứng hoặc thiết bị lưu trữ USB, chèn phần mềm độc hại. Ví dụ, nếu người dùng mua thiết bị phần cứng từ nguồn không đáng tin cậy, họ có thể nhận được một thiết bị đã bị sửa đổi, có thể đã được cài đặt phần mềm độc hại có khả năng đánh cắp thông tin hoặc cho phép truy cập từ xa.
Điểm thứ hai là sửa đổi phần mềm. Kẻ tấn công có thể tấn công vào chuỗi cung cấp phần mềm của thiết bị, sửa đổi phần mềm hoặc gói cập nhật phần cứng. Khi người dùng tải xuống và cài đặt những cập nhật này, thiết bị có thể được chèn vào phần mềm backdoor hoặc các loại mã độc khác.
Điểm thứ ba là tấn công logistics: Trong quá trình vận chuyển thiết bị, kẻ tấn công có thể can thiệp và sửa đổi thiết bị. Ví dụ, trên đường chuyển phát nhanh, thiết bị phần cứng có thể bị thay thế hoặc sửa đổi để kẻ tấn công thực hiện cuộc tấn công tiếp theo.
Ba, tấn công người trung gian
Tấn công người trung gian (Man-in-the-Middle Attack, MITM) là khi kẻ tấn công can thiệp và sửa đổi quá trình truyền tải dữ liệu giữa hai bên.
Ví dụ, khi người dùng sử dụng một mạng liên lạc không mã hóa, kẻ tấn công có thể dễ dàng chộp và sửa đổi dữ liệu đang truyền. Điều này cũng xảy ra khi sử dụng các trang web HTTP không mã hóa, kẻ tấn công có thể chộp và sửa đổi dữ liệu mà người dùng gửi và nhận.
Lần nữa, ví dụ như WIFI công cộng, khi sử dụng WIFI công cộng, thông tin truyền tải của người dùng dễ bị kẻ tấn công can thiệp. Thậm chí, kẻ tấn công có thể thiết lập điểm nóng WIFI độc hại, một khi người dùng kết nối, kẻ tấn công có thể giám sát và đánh cắp thông tin nhạy cảm của người dùng, như thông tin đăng nhập và bản ghi giao dịch ngân hàng. WIFI tại nhà của mình cũng có thể bị xâm nhập và cài đặt phần mềm độc hại trong trường hợp cực kỳ.
Bốn, tấn công nội bộ từ bên thứ ba và lỗ hổng phần mềm
Tấn công nội bộ từ bên thứ ba và lỗ hổng phần mềm là những yếu tố có ảnh hưởng lớn đến an ninh thiết bị vật lý, nhưng người dùng khó kiểm soát.
Gần nhất là lỗ hổng an ninh phần cứng và phần mềm. Những lỗ hổng này có thể bị kẻ tấn công khai thác để thực hiện tấn công từ xa hoặc tấn công song song vật lý. Ví dụ, một số plugin hoặc ứng dụng có thể có lỗ hổng chưa được phát hiện, kẻ tấn công có thể sử dụng những lỗ hổng này để giành quyền kiểm soát thiết bị. Điều này thường được giải quyết bằng cách cập nhật an ninh. Đồng thời phần cứng cần xem xét sử dụng chip mã hóa mới nhất.
Về phía phần mềm, hoạt động của nhân viên nội bộ: nhà phát triển phần mềm hoặc nhân viên của nhà cung cấp dịch vụ có thể lạm dụng quyền truy cập của họ để thực hiện hoạt động độc hại, đánh cắp dữ liệu người dùng hoặc chèn mã độc hại vào phần mềm. Hoặc do yếu tố bên ngoài dẫn đến hoạt động độc hại.
Ví dụ, trước đây có trường hợp ‘Lũm Mũi Studio’ do sử dụng một trình duyệt đa mở ngón tay dẫn đến tài sản bị đánh cắp, có thể là do phần mềm hoặc plugin hoạt động độc hại từ bên trong. Điều này cho thấy ngay cả phần mềm hợp pháp, nếu kiểm soát nội bộ không nghiêm ngặt, cũng có thể đe dọa đến an ninh tài sản của người dùng.
Ví dụ khác, Ledger trước đây có một cuộc tấn công gây hoang mang – nhiều dapp sử dụng Connect Kit gặp sự cố. Nguyên nhân tấn công là một nhân viên cũ đã trở thành nạn nhân của một cuộc tấn công lừa đảo, kẻ tấn công đã chèn mã độc hại vào kho lưu trữ GitHub của Connect Kit. May mắn Ledger nhóm an ninh đã triển khai biện pháp sửa chữa trong vòng 40 phút sau khi được thông báo vấn đề, Tether cũng đã đóng băng tài sản USDT của kẻ tấn công kịp thời.
Nhóm an ninh ví dụ OKX Web3: Chúng tôi tổng hợp một số thiết bị vật lý thường sử dụng của người dùng và mở rộng về rủi ro tiềm năng mà chúng có thể gây ra.
Các thiết bị vật lý thường sử dụng hiện nay của người dùng bao gồm: 1) Máy tính (các máy tính để bàn và laptop), dùng để truy cập các ứng dụng phi tập trung (dApps), quản lý ví tiền điện tử, tham gia vào mạng lưới blockchain. 2) Điện thoại thông minh và máy tính bảng, dùng để truy cập di động dApps, quản lý ví tiền và thực hiện giao dịch. 3) Ví phần cứng, thiết bị chuyên dụng (như Ledger, Trezor), dùng để lưu trữ an toàn khóa riêng của tiền điện tử, ngăn ngừa tấn công từ hacker. 4) Kiến trúc mạng, các thiết bị như router, switch, tường lửa, đảm bảo kết nối mạng ổn định và an toàn. 5) Thiết bị nút, phần mềm thiết bị (có thể là máy tính cá nhân hoặc máy chủ chuyên dụng), tham gia vào sự đồng thuận mạng và xác thực dữ liệu. 6) Thiết bị lưu trữ lạnh, thiết bị lưu trữ khóa riêng ngoại tuyến, ví dụ như ổ đĩa USB, ví giấy, ngăn ngừa tấn công trực tuyến.
Các rủi ro tiềm năng có thể phát sinh từ các thiết bị vật lý hiện tại chủ yếu có:
1) Rủi ro thiết bị vật lý
– Mất mát hoặc hỏng hóc: Nếu các thiết bị như ví phần cứng hoặc máy tính mất mát hoặc hỏng hóc, có thể dẫn đến mất khóa riêng, từ đó không thể truy cập vào tài sản tiền điện tử.
– Xâm nhập vật lý: Những kẻ xấu sử dụng các phương pháp vật lý để xâm nhập vào thiết bị, truy xuất trực tiếp khóa riêng hoặc thông tin nhạy cảm.
2) Rủi ro an ninh mạng
– Phần mềm độc hại và virus: Tấn công thiết bị của người dùng thông qua phần mềm độc hại, đánh cắp khóa riêng hoặc thông tin nhạy cảm.
– Tấn công lừa đảo: Tr乔ng giả là dịch vụ hợp pháp để lừa người dùng cung cấp khóa riêng hoặc thông tin đăng nhập.
– Tấn công người trung gian (MITM): Tấn công者拦 nghe và sửa đổi thông tin giữa người dùng và mạng lưới blockchain.
3) Rủi ro hành vi người dùng
– Tấn công xã hội: Những kẻ tấn công sử dụng các kỹ thuật xã hội để lừa người dùng tiết lộ khóa riêng hoặc thông tin nhạy cảm khác.
– Lỗi thao tác: Người dùng có thể mắc lỗi khi thực hiện giao dịch hoặc quản lý tài sản, dẫn đến mất mát tài sản.
4) Rủi ro kỹ thuật
– Lỗ hổng phần mềm: Lỗ hổng trong các dApps, ví tiền điện tử hoặc giao thức blockchain có thể bị hacker lợi dụng.
– Lỗ hổng hợp đồng thông minh: Lỗ hổng trong mã hợp đồng thông minh có thể dẫn đến việc tiền bạc bị ăn cắp.
5) Rủi ro quản lý và pháp luật
• 法律合规性:不同国家和地区对加密货币和区块链技术的监管政策不同,可能影响用户的资产安全和交易自由。
• 监管变化:政策的突然变化可能导致资产冻结或交易受限。
Q3:硬件钱包是私钥安全的必选项吗?私钥安全防护措施类型有哪些
OneKey 安全团队:当然,硬件钱包虽然不是私钥安全的唯一选择,但它确实是增强私钥安全的一种非常有效的方法。其最大的优势在于,它能将私钥从生成、记录到日常存储都与互联网隔离开来,并在执行任何交易时要求用户在物理设备上直接验证和确认交易细节。这一特性有效地阻断了私钥被恶意软件或黑客攻击所窃取的风险。
我们先来说说硬件钱包的优势:
1)物理隔离:硬件钱包将私钥存储在专用设备中,与联网的计算机和移动设备完全隔离。这意味着,即使用户的计算机或手机被恶意软件感染,私钥依然是安全的,因为它们从未接触到互联网。
2)交易验证:在使用硬件钱包进行交易时,用户必须在设备上直接确认和验证交易细节。这一过程使得攻击者即使获得了用户的在线账户信息,也无法未经授权地转移资产。
3)安全芯片:许多硬件钱包使用专用的安全芯片来存储私钥。这些芯片经过严格的安全认证,如 CC EAL6+(例如 OneKey Pro 和 Ledger Stax 等新款硬件钱包采用的标准),能够有效防护物理旁路攻击。安全芯片不仅防止了未经授权的访问,还能抵御多种高级攻击手段,如电磁分析和电力分析攻击。
除了硬件钱包外,还有多种方法可以增强私钥的安全性,用户可以根据自身需求选择适合的方案:
1)Ví tiền giấy: Ví tiền giấy là một phương pháp lưu trữ offline bằng cách in khóa riêng và khóa công khai trên giấy. Mặc dù phương pháp này đơn giản và hoàn toàn offline, nhưng cần lưu ý các vấn đề an ninh vật lý như chống cháy, chống ẩm, chống mất. Có điều kiện tốt nhất là mua một tấm kim loại khắc để ghi lại vật lý (có nhiều lựa chọn trên thị trường, ví dụ như KeyTag của OneKey).
2)Ví tiền điện thoại lạnh: Ví tiền lạnh là nơi lưu trữ khóa riêng hoặc tài sản mã hóa hoàn toàn offline, ví dụ như điện thoại hoặc máy tính offline. Tương tự như ví tiền phần cứng, ví tiền lạnh cũng có thể hiệu quả tránh các cuộc tấn công mạng, nhưng người dùng cần tự cấu hình và quản lý những thiết bị này.
3)Lưu trữ mã hóa phân mảnh: Lưu trữ mã hóa phân mảnh là một phương pháp chia khóa riêng thành nhiều phần và lưu trữ ở các vị trí khác nhau. Ngay cả khi kẻ tấn công có được một phần của khóa riêng, họ cũng không thể khôi phục hoàn chỉnh. Phương pháp này tăng cường độ khó tấn công để nâng cao tính bảo mật, nhưng người dùng cần quản lý tốt các phần khóa riêng, tránh việc mất một phần dẫn đến không thể khôi phục khóa riêng.
4)Chữ ký đa số (Multisig): Công nghệ chữ ký đa số yêu cầu nhiều khóa riêng ký chung một giao dịch mới có thể hoàn thành chuyển tiền. Phương pháp này tăng cường tính bảo mật bằng cách tăng số lượng người ký, ngăn chặn việc tài sản bị chuyển đi nếu một khóa riêng bị đánh cắp. Ví dụ, có thể thiết lập một tài khoản đa ký ba bên, chỉ khi ít nhất hai khóa riêng đồng ý, giao dịch mới được thực hiện. Điều này không chỉ nâng cao tính bảo mật, mà còn thực hiện quản lý và kiểm soát linh hoạt hơn.
5)Các công nghệ mới trong mật mã học: Hiện nay với sự phát triển của công nghệ, một số công nghệ mật mã học mới cũng liên tục được ứng dụng trong việc bảo vệ khóa riêng. Ví dụ như Kỹ thuật Chữ ký Ngưỡng (Threshold Signature Scheme, TSS) và Tính toán Đa Phương (Multi-Party Computation, MPC), qua cách tính toán phân tán và hợp tác, đã nâng cao thêm tính bảo mật và độ tin cậy trong quản lý khóa riêng. Phương pháp này thường được sử dụng nhiều trong doanh nghiệp, cá nhân sử dụng rất ít.
OKX Web3 ví tiền mã hóa an ninh nhóm: Ví ảo cứng bảo vệ khóa riêng bằng cách lưu trữ chúng trên một thiết bị tách biệt, ngoại tuyến, ngăn chặn việc khóa riêng bị đánh cắp bởi các cuộc tấn công mạng, phần mềm độc hại hoặc các mối đe dọa trực tuyến khác. So với ví mềm và các hình thức lưu trữ khác, ví ảo cứng cung cấp một mức độ an ninh cao hơn, đặc biệt phù hợp cho những người dùng cần bảo vệ một lượng lớn tài sản mã hóa. Đối với biện pháp bảo vệ an ninh khóa riêng có thể bắt đầu từ các góc độ sau đây:
1) Sử dụng thiết bị lưu trữ an toàn: Chọn một ví ảo cứng hoặc thiết bị lưu trữ lạnh đáng tin cậy, giảm thiểu rủi ro khóa riêng bị đánh cắp qua mạng.
2) Tăng cường giáo dục ý thức an ninh: Tăng cường sự coi trọng và ý thức bảo vệ khóa riêng, luôn cảnh giác với bất kỳ trang web hoặc chương trình yêu cầu nhập khóa riêng, khi cần sao chép và dán khóa riêng, có thể chỉ sao chép một phần và nhập thủ công vài ký tự còn lại, ngăn chặn các cuộc tấn công clipboard.
3) Lưu trữ an toàn của từ gợi nhớ và khóa riêng: Tránh chụp ảnh, chụp màn hình hoặc ghi chép trực tuyến từ gợi nhớ, nên viết trên giấy và lưu trữ ở nơi an toàn.
4) Lưu trữ phân tán khóa riêng: Chia khóa riêng thành nhiều phần, lưu trữ ở nhiều nơi khác nhau, giảm thiểu rủi ro của lỗi đơn điểm.
Q4: Các lỗ hổng hiện tại trong xác thực danh tính và kiểm soát truy cập
Nhóm an ninh OneKey: Blockchain không giống như Web2 cần phải nhận dạng và lưu trữ thông tin danh tính của chúng ta, nó thực hiện tự quản lý và truy cập tài sản thông qua mật mã học. Điều này có nghĩa là, khóa riêng là mọi thứ. Rủi ro lớn nhất đối với người dùng kiểm soát truy cập vào tài sản mã hóa thường đến từ việc lưu trữ không đúng cách của khóa riêng – sau cùng khóa riêng của người dùng là bằng chứng duy nhất để truy cập vào tài sản tiền điện tử mã hóa. Nếu khóa riêng bị mất, bị đánh cắp, bị phơi bày hoặc thậm chí là gặp phải thiên tai, có thể mất vĩnh viễn tài sản.
Đây cũng là lý do tại sao các thương hiệu như OneKey tồn tại, cung cấp cho người dùng các giải pháp tự quản lý khóa riêng an toàn. Nhiều người dùng thường thiếu ý thức an ninh khi quản lý khóa riêng, sử dụng các phương pháp lưu trữ không an toàn (như lưu khóa riêng trong tài liệu trực tuyến, ảnh chụp). Phương pháp tốt nhất là sử dụng cách tạo và lưu trữ ngoại tuyến, ngoài việc ném xúc xắc và chép tay, cũng có thể cân nhắc sử dụng ví ảo cứng đã đề cập trước đó kết hợp với bảng kim loại ghi nhớ từ gợi nhớ.
Tất nhiên, cũng có nhiều người dùng lưu trữ tài sản trực tiếp bằng tài khoản giao dịch, lúc này xác thực danh tính và kiểm soát truy cập sẽ tương tự như Web2.
Điều này sẽ liên quan đến ý thức bảo mật mật khẩu của người dùng. Sử dụng mật khẩu yếu và lặp lại là một vấn đề phổ biến. Người dùng có xu hướng sử dụng mật khẩu đơn giản, dễ đoán hoặc sử dụng cùng một mật khẩu trên nhiều nền tảng (ví dụ như email dùng để xác thực), tăng thêm rủi ro bị phá vỡ bạo lực hoặc bị tấn công sau khi rò rỉ dữ liệu.
Dù rằng xác thực đa yếu tố (như mã xác thực tin nhắn, Google Authenticator) có thể tăng tính bảo mật, nhưng nếu thực hiện không đúng cách hoặc có lỗ hổng (như giật SIM), nó cũng có thể trở thành mục tiêu tấn công. Ví dụ như tấn công đổi SIM – kẻ tấn công thông qua lừa dối hoặc hối lộ nhân viên của nhà cung cấp dịch vụ di động, chuyển số điện thoại của nạn nhân sang thẻ SIM được kiểm soát bởi kẻ tấn công, từ đó nhận tất cả các mã xác thực tin nhắn được gửi đến điện thoại của nạn nhân. Trước đây, Vitalik đã từng bị tấn công ‘SIM SWAP’, kẻ tấn công sử dụng tài khoản Twitter của anh ta để gửi thông tin lừa đảo, gây thiệt hại tài sản cho nhiều người. Ngoài ra, mã dự phòng của trình xác thực đa yếu tố như ‘Google Authenticator’ nếu không được lưu trữ đúng cách cũng có thể bị kẻ tấn công truy xuất và sử dụng để tấn công tài khoản.
Nhóm an ninh ví Web3 của OKX: Đây là một phần rất đáng chú ý, nhìn vào hiện tại cần lưu ý:
1) Mật khẩu yếu và sử dụng lại mật khẩu: Người dùng thường sử dụng mật khẩu đơn giản, dễ đoán, hoặc sử dụng cùng một mật khẩu trên nhiều dịch vụ, tăng thêm rủi ro mật khẩu bị phá vỡ bạo lực hoặc được lấy thông qua các kênh rò rỉ khác.
2) Không đủ xác thực đa yếu tố (MFA): Xác thực đa yếu tố trong Web2 có thể nâng cao tính bảo mật đáng kể, nhưng trong ví web3, nếu khóa riêng bị rò rỉ có nghĩa là kẻ tấn công đã nắm toàn quyền điều hành tài khoản, khó để thiết lập một cơ chế MFA hiệu quả.
3) Tấn công lừa đảo và kỹ thuật xã hội: Kẻ tấn công lừa người dùng lọt thông tin nhạy cảm thông qua các phương pháp như email lừa đảo, trang web giả mạo. Hiện nay, các trang web lừa đảo nhắm tới web3 đang có đặc điểm tập đoàn hóa, dịch vụ hóa, nếu không có ý thức an ninh đủ sẽ rất dễ bị lừa.
4)Quản lý khóa API không đúng cách: Các nhà phát triển có thể mã hóa khóa API cứng trong ứng dụng客户端, hoặc không thực hiện kiểm soát quyền hạn và quản lý hết hạn phù hợp, dẫn đến việc khóa bị rò rỉ và có thể bị lạm dụng sau khi bị rò rỉ.
Q5:Người dùng nên làm thế nào để ngừa ngừa rủi ro từ các công nghệ ảo mới như AI đổi khuôn mặt?
Nhóm an ninh OneKey: Tại hội nghị BlackHat năm 2015, các hacker toàn cầu đồng ý rằng công nghệ nhận diện khuôn mặt là phương pháp xác thực danh tính không đáng tin cậy nhất. Gần mười năm sau, dưới sự tiến bộ của AI, chúng ta đã có ‘phép thuật’ thay thế khuôn mặt gần hoàn hảo, và quả thực, nhận diện khuôn mặt trực quan thông thường không còn cung cấp sự bảo mật. Ở đây, nhiều hơn là phương pháp nhận diện cần nâng cấp thuật toán để xác nhận và ngăn chặn nội dung giả mạo sâu.
Về những rủi ro như AI đổi khuôn mặt, phía người dùng ngoài việc bảo vệ tốt dữ liệu sinh trắc học cá nhân, việc làm khác thực sự không nhiều. Dưới đây là một số lời khuyên nhỏ:
1)Sử dụng ứng dụng nhận diện khuôn mặt một cách cẩn trọng
Khi người dùng chọn sử dụng ứng dụng nhận diện khuôn mặt, nên chọn những ứng dụng có hồ sơ an ninh tốt và chính sách riêng tư. Tránh sử dụng ứng dụng từ nguồn không xác định hoặc có vấn đề an ninh, và cập nhật phần mềm thường xuyên để đảm bảo sử dụng các bản sửa lỗi an ninh mới nhất. Trước đây, có nhiều ứng dụng của các công ty vay tiền nhỏ trong nước đã sử dụng dữ liệu khuôn mặt người dùng vi phạm và bán ra, rò rỉ dữ liệu khuôn mặt người dùng.
2)Hiểu về xác thực đa yếu tố (MFA)
Xác thực dựa trên sinh trắc học duy nhất có rủi ro lớn, do đó kết hợp nhiều phương pháp xác thực có thể nâng cao tính bảo mật đáng kể. Xác thực đa yếu tố (MFA) kết hợp nhiều phương pháp xác thực, ví dụ như dấu vân tay, quét mắt, nhận dạng giọng nói, thậm chí là dữ liệu ADN. Đối với phương pháp nhận diện, cách xác thực kết hợp này có thể cung cấp lớp bảo mật bổ sung khi một phương pháp xác thực bị xâm nhập. Đối với người dùng, bảo vệ dữ liệu riêng tư về mặt này cũng rất quan trọng.
3)Giữ nghi ngờ và đề phòng lừa đảo
Rất rõ ràng, trong trường hợp AI có thể mô phỏng khuôn mặt và giọng nói, việc giả mạo một người qua mạng đã trở nên dễ dàng hơn nhiều. Người dùng cần đặc biệt cảnh giác với những yêu cầu liên quan đến thông tin nhạy cảm hoặc chuyển tiền, áp dụng xác thực kép, xác nhận danh tính của đối phương thông qua cuộc gọi hoặc trực tiếp. Hãy duy trì cảnh giác, không tin vào những yêu cầu khẩn cấp dễ dàng, nhận ra các thủ đoạn lừa đảo thông thường như giả mạo cấp cao, người quen, nhân viên dịch vụ khách hàng, v.v. Hiện nay, việc giả mạo các nhân vật nổi tiếng cũng rất phổ biến, khi tham gia vào một số dự án, cũng cần cẩn thận với ‘giả mạo’.
Nhóm bảo mật ví Web3 của OKX: Nói chung, các công nghệ ảo mới mẻ mang lại những rủi ro mới, và những rủi ro mới này thực tế cũng sẽ dẫn đến nghiên cứu phương pháp phòng thủ mới, nghiên cứu phương pháp phòng thủ mới sẽ dẫn đến sản phẩm kiểm soát rủi ro mới.
I. Rủi ro giả mạo AI
Trong lĩnh vực thay đổi khuôn mặt AI, đã có nhiều sản phẩm phát hiện giả mạo AI xuất hiện, hiện nay các ngành công nghiệp đã đề xuất một số phương pháp tự động để phát hiện video nhân vật giả, tập trung vào việc phát hiện các yếu tố đặc biệt (vân tay) do sử dụng deepfake trong nội dung số, người dùng cũng có thể nhận ra thay đổi khuôn mặt AI thông qua cách quan sát kỹ lưỡng các đặc điểm khuôn mặt, xử lý cạnh, không đồng bộ âm hình và nhiều phương pháp khác, ngoài ra, Microsoft cũng đã ra mắt một loạt các công cụ để giáo dục người dùng về khả năng nhận dạng deepfake, người dùng có thể học tập và tăng cường khả năng nhận dạng cá nhân.
II. Rủi ro dữ liệu và quyền riêng tư
Ứng dụng của các mô hình lớn trong nhiều lĩnh vực cũng mang lại rủi ro dữ liệu và quyền riêng tư của người dùng, trong quá trình sử dụng robot hội thoại thường xuyên, người dùng cần chú ý đến việc bảo vệ thông tin cá nhân riêng tư, cố gắng tránh trực tiếp nhập liệu những thông tin quan trọng như khóa riêng, khóa, mật khẩu, v.v., cố gắng che giấu thông tin quan trọng của mình thông qua các phương pháp thay thế, trộn lẫn, v.v., đối với nhà phát triển, Github đã cung cấp một loạt các công cụ kiểm tra thân thiện, nếu mã nguồn đã gửi chứa OpenAI apikey hoặc các rủi ro khác về rò rỉ thông tin cá nhân, tương ứng Push sẽ báo lỗi.
III. Rủi ro lạm dụng tạo nội dung
Trong quá trình làm việc hàng ngày, người dùng có thể gặp phải nhiều kết quả tạo nội dung từ các mô hình lớn. Mặc dù nội dung này có giá trị, nhưng lạm dụng tạo nội dung cũng đã gây ra vấn đề về thông tin sai lệch và bản quyền trí tuệ. Hiện nay, đã xuất hiện một số sản phẩm dùng để kiểm tra liệu nội dung văn bản có được tạo bởi mô hình lớn hay không, giúp giảm thiểu một số rủi ro tương ứng. Ngoài ra, khi sử dụng mã nguồn tạo ra từ mô hình lớn, nhà phát triển cũng cần quan tâm đến tính chính xác và an ninh của chức năng tạo mã, đặc biệt là đối với mã nhạy cảm hoặc cần mã nguồn mở, cần phải thực hiện kiểm tra và kiểm toán đầy đủ.
Bốn, quan tâm và học tập thường nhật
Khi duyệt qua các video ngắn, dài và bài viết khác nhau, người dùng cần có ý thức để đánh giá và nhận dạng, nhớ các nội dung giả mạo hoặc tạo bởi AI, ví dụ như giọng nam, nữ thông thường, nhầm đọc và các video thay đổi khuôn mặt thông thường, khi gặp các tình huống quan trọng, cần có ý thức đánh giá và nhận dạng những rủi ro này.
Câu 6: Từ góc độ chuyên nghiệp, chia sẻ một số lời khuyên về an ninh thiết bị vật lý
Nhóm an ninh OneKey: Dựa trên các rủi ro đã đề cập ở trên, chúng tôi tóm tắt các biện pháp bảo vệ.
- Cảnh giác rủi ro xâm nhập thiết bị kết nối internet
Trong cuộc sống hàng ngày của chúng ta, các thiết bị kết nối internet đã vô cùng phổ biến, nhưng điều này cũng mang lại rủi ro xâm nhập tiềm ẩn. Để bảo vệ dữ liệu quan trọng của chúng ta (như khóa riêng, mật khẩu, mã dự phòng MFA), chúng ta nên sử dụng phương pháp mã hóa mạnh, và ưu tiên chọn cách lưu trữ tách biệt khỏi internet, tránh lưu trữ thông tin nhạy cảm này trực tiếp dưới dạng văn bản thô trên thiết bị. Ngoài ra, chúng ta cần luôn duy trì tâm trạng cảnh giác để phòng ngừa các cuộc tấn công lừa dối và mã ảo. Có thể cân nhắc sử dụng các thiết bị riêng biệt cho hoạt động quản lý tài sản mã hóa và các thiết bị dùng cho mục đích khác, để giảm thiểu rủi ro bị tấn công. Ví dụ, chúng ta có thể tách biệt laptop thường dùng hàng ngày và ví cứng dùng để quản lý tài sản mã hóa, như vậy ngay cả khi một thiết bị bị tấn công, thiết bị khác vẫn giữ được an toàn.
- Duy trì giám sát và bảo vệ vật lý
Để đảm bảo thêm an toàn cho các thiết bị có rủi ro cao của chúng ta (như ví phần cứng), chúng ta cần áp dụng các biện pháp giám sát và bảo vệ vật lý nghiêm ngặt. Những thiết bị này nên được lưu trữ trong các hòm sắt chống trộm chất lượng cao, đồng thời được trang bị hệ thống an ninh thông minh tổng hợp, bao gồm giám sát video và chức năng báo động tự động. Nếu chúng ta cần đi du lịch, việc chọn các khách sạn có các tiện ích lưu trữ an toàn đặc biệt quan trọng. Nhiều khách sạn cao cấp cung cấp dịch vụ lưu trữ an toàn chuyên dụng, điều này có thể cung cấp một lớp bảo vệ bổ sung cho thiết bị của chúng ta. Ngoài ra, chúng ta cũng có thể cân nhắc mang theo các hòm sắt di động, đảm bảo bảo vệ các thiết bị quan trọng của chúng ta trong mọi tình huống.
3、Giảm rủi ro và ngăn ngừa lỗi đơn điểm
Phân tán lưu trữ thiết bị và tài sản là một chiến lược quan trọng để giảm rủi ro. Chúng ta không nên lưu trữ tất cả các thiết bị có quyền hạn cao và tài sản mã hóa ở một nơi hoặc một ví, mà nên xem xét lưu trữ ở các nơi an toàn khác nhau trên các vị trí địa lý khác nhau. Ví dụ, chúng ta có thể lưu trữ một số thiết bị và tài sản tại nhà, văn phòng và nơi bạn bè đáng tin cậy. Ngoài ra, sử dụng nhiều ví nóng và ví lạnh phần cứng cũng là một phương pháp hiệu quả, mỗi ví có thể lưu trữ một phần tài sản, giảm thiểu rủi ro lỗi đơn điểm. Để tăng cường an ninh, chúng ta cũng có thể sử dụng ví ký nhiều chữ ký, cần nhiều chữ ký ủy quyền để thực hiện giao dịch, từ đó nâng cao đáng kể mức độ an toàn tài sản của chúng ta.
4、Lập kế hoạch khẩn cấp giả định tình huống tồi tệ nhất
Trước mặt các mối đe dọa an ninh tiềm ẩn, việc lập ra kế hoạch khẩn cấp trong trường hợp tồi tệ nhất là vô cùng quan trọng. Đối với những người có giá trị tài sản cao, duy trì một lối sống kín đáo là chiến lược hiệu quả để tránh trở thành mục tiêu. Chúng ta nên tránh khoe khoang về tài sản mã hóa của mình ở các nơi công cộng, cố gắng duy trì thông tin tài sản kín đáo. Ngoài ra, việc lập kế hoạch khẩn cấp trong trường hợp thiết bị bị mất hoặc bị đánh cắp cũng là cần thiết. Chúng ta có thể thiết lập ví mã hóa mồi, tạm thời đối phó với những kẻ giặc có thể, đồng thời đảm bảo rằng dữ liệu thiết bị quan trọng có thể khóa từ xa hoặc xóa (trong trường hợp đã sao lưu). Khi đi công khai ở các khu vực có rủi ro cao, thuê một nhóm bảo vệ cá nhân có thể cung cấp thêm sự bảo vệ an ninh và sử dụng các kênh an ninh VIP đặc biệt và khách sạn có tính an toàn cao, đảm bảo sự an toàn và riêng tư của chúng ta.
Nhóm Bảo mật Ví Web3 OKX: Chúng tôi giới thiệu trên hai mặt, một là mặt ứng dụng OKX Web3 APP, và một là mặt người dùng.
1. Mặt ứng dụng OKX Web3 APP
Ví OKX Web3 đã áp dụng nhiều biện pháp để tăng cường ứng dụng, bao gồm nhưng không giới hạn ở trộn thuật toán, trộn logic, kiểm tra tính toàn vẹn của mã, kiểm tra tính toàn vẹn của thư viện hệ thống, ứng dụng chống sửa đổi và kiểm tra an ninh môi trường, nhiều biện pháp tăng cường và kiểm tra khác nhau, giảm thiểu tối đa xác suất người dùng bị tấn công bởi hacker khi sử dụng ứng dụng, cũng có thể tránh tối đa sản phẩm đen对我们的二次打包, giảm thiểu xác suất tải về ứng dụng giả.
Ngoài ra, ở mặt bảo mật dữ liệu ví Web3, chúng tôi đã sử dụng các công nghệ an ninh phần cứng tiên tiến nhất, sử dụng các biện pháp mã hóa ở cấp chip, mã hóa dữ liệu nhạy cảm trong ví, dữ liệu đã mã hóa này được liên kết với chip thiết bị, nếu dữ liệu đã mã hóa bị đánh cắp, không ai có thể giải mã.
2. Mặt người dùng
Về mặt người dùng liên quan đến các thiết bị vật lý bao gồm ví phần cứng, máy tính thường dùng, và điện thoại di động, chúng tôi khuyên người dùng có thể bắt đầu từ một số khía cạnh sau để tăng cường ý thức an ninh:
1) Ví phần cứng: Sử dụng ví phần cứng của các thương hiệu nổi tiếng, mua từ các kênh chính thức và tạo và lưu trữ khóa riêng trong môi trường tách biệt. Phương tiện lưu trữ khóa riêng nên chống cháy, chống nước, chống trộm. Đề nghị sử dụng két sắt chống cháy và chống nước, có thể lưu trữ khóa riêng hoặc từ ngữ gợi nhớ ở các vị trí an toàn khác nhau để nâng cao tính an toàn.
2)Thiết bị điện tử: Đối với điện thoại và máy tính cài đặt ví phần mềm, sẽ những chọ́n thương hiệu có tính bảo mật và riêng tư cao hơn (ví dụ như Apple), đồng thời giữạn thuẹ các ứng dụng phần mềm không cần thiết, môi trường hệ thống thuần khiển. Sử dụng Apple ID để quản lý hệ thống sao lưu đa thiết bị, tránh rủi ro do lỗi của một thiết bị.
3)Sử dụng hàng ngày: Tránh thực hiện các thao tác nhạy cảm trên thiết bị ví ở nơi công cộng, ngăn ngừa rủi ro bị camera ghi lại và rò rỉ thông tin; định kỳ sử dụng phần mềm diệt virus đáng tin cậy để quét và diệt các virus; định kỳ kiểm tra vị trí bảo quản thiết bị vật lý có độ tin cậy cao hay không.
