Bảo Mật Tiền Điện Tử

　　Tóm tắt nội dung bài học:

　　· Bạn là người chịu trách nhiệm cuối cùng cho tiền điện tử của mình

　　· Những điều cần làm để tránh chịu những tổn thất phát sinh và trộm cắp

　　· Phương pháp tốt nhất để có một giấc ngủ ngon về đêm

　　Nếu bạn đã tích lũy được kiến thức về cách sử dụng tiền điện tử từ các bài viết trước cho đến nay, chắc hẳn bạn đã phải đầu tư rất nhiều thời gian và tiền bạc; giờ là lúc đưa những lý thuyết ấy vào thực hành và sở hữu tiền điện tử của riêng bạn.

　　Tất cả những nỗ lực và giá trị tiềm năng đó sẽ bị lãng phí nếu bạn không biết cách bảo vệ tiền điện tử của mình khỏi bị mất hoặc bị đánh cắp, và bạn sẽ được học về những kỹ năng ấy trong bài viết này.

　　Quay trở lại với khái niệm Lưu ký tiền điện tử

　　Nếu bạn đọc bài viết đầu tiên trong phần này, chắc hẳn bạn đã quen với khái niệm quyền lưu ký (custody), vốn là trọng tâm của quyền sở hữu tiền điện tử. Quyền lưu ký là cách bạn quản lý trách nhiệm đối với một thông tin quan trọng cho phép kiểm soát tiền điện tử của mình – đó gọi là Khóa riêng tư (Private Key) hoặc Cụm từ Hạt giống (Seed Phrase).

　　Bởi vì tiền điện tử hoạt động mà không có một cơ quan trung ương như ngân hàng, cho nên tài sản chính là quyền sở hữu và chung quy lại một trong những điều quan trọng nhất bạn cần nắm được đó là: “Không giữ khóa thì không phải coin của bạn”.

　　Lưu ký chỉ đơn giản là đề cập đến hai tùy chọn cho người chịu trách nhiệm cuối cùng của các khóa đó; bạn có thể tự mình chịu hoàn toàn trách nhiệm hoặc tin tưởng giao cho người khác trông coi.

　　1. Tự trông coi tiền điện tử của bạn. Non-custodial (Không lưu ký)

　　2. Tin tưởng giao cho người khác trông coi tiền điện tử cho bạn – Sử dụng dịch vụ Custodial (Lưu ký)

　　Tùy thuộc vào bạn để quyết định xem lựa chọn nào phù hợp nhất với mình, đồng thời hiểu được những nguy cơ bị tổn thất hay trộm cắp của hai tùy chọn này: Lưu ký và Không lưu ký.

　　Quyết định của bạn cũng sẽ phụ thuộc vào số lượng tiền điện tử bạn sở hữu, từ đó xác định được mức độ nghiêm trọng của các rủi ro tiềm ẩn đối với tinh bảo mật của từng tùy chọn.

Mối đe dọa	Liên quan đến Lưu ký hay Không lưu ký
Mất thông tin dữ liệu/truy cập	Cả hai
Tấn công giải mạo	Cả hai
Tấn công Brute Force	Lưu ký
Giả maọ SMS	Lưu ký
Giả mạo DNS	Cả hai
Tấn công trực tiếp	Không lưu ký

　　Mất các thông tin dữ liệu/truy cập

　　Nếu bạn lựa chọn để một sàn giao dịch hoặc ví điện thoại di động quản lý tiền điện tử của mình, thì rủi ro rõ ràng nhất sẽ là bạn có thể quên các thông tin để truy cập vào dịch vụ đó.

　　Trong trường hợp này là Username (Tên người dùng) và Password (Mật khẩu) của bạn, mà sau đó bạn sẽ phải lấy lại các thông tin này với tên người dùng hay mật khẩu độc nhất/mạnh hơn để bảo mật. Nếu bạn lưu các thông tin đăng nhập đó thông qua một dịch vụ khác, chẳng hạn như tài khoản Google hoặc LastPass, thì sẽ càng trở thành một điểm yếu bảo mật.

　　Ngoài ra, bạn thường phải truy cập vào địa chỉ email của mình để xác nhận các tác vụ chính, chẳng hạn như xác nhận rút tiền hoặc thiết lập các tính năng bảo mật khác, vì vậy hãy lưu ý ghi nhớ các thông tin truy cập đó vào một lớp truy cập quan trọng khác.

　　Nếu bạn sử dụng tùy chọn Không lưu ký – nghĩa là tự trông coi tiền của mình - thì việc mất thông tin chi tiết về quyền truy cập sẽ liên quan trực tiếp đến Chìa khóa riêng tư hoặc Cụm từ Hạt giống của bạn. James Howells là trong những ví dụ điển hình nhất về trường hợp này, được nêu cụ thể trong câu chuyện blog của chúng tôi về vận may của những bitcoin bị mất.

　　Luôn sao lưu Khóa riêng tư hoặc Cụm từ Hạt giống của bạn – nghĩa là thực hiện các biện pháp bảo mật thích hợp và lưu trữ ở một vị trí riêng biệt, tốt nhất là ngoại tuyến. Không lưu trữ trên thứ gì đó dễ hỏng, như giấy.

　　Nếu bạn sử dụng Hard Wallet (Ví cứng) (hay nhiều loại ví nói chung khác), bạn sẽ cần đến một số lớp bảo mật: bằng chứng xác thực cho dịch vụ bảng điều khiển (ví dụ Ledger Live), một mã pin để truy cập thiết bị và Seed (Hạt giống). Trong số đó, Seed là quan trọng nhất, vì nếu xác minh các lớp khác thất bại, thì Seed sẽ giúp bạn có thể khôi phục số tiền của mình.

　　Giải pháp cuối cùng để bảo vệ Seed của bạn là khắc các cụm từ vào kim loại có khả năng chống ăn mòn, chịu nhiệt và áp suất. Nhà truyền giáo nổi tiếng về Bitcoin, Jameson Lopp, đã có một bài đánh giá tuyệt vời về các tùy chọn khắc lưu trữ hạt giống bằng kim loại tốt nhất.

　　Tất nhiên sau đó bạn cần phải cất giữ bản khắc kim loại đó ở một nơi an toàn.

　　Phishing (Tấn công giả mạo)

　　Tấn công giả mạo là điều bạn nên cảnh giác khi sử dụng bất kỳ dịch vụ trực tuyến nào. Hình thức tấn công mạng này sẽ lừa bạn tải xuống phần mềm độc hại, sau đó có thể xâm nhập máy tính của bạn hoặc giả mạo các trang web, và sẽ thu thập thông tin chi tiết của bạn và truy cập vào tiền/dữ liệu.

　　Tình trạng này thường xuất hiện ở các dịch vụ lưu ký, mà ở đó các email lừa đảo và trang web giả mạo rất phổ biến, nhưng không có nghĩa là hình thức tấn công lừa đảo này không ở ở tùy chọn Không lưu ký.

　　Ledger, một loại ví cứng phổ biến, vào tháng 7 năm 2020 đã bị hack cơ sở dữ liệu thông tin chi tiết về khách hàng, bao gồm cả địa chỉ email. Những khách hàng đó sau này trở thành mục tiêu lừa đảo.

　　Tương tự, các dịch vụ trên trình duyệt thường là mục tiêu của các trang web giả mạo, sau đó lừa người dùng tải xuống phần mềm độc hại để lấy thông tin khách hàng.

　　Để tránh bị giả mạo email, chúng ta cần:

　　· Sử dụng dịch vụ email mã hoa như Protinmail và chỉ sử dụng nó cho các dịch vụ quan trọng

　　· Nếu bạn không chắc liệu một email có xác thực hay không, hãy kiểm tra địa chỉ gửi có thật hay không thay vì chỉ là tên người gửi được hiển thị. Đây thường là các email tặng phẩm.

　　· Các dịch vụ xác thực sẽ thường nhắc đến bạn bằng tên, còn các email lừa đảo thì không

　　· Nội dung của email lừa đảo thường không trau chuốt ngôn từ hoặc dưới định dạng không chuẩn.

　　Tấn công Brute Force

　　Đây là một trong những thủ thuật tấn công mạng lâu đời nhất và rõ ràng nhất để cố gắng lấy cắp mật khẩu của ai đó, chạy một phần mềm làm đảo lộn các tùy chọn mật khẩu. Thủ thuật này có thể được sử dụng cùng với thông tin đã biết về người dùng từ OSINT - Open Source Intelligence (Thu thập thông tin tình báo từ các nguồn mở).

　　Cách tốt nhất để giảm thiểu mối đe dọa này là sử dụng xác thực hai yếu tố (2FA), một lớp thông tin truy cập thứ cấp tạo thành một mã nguồn riêng biệt, thường là điện thoại di động của bạn.

　　Bất kỳ sàn giao dịch nào cũng sẽ yêu cầu bắt buộc hoặc khuyến khích mạnh mẽ việc sử dụng xác thực hai yếu tố (2FA), nhưng điều quan trọng là bạn cần tránh sử dụng bảo mật bằng tin nhắn văn bản cho 2FA, chúng tôi sẽ giải thích điều này trong chủ đề sau.

　　Hai ứng dụng cung cấp 2FA phổ biến nhất là Google Authenticator hoặc Authy.

　　SMS Hijacking (Giả mạo SMS)

　　Mặc dù khuyến khích sử dụng 2FA làm tiêu chuẩn cho các dịch vụ lưu ký là thế, nhưng chúng tôi cũng phải cảnh báo cho bạn một điều rằng việc chọn SMS làm xác thực 2 yếu tố có thể tạo ra một lỗ hổng bảo mật nghiêm trọng thông qua các hình thức giả mạo SMS.

　　Nếu những kẻ tấn công biết số điện thoại di động và nhà cung cấp của bạn, đồng thời thu thập thông tin cá nhân từ OSINT, chúng có thể mạo danh bạn với Nhà cung cấp dịch vụ di động của bạn và yêu cầu gửi SIM thay thế cho chúng.

　　Từ đó chúng sẽ có thể truy cập vào mã 2FA, mã này sẽ được sử dụng cùng với hình thức tấn công Brute Force.

　　Giải pháp là luôn sử dụng 2FA trên ứng dụng như Google Authenticator hoặc Authy. Thiết bị chạy ứng dụng này cũng là một điểm yếu, bởi vì sẽ không giúp ích gì khi bạn bị mất điện thoại.

　　Bạn có thể tránh được hình thức tấn công này bằng cách lưu trữ mã sao lưu 2FA, mà được cung cấp khi bạn thiết lập 2FA. Nếu không có bản sao lưu 2FA, thì khi thiết lập lại 2FA, bạn sẽ phải mất thời gian và công sức để chụp ảnh sefie/quay video cùng với một số ID và ghi chú viết tay.

　　Google đã cập nhật Authenticator vào tháng 5 năm 2020, lần đầu tiên sau ba năm, giúp việc xuất/nhập mã 2FA trở nên đơn giản, cập nhật này được mọi người rất chờ đón, nhưng sẽ không hữu ích nếu bạn bị mất điện thoại hoặc điện thoại sập nguồn.

　　DNS Spoofing (Giả mạo DNS)

　　Vào tháng 11 năm 2020, dịch vụ tiền điện tử phổ biến Celsius là nạn nhân của một cuộc tấn công DNS, liên quan đến việc kẻ tấn công khiến cho nhà cung cấp DNS của họ - Godaddy - về cơ bản thay đổi trang web được cung cấp đằng sau Ứng dụng của họ.

　　Rất khó để giảm thiểu tình trạng này, ngoại trừ việc cảnh giác, hoặc trong trường hợp của Celsius đã đánh giá mức độ an toàn của một dịch vụ bằng cách họ xử lý nghiêm túc việc thiết lập DNS của mình.

　　Tấn công trực tiếp

　　Chúng tôi đã dành loại tấn công này đến cuối bởi vì nó chỉ đáng lo ngại nếu bạn có một lượng tiền điện tử rất lớn. Trong một số trường hợp hiếm hoi, đã có những trường hợp các cá nhân sở hữu một lượng lớn tiền điện tử đã bị bắt cóc / tống tiền để khai ra thông tin truy cập vào tiền quỹ của họ.

　　Như Cuộc tấn công Ledger được nhắc đến ở trên, đã làm rò rỉ địa chỉ của khách hàng, đã có rất nhiều lời bàn tán trên phương tiện truyền thông xã hội về mối nguy hiểm này. Tuy nhiên, không có trường hợp tấn công trực tiếp nào được báo cáo trên thực tế vì nó rủi ro hơn nhiều so với các tùy chọn trực tuyến được liệt kê.

　　Mặc dù hình thức tấn công này thường xuất hiện đối với các loại tài sản di động - đồng hồ, đồ trang sức và đồ sưu tầm đắt tiền - tiền điện tử cũng là một mục tiêu cụ thể vì tài sản này khó được bảo hiểm và có thể khó theo dõi/khôi phục.

　　Nếu đó là điều khiến bạn lo ngại, thì trước tiên, bạn không nên công khai rằng bạn sở hữu tiền điện tử, bất cứ địa chỉ trực tuyến hoặc với bất kỳ ai mà bạn không tin tưởng thực sự.

　　Bạn cũng có thể cân nhắc sử dụng Multi-Signature (Ví đa chữ ký), về cơ bản yêu cầu nhiều hơn một người phê duyệt một giao dịch tiền điện tử.

　　Điều này mang lại sự phủ nhận chính đáng. Truy cập key.casa để có dịch vụ bảo mật multi-sig (ví đa chữ ký) tiết kiệm chi phí.

　　Tìm hiểu và đầu tư vào tiền điện tử có thể là một trải nghiệm cực kỳ tự do. Đó là một biểu hiện của chủ quyền tài chính, nhưng nếu bạn đang không cần đến một cơ quan quyền lực - như ngân hàng – để quản lý tài chính cho mình, bạn sẽ phải là người chịu trách nhiệm cuối cùng, vì vậy ít nhất bạn cần phải biết phương pháp tốt nhất để giữ tiền điện tử của bạn an toàn và đảm bảo cho mình có một giấc ngủ ngon về đêm.