Hiện tại dòng tiền đang có dấu hiệu bắt đầu trở lại, market bắt đầu sôi động hơn vì vậy số lượng giao dịch càng ngày càng tăng cao cả trên CEX và DEX. Với DEX thì rủi ro về mất tài sản khá lớn do tương tác với dự án đểu hoặc anh em làm airdrop thì không còn lạ lẫm gì. Trong bài viết này mình sẽ đề cập đến những ví phổ biến, những lí do khiến ví của bạn bị xâm nhập và cách bảo vệ tài sản trong ví cá nhân khi săn gems trên DEX và khi làm airdrop.
I, Một số loại ví phổ biến
1. Centralized Wallet – Ví tập trung
Khi mọi người tham gia giao dịch trên sàn giao dịch tiền điện tử tập trung như Binance, Kucoin, OKEX… thì sẽ tạo một tài khoản trade ở trên sàn, trong tài khoản ấy, sàn đã tạo ví cho tất cả coin/token có niêm yết trên sàn. Mọi người chỉ việc chọn đúng đồng coin/token muốn nạp vào, rồi copy địa chỉ ví và gửi tiền vào.
Ví dụ: Trên sàn Binance, chỉ cần vào Ví (Wallet) ⇒ Fiat và Spot ⇒ Chọn đồng coin/token cần nạp/ rút tiền và thực hiện lệnh. Trong trường hợp ví này, mọi người không cần lưu private key mà chỉ cần nhớ mật khẩu tài khoản sàn là được. Với loại này không phải mất công tạo ví, chỉ cần tạo tài khoản. Nhưng mức độ bảo mật không cao bằng ví phi tập trung, tài sản của bạn sẽ bị sàn kiểm soát 100%, và rủi ro từ bên thứ 3 (sàn) nếu có vấn đề xảy ra.
2. Decentralized wallet – Ví phi tập trung
Ví nóng: Là loại ví có thể giao dịch bất cứ khi nào muốn thông qua kết nối internet. Nó miễn phí, đa dạng lựa chọn hơn và có thể kết nối qua App điện thoại hoặc Tiện ích mở rộng trên trình duyệt. Nhưngdễ bị hack hơn so với ví lạnh vì dữ liệu về Private Key được lưu trữ ngay trong App hoặc Extension và luôn luôn kết nối mạng nên hacker dễ tấn công ví dụ như Trustwallet, Metamask, SFP
Ví lạnh: Thường ở dạng giống USB, và hoạt động tương tự như tài khoản ngân hàng của anh em, nó tự động nhận tiền khi có người gửi cho mọi người mà không cần phải kết nối internet tuy nhiên nếu muốn kiểm tra biến động số dư thì cần kết nối ví lạnh với internet giống như internet banking. Mức độ bảo mật cao nhưng giá thành đắt & thiếu tính linh hoạt ví dụ như Ledger, Trazor,…
3. Một số loại ví khác
Smart Contract Wallet: những ví này được truy cập và kiểm soát thông qua smart contract. Có hai loại được hỗ trợ tài khoản thuộc sở hữu bên ngoài được truy cập thông qua private key hoặc seed phrase và tài khoản hợp đồng được kiểm soát thông qua smart contract. Chúng giống với một ứng dụng tài chính truyền thống hơn và bao gồm các tính năng như ủy quyền đa chữ ký, đóng băng tài khoản, giới hạn giao dịch, 2FA, cho phép niêm yết và người giám hộ.
Argent, Gnosis safe
II, Các lý do khiến bạn bị mất tài sản và cách xử lí
Dưới đây là một số nguyên nhân phổ biến khiến tài sản của chúng ta bị mất mát mà mình tìm hiểu và tổng hợp được:
Approve NFT/Token lạ .
Quên tắt tính năng tự động download của Telegram
Hầu hết các hội nhóm, các dự án crypto đều có mặt trên telegram vì dĩ nhiên những dự án scam, dự án có gắn mã độc cũng thể vì thế để phòng tránh chúng ta nên tắt tính năng download tự động của Telegram để đảm bảo an toàn
Trong menu, bạn chọn Settings.
Kéo xuống mục Chat Settings=>Nhấp vào cần gạt của mục Save to Gallery và chuyển sang chế độ tắt (hiển thị màu xám)=>Truy cập vào các website của các dự án fake, dự án scam.
Ký các Mess trên Metamask bởi các Website không legit.
Approve vào các Smart Contracts trên các dự án
Không Revoke các token high-risk khi tham gia vào các kèo Degen
Bị hack trình duyệt lưu trữ ví Chrome
Bị hack keyword và chụp ảnh màn hình lại private key.
III, Một số cách bảo vệ ví
Ở bài viết này mình sẽ đề cập phần lớn đến Metamask vì đa số chúng ta đều dùng nó
Bảo mật private key, pass phrase
Khi tạo ví chúng ta sẽ nhận được 12 cụm từ đăng nhập bí mật. Chúng ta nên ghi nó vào giấy rồi để ở 2 nơi khác nhau hoặc lưu vào USB, hạn chế chụp ảnh lưu nó trên điện thoại hoặc các thiết bị có kết nối internet.
Chia fund ra nhiều ví cho nhiều mục đích sử dụng khác nhau
Việc lập ví Metamask rất nhanh và không tốn phí. Nên tùy theo mục đích sử dụng, hãy mở nhiều ví hoặc trong 1 ví mở nhiều acc tùy theo. Một ví dụ về cách chia ví để anh em tham khảo:
a, Ví dành làm Airdrop
Acc1: chuyển airdrop những dự án rủi ro cao
Acc2: airdrop các dự án có vẻ tốt theo cá nhân nhận định
Acc3: airdrop các dự án lớn, tên tuổi
Khi cày airdrop là chúng ta phải dùng ví đi tương tác rất nhiều dự án. Trên tất cả các hệ. Nhiều dự án đã tương tác cả năm và là dự án tốt, quan trọng là đa số nằm trên hệ Ethereum. Phí giao dịch bỏ ra ko hề ít, trên degenscore cũng là ví hàng top. Tương tác on-chain nhiều như vậy + dự án tốt thì cơ hội lấy airdrop nghìn đô khi mấy dự án đấy ra token là rất cao. Cộng với ví OG lâu năm nên giá trị của nó là những thành tựu của ví vì vậy đừng vì một phút lơ là mà không revoke các token high-risk nhé.
b, Ví lưu trữ tài sản
Nếu không bắt buộc phải để ở Metamask thì nên gửi về ví sàn, hay các loại ví khác an toàn, bảo mật hơn.
Acc1. Lưu trữ tài sản, Nft hold dài hạn không staking, không farm với loại này thì mình lưu vào 1 thiết bị riêng có thể là iphone dùng mạng riêng và luôn để chế độ máy bay
Acc2. Các ví còn lại để stake và farm.
c, Các ví khác còn lại
Mùa trước khi trend play to earn bùng nổ thì mình có tham gia chơi Metamon và một số game khác .Chia làm nhiều ví nếu chơi nhiều game. Mỗi ví một game. Tùy theo mục đích sử dụng cũng nên chia nhiều Acc.
Không động vào token lạ
Địa chỉ ví Metamask nói riêng, trên Crypto nói chung là công khai, bất cứ ai cũng có thể gửi token cho bạn. Theo thời gian trong ví bạn sẽ có một đống token lạ. Việc của bạn là kệ nó, đừng có tham. Nhắc lại, “Việc của bạn là đừng động gì vào nó”. Để kiểm tra các giao dịch trên mạng nào thì vào chainscan mạng đó. Tại đây, bạn cũng có thể kiểm tra tất cả các giao dịch, số dư, các loại token, coin trong ví. Giống như sao kê ngân hàng vậy. Khác ở chỗ là ai cũng xem được nếu có địa chỉ ví.
Kiểm tra định kỳ và xóa kết nối ví với các website lạ
Tốt nhất, ngay từ đầu trước khi kết nối bạn nên tự hỏi có cần thiết không. Có cần sử dụng acc/ví khác để kết nối không. Trường hợp lỡ rồi thì kiểm tra và xóa hết những kết nối không cần thiết. Nếu cần thì lập ví mới mà dùng. Các trang swap mới cũng cẫn đề phòng nhé.
Cách để kiểm tra các website đã kết nối :
Vào Metamask > 3 chấm dọc > Trang web đã kết nối => Xóa các trang không cần thiết, không nhớ, lạ.
Revoke: thu hồi quyền sử dụng token
Trong quá trình sử dụng, bạn thường cấp quyền cho ứng dụng thứ ba sử dụng token trong ví của mình. Ví dụ là khi hoán đổi (swap) BNB sang RACA trong Pancakeswap. Nếu để mặc định không chỉnh thủ công, Pancakeswap có quyền sử dụng vô hạn số token trong ví của bạn. Tương tự như vậy đối với hacker nếu bạn cấp quyền cho bọn chúng. Hướng dẫn revoke thì trên youtube có rất nhiều mình không đề cập ở đây nữa.
Một số Website revoke ví
1. http://Revoke.cash
2. http://Approved.zone
3. http://Tac.dappstar.io
4, Beefy.finance
Phòng tránh việc truy cập các website SCAM
a, Trên máy tính
Học cách sử dụng và tạo một bookmark trên Chrome. Thêm tất cả các Website cần thiết trên đó và chỉ sử dụng dấu trang. Để add một trang web Crypto trên bookmark, vào coinmarketcap.com hoặc coingecko.com hoặc social chính thông để lấy link là an toàn nhất.
b, Trên điện thoại
Dùng iphone bảo mật tốt hơn các loại điện thoại khác còn nếu không có điều kiện thì xài Samsung. Sử dụng Metamask trên điện thoại để tránh scam thì chịu khó tuân theo quy tắc: “Luôn thông qua coinmarketcap.com hoặc coingecko.com để vào website“. Nên nhớ nên dùng một điện thoại riêng để trữ tài sản.
Chống hack keyword và chụp ảnh màn hình
Sử dụng win 10 trở lên. Bật chống virus, firewall, update. Không cần thiết nhưng nếu muốn thì mua thêm phần mềm diệt virus. Hạn chế sử dụng thiết bị lưu trữ tài sản để truy cập vào các trang web giải trí vì ở đó rất nhiều link Ads chứa mã độc.
a, Chống hack trình duyệt
Có riêng 1 tài khoản chỉ để đồng bộ Chrome, lưu acc và mật khẩu. Acc này không làm bất gì điều gì khác.
Google Tài khoản: Bật mật khẩu 2 lớp
Định kỳ kiểm tra Google Tài khoản > Bảo mật > Check Thiết bị của bạn và Các ứng dụng của bên thứ ba có quyền truy cập vào tài khoản
Gmail: không check mail lạ và tuyệt đối không ấn vào link trong mọi email
Xác minh địa chỉ email của người gửi trước khi trả lời hoặc chia sẻ bất kỳ thông tin nào.
Chỉ cài tiện ích (Add-ons) cần thiết và đáng tin tưởng
Cập nhật Chrome thường xuyên
Học cách sử dụng dấu trang. Chia thư mục và lưu các website uy tín
Hãy lưu ý không bao giờ sử dụng cùng một mật khẩu cho nhiều tài khoản, đặc biệt là các tài khoản nhạy cảm liên quan đến ứng dụng ngân hàng, tiền điện tử hoặc email
Chỉ đăng nhập đồng bộ Chrome trên máy tính cá nhân có cài mật khẩu. Tuyệt đối không đồng bộ trên ứng dụng Chrome trên điện thoại
Không nên đăng nhập email đồng bộ Chrome, nhận mã OTP từ các sàn vào điện thoại đăng ký nhận mã OTP. Phòng trường hợp kẻ gian có điện thoại, xem hết được acc, mật khẩu, OTP sms, OTP email và 2FA code là mất trắng tài sản.
b, Chống hack qua mạng
Hầu hết trường hợp bị mất hết token là do dùng wifi công cộng. Điều này là hoàn toàn có thể xảy ra. Giải pháp là dùng VPN trả phí để mã hóa dữ liệu. Nhưng tốt nhất là đừng dùng mạng công cộng. Ra ngoài dùng 4G cho điện thoại và nhớ tắt hết các tính năng chia sẻ của điện thoại đi.
Check kĩ contract của dự án & link chart trên Dex thay vì tự tìm kiếm đối với các dự án Alpha.
Xem CÁCH ĐỌC SMART CONTRACT ĐỂ HIỂU MỤC ĐÍCH GIAO DỊCH TRÊN VÍ
Sử dụng các Wallet đã được kiểm duyệt bởi các đội audit uy tín và luôn cập nhật các tính năng, bản fix của ví
Một số ví an toàn và nổi bật các bạn có thể tham khảo là Metamask, Trustwallet, Coin98. Các loại ví này đều được kiểm chứng bởi các tổ chức audit uy tín.
Bảo mật ví là một chủ đề đáng quan tâm và bảo mật và an toàn ví là điều cần thiết nhưng còn khá nhiều người xem nhẹ. Hi vọng bài viết của mình cung cấp cho các bạn kiến thức hữu ích, chúc các bạn thành công!