Không phải Khóa của bạn, không phải Tiền của bạn—Tự do phi tập trung phải trả giá bằng "bảo mật khóa riêng tư" tuyệt đối.
Báo cáo tháng 7 năm 2025 của Chainalysis cho thấy 17%-23% Bitcoin bị ngừng hoạt động vĩnh viễn do quên khóa riêng tư hoặc thiết bị bị hỏng. Vì khóa riêng tư đại diện cho quyền sở hữu tài sản, nên một khi bị mất, chúng không thể được đặt lại và không có dịch vụ khách hàng nào giúp khôi phục chúng. Một khi đã bị người khác biết, tiền bị đánh cắp gần như không thể khôi phục. Thế giới trên chuỗi mang lại cho chúng ta tự do, nhưng nó cũng đặt lại mọi trách nhiệm vào tay chúng ta. Khi hệ sinh thái trên chuỗi phát triển mạnh mẽ, nhiều vụ trộm cắp tài sản xảy ra thường xuyên, nhưng mọi người thường không nhận thức được vấn đề cho đến sau này, và rất khó để xác định nguyên nhân sự cố—khóa riêng tư bị rò rỉ? liên kết lừa đảo đã nhấp vào? Đã tải xuống chương trình Trojan?
Hay các lỗi vận hành khác? Đội ngũ bảo mật OKX Web3 hy vọng sẽ nâng cao nhận thức của mọi người về bảo mật khóa riêng tư thông qua bài viết khoa học phổ thông này, đồng thời xem xét những điểm mù bảo mật dễ bị bỏ qua nhất. I. Tại sao khóa riêng tư hoặc cụm từ ghi nhớ bị rò rỉ? Trước tiên, hãy cùng sửa chữa một quan niệm sai lầm phổ biến: nhiều người dùng tin rằng rò rỉ khóa riêng tư hoặc cụm từ ghi nhớ (sau đây gọi là "rò rỉ khóa riêng tư") thường xảy ra trong quá trình sử dụng ví. Trên thực tế, nếu bạn tải xuống và sử dụng phiên bản chính thức của một ví thương hiệu lớn thông qua các kênh hợp pháp, khóa riêng tư của bạn thường sẽ không bị rò rỉ trong quá trình sử dụng bình thường. Rò rỉ khóa riêng tư chủ yếu là do lưu trữ không đúng cách, cho phép người khác lấy được. Khi ai đó có được khóa riêng tư của bạn, họ có thể nhập và kiểm soát tài sản của tài khoản đó trong bất kỳ ví nào. Trên thực tế, có rất nhiều lý do dẫn đến rò rỉ khóa riêng tư, và nguồn cụ thể thường khó truy xuất đầy đủ. Tuy nhiên, thông qua việc phân tích nhiều trường hợp trong ngành và hỗ trợ điều tra, chúng tôi đã tóm tắt một số tình huống và manh mối điển hình. (Xem bên dưới)
Hình ảnh: Khó khăn trong việc phân tích nguyên nhân bị đánh cắp khóa riêng tư do Giáo viên Yu Xian của SlowMist chia sẻ
Hình ảnh: Khi phát hiện phản chiếu màn hình, Ví OKX sẽ tự động ẩn cụm từ ghi nhớ và khóa riêng tư, khiến văn bản không hiển thị với người khác
Trường hợp 3: Ứng dụng giả mạo, cơn ác mộng cho người dùng Android. Anh Wang là một người dùng thận trọng. Sau khi tạo ví, anh đã lưu ảnh chụp màn hình cụm từ ghi nhớ vào album ảnh cục bộ và không bao giờ tải lên đám mây vì tin rằng cách này an toàn hơn. Tuy nhiên, anh đã tải xuống cái gọi là "phiên bản nâng cao của Telegram" từ một diễn đàn. Biểu tượng và giao diện của ứng dụng gần như giống hệt với phiên bản chính thức. Trên thực tế, nó liên tục quét album ảnh trên điện thoại của anh ở chế độ nền, nhận dạng cụm từ ghi nhớ bằng công nghệ OCR (Nhận dạng Ký tự Quang học) và tự động tải lên máy chủ của tin tặc. Ba tháng sau, tài sản của anh Vương bị xóa sạch, gây thiệt hại hơn 50.000 đô la. Phân tích kỹ thuật cho thấy điện thoại của anh cũng chứa một số ứng dụng độc hại, bao gồm imToken giả mạo, MetaMask và Google Authenticator.
Trường hợp 4: Ứng dụng độc hại BOM dẫn đến rò rỉ cụm từ ghi nhớ.Vào ngày 14 tháng 2 năm 2025, nhiều người dùng đã bị đánh cắp tài sản trong ví. Phân tích dữ liệu trên chuỗi cho thấy các đặc điểm điển hình của rò rỉ cụm từ ghi nhớ/khóa riêng trong những trường hợp này. Điều tra sâu hơn cho thấy hầu hết người dùng bị ảnh hưởng đã cài đặt và sử dụng một ứng dụng có tên là BOM. Điều tra sâu hơn cho thấy ứng dụng này thực chất là một trò lừa đảo được ngụy trang cẩn thận. Tội phạm đã chiếm đoạt quyền truy cập cụm từ ghi nhớ/khóa riêng bất hợp pháp bằng cách dụ dỗ người dùng cấp quyền, từ đó thực hiện chuyển giao tài sản một cách có hệ thống và cố gắng che giấu hoạt động của chúng.
Khuyến nghị bảo mật:Nhiều người dùng hình thành thói quen vì "sự tiện lợi", và đây chính là thói quen nguy hiểm nhất. Do đó, chúng tôi khuyến nghị mọi người: 1) Không chụp ảnh màn hình cụm từ ghi nhớ của bạn! **Bạn nên lưu thông tin khóa riêng tư của mình bằng tay trên giấy và cất giữ ở nơi an toàn.** **2) Luôn tải xuống ứng dụng từ các kênh chính thức. Không dễ dàng thử "phiên bản nâng cao" hoặc các sửa đổi của bên thứ ba từ các nguồn không xác định.** **3) Nếu bạn phát hiện bất kỳ bất thường nào trên thiết bị hoặc đã chụp ảnh màn hình khóa riêng tư của mình trước đó, đừng mạo hiểm; hãy chuyển tài sản của bạn ngay lập tức sang ví mới.** **4) OKX đã làm gì?** Để ngăn người dùng chụp ảnh màn hình trên các trang sao lưu khóa riêng tư và cụm từ ghi nhớ, chúng tôi đã vô hiệu hóa chức năng chụp ảnh màn hình trên các trang nhạy cảm này. [Hình ảnh: Ví OKX cấm chụp ảnh màn hình trên các trang khóa riêng tư và cụm từ ghi nhớ] Ngoài ra, để giảm nguy cơ người dùng cài đặt ứng dụng giả mạo, phiên bản Android cũng cung cấp chức năng quét ứng dụng độc hại.
Hình ảnh: Phiên bản Android của Ví OKX cung cấp chức năng quét ứng dụng độc hại
Trường hợp 5: Lừa đảo airdrop giả mạo. Một dự án NFT nổi tiếng đã thông báo trên Twitter rằng họ sẽ airdrop token mới cho người nắm giữ. Chỉ 10 phút sau thông báo, nhiều trang web lừa đảo đã xuất hiện ở đầu kết quả tìm kiếm của Google (được quảng bá thông qua quảng cáo trả phí). Các trang web lừa đảo này có tên miền chỉ khác nhau một chữ cái (chẳng hạn như opensae.io thay vì opensea.io), và thiết kế trang gần như giống hệt với trang web chính thức. Khi người dùng kết nối ví, trang sẽ hiển thị lời nhắc: "Mạng bị tắc nghẽn, kết nối không thành công, vui lòng nhập thủ công cụm từ ghi nhớ để nhận airdrop." Hơn 50 người dùng đã mắc bẫy lừa đảo vào ngày hôm đó, với tổng thiệt hại lên đến hơn 200.000 đô la. Nạn nhân nhanh nhất đã bị chuyển tiền từ lúc nhập cụm từ ghi nhớ sang lúc bị chuyển tiền chỉ trong 3,7 giây.
Trường hợp thứ sáu: Tấn công Kỹ thuật Xã hội. Cô Zhao gặp sự cố vận hành trong một nhóm Discord của một dự án cụ thể. Một quản trị viên với hình đại diện và biệt danh rất "chính thức" đã chủ động nhắn tin riêng cho cô, tự xưng là bộ phận chăm sóc khách hàng để hỗ trợ cô, và gửi cho cô một liên kết đến "trang xác minh". Cô Zhao tin vào điều đó và nhấp vào liên kết, nhập cụm từ ghi nhớ theo yêu cầu. Trang web trông giống hệt trang web chính thức. Vài phút sau, nhiều giao dịch bất ngờ xảy ra trong ví của cô. Sau đó, cô nhận ra rằng người được gọi là quản trị viên thực chất là một kẻ lừa đảo, và bất kỳ "bộ phận chăm sóc khách hàng" nào yêu cầu người dùng nhập cụm từ ghi nhớ hoặc khóa riêng tư trên trang web chắc chắn là lừa đảo. Điều đáng chú ý là ngoài việc mạo danh quản trị viên chính thức, kẻ lừa đảo còn có thể mạo danh bạn bè, nhân viên dự án hoặc các danh tính đáng tin cậy khác.
Khuyến nghị bảo mật: Một DApp hợp pháp sẽ không bao giờ yêu cầu bạn cung cấp khóa riêng tư và một người đáng tin cậy sẽ không yêu cầu bạn cung cấp khóa riêng tư.
Khuyến nghị bảo mật: Hãy nhớ: Khóa riêng tư là chìa khóa cho tài sản của bạn; hãy giữ an toàn và không dễ dàng tiết lộ nó.
Khi người dùng phát hiện khóa riêng tư của họ bị nghi ngờ bị rò rỉ và tài sản của họ đã bị chuyển đi, họ sẽ liên hệ ngay với nhóm ví, hy vọng chúng tôi có thể hỗ trợ thêm. Tuy nhiên, trên thực tế, một khi khóa riêng đã bị lộ, khả năng can thiệp của nhà cung cấp ví là rất hạn chế.
Dưới đây là tổng quan ngắn gọn về quy trình xử lý cơ bản của chúng tôi khi nhận được phản hồi về "tài sản bị đánh cắp", đồng thời giải thích lý do tại sao chúng tôi thường không thể "thu hồi" trực tiếp tài sản trên chuỗi:
Trước tiên, chúng tôi sẽ hỗ trợ người dùng điều tra dòng tiền, phân tích xem liệu các khoản tiền trên chuỗi có liên quan đến các nhóm tin tặc đã biết hay các cụm địa chỉ hay không. Đồng thời, chúng tôi sẽ khuyến nghị người dùng chuyển các tài sản chưa bị đánh cắp càng sớm càng tốt để giảm thiểu rủi ro mất mát thêm. Đối với những trường hợp số tiền bị đánh cắp lớn, chúng tôi sẽ khuyến nghị người dùng liên hệ kịp thời với cảnh sát địa phương và tìm kiếm sự hỗ trợ thông qua các kênh pháp lý.
Đội ngũ nội bộ của chúng tôi cũng sẽ tiến hành phân tích chuyên sâu về sự cố, tóm tắt phương thức hoạt động của tin tặc để cung cấp tài liệu tham khảo cho việc bảo vệ người dùng trong tương lai. Là nhà cung cấp công cụ, bản thân ví không thể và không có thẩm quyền đóng băng hoặc khôi phục tài sản trên chuỗi. Một khi tin tặc lấy được khóa riêng, chúng thường có thể hoàn tất việc chuyển tiền trong vòng vài giây bằng các tập lệnh tự động - cực kỳ nhanh chóng và khó can thiệp. Chỉ khi số tiền bị đánh cắp cuối cùng được chuyển vào một sàn giao dịch tập trung thì việc đóng băng tạm thời mới có thể được áp dụng thông qua các kênh pháp lý. Khi dòng tiền được liên kết với nhóm tin tặc mà chúng tôi đã xác định, chúng tôi sẽ bắt đầu với cách thức hoạt động chung của chúng để giúp người dùng nhớ lại xem gần đây họ có thực hiện bất kỳ giao dịch rủi ro cao nào không, từ đó xác định xem khóa riêng của họ có thể đã bị lộ ở giai đoạn nào.OKX luôn ưu tiên bảo mật quỹ người dùng, đầu tư mạnh vào việc xây dựng hệ thống kiểm soát rủi ro và thiết kế các cơ chế xác minh nhiều lớp trong nhiều năm qua. Mặc dù các quy trình này có vẻ rườm rà, nhưng tất cả đều được thiết kế để bảo vệ tài sản của người dùng tốt hơn. Chúng tôi có thể nói rằng chúng tôi là một trong những đội ngũ chú trọng bảo mật nhất trong ngành. Như đã đề cập trước đó, nếu người dùng thiếu nhận thức về bảo mật hoặc có thói quen sử dụng không đúng cách, họ vẫn có thể bị tổn thất do lừa đảo, rò rỉ khóa riêng tư, v.v., bất kể họ sử dụng ví nào. Do đó, việc bảo vệ khóa riêng tư đúng cách vẫn là nền tảng bảo mật quan trọng nhất. Bên cạnh việc liên tục cải thiện khả năng bảo mật của các sản phẩm, chúng tôi cũng liên tục tăng cường phân tích trường hợp và chia sẻ các mẹo bảo mật để giúp người dùng xác định tốt hơn các tình huống rủi ro tiềm ẩn.
Tuyên bố miễn trừ trách nhiệm:
Bài viết này chỉ nhằm mục đích cung cấp thông tin. Bài viết này không nhằm mục đích cung cấp (i) lời khuyên hoặc khuyến nghị đầu tư, (ii) lời đề nghị, chào mời hoặc dụ dỗ mua, bán hoặc nắm giữ tài sản kỹ thuật số, hoặc (iii) lời khuyên về tài chính, kế toán, pháp lý hoặc thuế. Tài sản kỹ thuật số (bao gồm stablecoin và NFT) chịu sự biến động của thị trường, có rủi ro cao và có thể mất giá. Nếu có thắc mắc về việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp với bạn hay không, vui lòng tham khảo ý kiến chuyên gia pháp lý/thuế/đầu tư của bạn. Ví OKX Web3 chỉ đơn thuần là một dịch vụ phần mềm ví tự lưu ký cho phép bạn khám phá và tương tác với các nền tảng của bên thứ ba. Ví OKX Web3 không kiểm soát các dịch vụ của các nền tảng của bên thứ ba đó và không chịu trách nhiệm về chúng. Không phải tất cả các sản phẩm đều có sẵn ở tất cả các khu vực. Bạn có trách nhiệm hiểu và tuân thủ luật pháp và quy định hiện hành của địa phương. Ví OKX Web3 và các dịch vụ liên quan không do sàn giao dịch OKX cung cấp và chịu sự điều chỉnh của các điều khoản dịch vụ của hệ sinh thái OKX Web3. Bài viết này là một bài viết và không đại diện cho quan điểm của BlockBeats.