Nếu bạn không nghe thấy tiếng ồn ào gần đây nhất trong lĩnh vực tiền điện tử trong tuần qua, thì có thể bạn đang sống dưới một tảng đá, bởi vì (thật không may) tất cả mọi người đều đang tập trung vào. Vào khoảng 4 giờ sáng theo giờ EST ngày 16 tháng 4 năm 2018, giữa buổi phát trực tiếp, nhà đầu tư tiền điện tử, cố vấn và tự xưng là “nhà truyền bá phúc âm”, Ian Balina vừa bị đánh cắp 2 triệu đô la Mỹ từ ví ETH của mình.

Anh ấy đột ngột kết thúc buổi phát trực tiếp của mình bằng dòng tweet sau –

Ian Balina Hack Tweet

Thật khó để hiểu bằng cách nào một người có số tài sản lên tới hàng triệu đã lưu trữ nó một cách liều lĩnh như vậy. Và phần đáng sợ nhất – nó phổ biến hơn bạn nghĩ. Trong một buổi mát-xa trên Telegram hiện đã bị xóa, Balina giải thích cách anh ấy nghĩ rằng mình đã bị tấn công:

Đây là cách tôi nghĩ rằng tôi đã bị hack. Email đại học của tôi được liệt kê là email khôi phục vào Gmail của tôi. Tôi nhớ đã nhận được email về việc nó đã bị xâm phạm và đã cố gắng theo dõi với bộ phận bảo mật trường đại học của tôi để giải quyết nó, nhưng không thể xử lý nó theo cách [sic] nhanh chóng và từ bỏ nó vì nghĩ rằng nó chỉ là một cái cũ. e-mail.

Tôi giữ các phiên bản văn bản của khóa cá nhân được lưu trữ trong Evernote của mình, dưới dạng tệp văn bản được mã hóa bằng mật khẩu. Tôi nghĩ rằng họ đã hack email của tôi bằng cách sử dụng email đại học của tôi và sau đó hack Evernote của tôi.

Đối với những người không biết chính xác Ian Balina là ai, anh ấy bắt đầu tạo video trên YouTube vào đầu năm 2017 để dạy các nhà đầu tư cách “hack hệ thống” và kiếm được thu nhập sáu con số. Anh ta chỉ nổi lên trong sáu tháng qua sau khi tiết lộ rằng anh ta đã đánh bại một 90.000 đô la đầu tư vào 4 triệu đô la trong vòng chưa đầy 12 tháng – một tuyên bố mà anh ấy đã chứng thực với Ảnh chụp nhanh danh mục đầu tư được đăng trên Twitter.

Giống như anh ta hay không, vụ hack Ian Balina là một bài học đắt giá về tầm quan trọng của việc giữ an toàn cho tiền điện tử của bạn. Dưới đây là 4 bài học bảo mật cơ bản và lời nhắc HODLers nên tự làm quen và triển khai vào quá trình duyệt, đầu tư và lưu trữ tiền điện tử của họ để giảm thiểu nguy cơ bị tấn công (hoặc bị lừa trên phương tiện truyền thông xã hội).

1. Đừng phô trương nó chỉ vì bạn có nó

Cũng giống như một người bình thường không đi vòng quanh để la hét chi tiết tài khoản ngân hàng của họ và số tiền họ có trong ví ở một khu phố ồn ào lúc 2 giờ sáng, các nhà đầu tư tiền điện tử không nên công khai danh mục đầu tư và tài sản tiền điện tử của họ trực tuyến – hoặc gặp trực tiếp.

Ngay cả khi tham gia vào các diễn đàn trực tuyến phổ biến, chẳng hạn như BitcoinTalk hoặc Reddit, sự thận trọng là chìa khóa – chỉ cần hỏi Redditor này người thực sự đã đăng hạt giống riêng Siacoin của họ trực tuyến và đã được một người bạn thân thiện may mắn của Redditor cho một bài học về bảo mật.

Hạn chế phát thông tin tài chính trực tuyến có vẻ như là một mẹo hiển nhiên, nhưng nó vẫn lặp lại.

Dưới đây chỉ là một số hậu quả và rủi ro bảo mật mà nó mở ra cho các nhà đầu tư:

  1. Lừa đảo có mục tiêu
  2. Ransomware
  3. Kỹ thuật xã hội
  4. Ăn cướp

Đúng vậy, cướp. Lấy nó từ người đàn ông Đài Loan này người đã đưa ra bằng chứng về số bitcoin của mình cho 3 kẻ lừa đảo, và cuối cùng đã bị tấn công và cướp. Những kẻ lừa đảo đã chuyển 18 bitcoin – ước tính hơn 170.000 đô la Mỹ – từ tài khoản của anh ta (qua điện thoại).

Ngay cả Thủ tướng Iceland cuối cùng cũng trở thành người ngoài cuộc vô tình thoát khỏi cuộc chạy trốn của một người đàn ông bị nghi ngờ đánh cắp khoảng 600 máy tính với Bitcoin, trong vụ cướp được coi là lớn nhất từ ​​trước đến nay của Iceland.

Bạn có thể không muốn bị coi thường, nhưng cũng không muốn bị soi mói quá nhiều. Đừng làm phiền chính mình.

2. Sử dụng Kho lạnh nếu bạn đang lưu trữ trên 1 tháng lương trực tuyến

Khi quyết định có nên bỏ tiền ra và chi từ $ 60 đến $ 150 cho một chiếc ví phần cứng hay không, HODLers nên tự hỏi bản thân xem họ có hài lòng với việc bị mất hay không, mật khẩu hoặc thông tin đăng nhập có bị xâm phạm.

Lưu trữ khóa cá nhân trực tuyến và sử dụng ví nóng có thể quản lý được và thích hợp cho các nhà đầu tư lưu trữ các khoản tiền nhỏ trực tuyến, trong khi lưu trữ lạnh – lưu trữ tiền trong một thiết bị ngoại tuyến – và ví phần cứng nên được sử dụng bởi các nhà đầu tư nắm giữ lương trên một tháng trên sàn giao dịch.

Tuy nhiên, nếu ngay cả việc mất lương một tuần do bị hack cũng ảnh hưởng đáng kể đến bạn – về mặt tài chính hoặc tình cảm – thì bạn nên chi tiêu vào tab quán bar cuối tuần đó hoặc một số tiền tiết kiệm được cho sinh nhật lần thứ 90 đầy bất ngờ của nana.

Trường hợp Balina sai sót trong bộ nhớ và / hoặc khóa cá nhân của anh ấy là do anh ấy sử dụng một chương trình lưu trữ đám mây chung và miễn phí và email đại học bị xâm phạm, cho phép tin tặc xâm nhập email hiện tại của anh ấy và giành quyền truy cập vào Evernote.

Lưu trữ khóa cá nhân hoặc hạt giống trực tuyến không được coi là kho lạnh – sau đó nó được coi là ví nóng, vì nó được kết nối với internet – và đi kèm với nhiều vấn đề và lỗ hổng bảo mật liên quan đến ví nóng.

Nếu nghi ngờ, đi lạnh.

Cả hai TrezorLedger Nano là hai ví phần cứng phổ biến và có uy tín để lưu trữ tiền. Chỉ cần nhớ rằng, một khoản đầu tư nhỏ vào bảo mật hiện có thể ngăn chặn Charlie Shrem – một thành viên sáng lập của Quỹ Bitcoin – từ việc cung cấp cho bạn một lần nữa trong tương lai.

charlie shrem ian balina hack tweet

Và, nếu bạn đang tìm kiếm tính di động kết hợp với kho lạnh, hãy cân nhắc sử dụng CoolWallet S, một ví phần cứng di động hỗ trợ Bitcoin, Ethereum, Ripple, Litecoin và Bitcoin Cash (mã thông báo ERC-20 sắp ra mắt).

Ngoài ra, ví giấy là một phương tiện lưu trữ lạnh hiệu quả, miễn là bạn không đặt mảnh giấy với mã khôi phục và mã PIN của bạn dưới gối của con gái bạn trước chuyến bay và thuê một đội dọn dẹp để dọn dẹp.

Để có cái nhìn toàn diện về ví tiền điện tử, xem hướng dẫn dành cho người mới bắt đầu của chúng tôi về ví tiền điện tử.

3. Cẩn thận với Punycode

Kể từ khi tiền điện tử gia tăng như vũ bão trong vài năm qua, lừa đảo đã trở thành phương pháp ưa thích của những kẻ lừa đảo tìm cách lợi dụng những HODLer bất cẩn và những người nhanh chóng nhận được quà tặng tiền điện tử miễn phí – cảm ơn @VitarikBooterun đến từ Nga, người có 2 người theo dõi và không có ảnh hồ sơ ( đây là một trình xử lý Twitter giả mạo và hoàn toàn được tạo ra, nhưng hãy đăng nhập vào Twitter, tìm @VitalikButerin Tweet và ghi chú).

Vấn đề đáng lo ngại nhất xung quanh các cuộc tấn công lừa đảo ngày nay là tính phức tạp và tính xác thực về mặt thẩm mỹ của chúng. Đặc biệt là đối với những người như tôi, một người về mặt kỹ thuật phải đeo kính đọc sách nhưng không bị thuyết phục bởi mẹ anh ấy nói với anh ấy rằng anh ấy trông đẹp trai hơn khi mặc chúng – và thay vào đó chọn nheo mắt và giữ máy tính gần mặt.

Và, tôi không phải là người duy nhất bị lừa trước đây.

Đầu năm nay, nó đã làm sáng tỏ rằng một tài khoản Tron giả đã được Twitter xác minh. Tài khoản đã thu hút được hơn 140.000 người theo dõi trong khi tweet ra các quà tặng lừa đảo trong đó người dùng đã gửi một lượng nhỏ ETH đến một địa chỉ đã đăng với lời hứa sẽ nhận lại gấp 10 lần số tiền đó.  

Nó không dừng lại ở đó. Các cuộc tấn công lừa đảo ngày càng sáng tạo hơn. Mặc dù không được sử dụng trong vụ hack Balina, nhưng phương pháp lừa đảo này rất đáng để mắt tới: không nhìn đâu xa ngoài “punycode”.

giả mạo binance lừa đảo punycode

Nói một cách đơn giản, punycode là một đại diện đặc biệt của Unicode, cho phép tin tặc chuyển đổi các ký tự sang ASCII, một bộ ký tự nhỏ hơn và bị hạn chế – hãy nghĩ đến ngôn ngữ Đức. Ví dụ: tên tiếng Đức cho Munich là ‘München’.

Vì vậy, làm thế nào để bạn phân biệt các trang web hợp pháp khỏi những trang độc hại?

  • Đối với người mới bắt đầu, hãy tìm chữ ‘https’ màu xanh lục và từ ‘Bảo mật’ ở ngay bên trái địa chỉ URL của trang web. Màu xanh lá cây cho biết trang web đã đạt được các chứng chỉ SSL cần thiết và hợp pháp.
  • Thứ hai, đánh dấu trang một trang web được truy cập thường xuyên là một phương tiện hiệu quả để giảm thiểu lỗi hoặc viết sai chính tả.
  • Kiểm tra kỹ để đảm bảo rằng URL đã được nhập chính xác và tin tưởng vào bản lĩnh của bạn. Một trang web hiển thị cửa sổ bật lên ngay khi hạ cánh ngay trên trang có thể không phải là trang web chính xác để giao dịch và lưu trữ tiền điện tử trị giá hàng nghìn đô la.

4. Xác thực hai yếu tố là chìa khóa – Một phương pháp thống trị tối cao

Sao lưu tài khoản tiền điện tử và thông tin đăng nhập bằng xác thực hai yếu tố – còn được gọi là 2FA – là một bước thiết yếu trong việc tăng cường bảo mật danh mục đầu tư. 2FA yêu cầu người dùng nhập mật khẩu dùng một lần (OTP) được cung cấp cho họ qua điện thoại thông minh hoặc ứng dụng để hoàn tất quá trình đăng nhập.

Tuy nhiên, người dùng coi trọng vấn đề bảo mật nên từ chối sử dụng xác thực SMS cho 2FA và thay vào đó sử dụng các ứng dụng như Google Authenticator, hoặc ít phổ biến hơn Authy.

Các nhà nghiên cứu và các chuyên gia bảo mật đã cảnh báo từ lâu về việc sử dụng tin nhắn văn bản như một biện pháp bảo mật xác thực khi đăng nhập trực tuyến, lưu ý rằng trước đây tin tặc đã tổ chức các cuộc tấn công quy mô lớn, nơi chúng khai thác các lỗ hổng đã biết trong các mạng di động khác nhau để chặn các tin nhắn văn bản được gửi đến người dùng.  

Ưu điểm của Google Authenticator là dựa vào thế mạnh là không cần tương tác với nhà cung cấp dịch vụ di động, lưu giữ các mã xác thực có giới hạn thời gian trên ứng dụng (thường là 30 giây) và điện thoại. Ngay cả khi tin tặc nhanh chóng di chuyển số điện thoại của người dùng sang điện thoại mới, thì mã vẫn không bị ảnh hưởng.     

Khi sử dụng Google Authenticator hoặc các ứng dụng 2FA khác, điều cần thiết là phải sao lưu khóa cá nhân và lưu trữ chúng một cách an toàn – đề phòng trường hợp bạn làm hỏng hoặc mất điện thoại.

Lời kết

Mặc dù một số người trong cộng đồng tiền điện tử không tin rằng Balina đã thực sự bị tấn công – chỉ ra một số trường hợp đáng ngờ và lý do tại sao Balina có thể thực sự nhúng tay trực tiếp vào nó – kể từ đó Balina đã bác bỏ những tuyên bố như vậy, nói rằng vụ hack là bây giờ chính thức bị điều tra hình sự.

Bất kể điều gì thực sự đã xảy ra, rõ ràng là ngay cả những người nắm giữ tiền điện tử “dày dạn kinh nghiệm” cũng đang phạm phải những lỗi bảo mật nghiêm trọng và rõ ràng.

Hy vọng rằng bài viết này như một lời nhắc nhở cho mọi người rằng điều quan trọng là phải dành một chút thời gian để đánh giá lại liệu bạn có đang thực hiện các biện pháp phòng ngừa thích hợp hay không – cho dù chúng có vẻ đơn giản và cơ bản đến đâu – để giao dịch và lưu trữ tiền điện tử một cách an toàn.

Có liên quan: Cách bảo mật tiền điện tử của bạn