Tháng 9 vừa qua, BeInCrypto đã tường thuật hơn 10 vụ hack liên quan đến tiền mã hóa với nhiều nạn nhân và quy mô khác nhau. Cùng nhìn lại những vụ hack này để mỗi nhà đầu tư có thể rút ra kinh nghiệm cho riêng mình.
Sau đây là những đề xuất từ BeInCrypto trong nổ lực giúp nhà đầu tư cá nhân không trở thành nạn nhân của những vụ hack tương tự.
Phân loại nạn nhân: Bị động và chủ động
Một danh sách dài các vụ hack trong tháng 9, và còn dài hơn nữa nữa nếu ngược dòng thời gian..
– Houbi
– Mixin
– Upbit
– Linear Finance
– Balancer
– Ví Mark Cuban
– Remitano
– CoinEx
– Tài khoản X của Vitalik
– Stake .com
– Steadefi.
Dưới góc độ quản trị rủi ro cho tài khoản cá nhân, có thể phân chia nhà đầu tư nạn nhân thành 2 dạng: Bị động và chủ động.
- Chủ động là khi nhà đầu tư đang sở hữu đầy đủ năng lực bảo mật nhưng không tự khai thác triệt để hoặc bất cẩn khiến cho bị hack. Ví dụ như các vụ hack tài khoản X của Vitalik, hack ví của Mark Cuban…
- Bị động là khi nhà đầu tư đã đem tiền lên sàn hoặc stake vào các giao thức và không còn toàn quyền với số tiền đó nữa. Và sau đó hacker tấn công giao thức/sàn mà họ đã tin tưởng. Ví dụ như các vụ hack Houbi, Upbit, CoinEx, Mixin…
Trong cả hai dạng này, nhà đầu tư đều có thể có những biện pháp để giảm rủi ro (ngay cả khi đó là bị động). Sau đây là những lời khuyên từ những chuyên gia trong ngành về vấn đề bảo mật này.
Đừng “chủ động” trở thành nạn nhân
CZ – Founder sàn giao dịch Crypto hàng đầu hiện nay – đang quản lý ví Bitcoin có số dư lớn nhất thế giới (theo bitinfocharts). CZ đã đưa ra những nguyên tắc quan trọng định hình tư duy bảo mật tiền mã hóa cho mỗi cá nhân. Những nguyên tắc này tóm gọn trọng 3 gạch đầu dòng sau:
- Ngăn cản người khác ăn cắp tiền.
- Ngăn cản chính bản thân làm mất tiền.
- Có một cách để chuyển tiền cho người thân (yêu) khi bạn muốn mà không thể.
Nếu đáp ứng được những nguyên tắc này thì nhà đầu tư sẽ giảm thiểu đáng kể rủi ro để không giống như Mark Cuban.
Ngăn cản người khác ăn cắp tiền
Dù nhà đầu tư sử dụng máy tính hoặc ví cứng để cất trữ Crypto, thì cũng hết sức hạn chế việc để cho ví trong tình trạng được kết nối internet. Một khi ví được kết nối internet, đồng nghĩa với mở cửa cho những rủi ro có khả năng bước vào. Do đó:
- Dùng thiết bị riêng (laptop riêng chẳng hạn) để lưu trữ ví và thiết bị này độc lập khỏi công việc hoặc thói quen sử dụng cá nhân. Sử dụng phần mềm mã nguồn mở để cài đặt ví trên thiết bị riêng này để giảm rủi ro tấn công cửa hậu (backdoor). Nếu không, hãy tải phần mềm ví từ trang cung cấp chính thức. Nếu được, hãy sử dụng hệ điều hành Linux (không phải Window hay Mac).
- Nếu dùng điện thoại, hãy để điện thoại ở chế độ “factory reset” và điện thoại chỉ để cài đặt ví. Nên là iPhone hơn là Android. Không kết nối điện thoại với bất kỳ Wifi nào, sử dụng 4G khi cần giao dịch trên ví.
Một số phần mềm ví có cửa hậu hoặc gửi dữ liệu cho nhà phát triển. Do đó, hãy chọn phần mềm ví nào cho phép ký giao dịch ngoại tuyến (chức năng Offline transaction signing), để đảm bảo private key không ở trong tình trạng trực tuyến. Ngay cả khi sử dụng ví cứng, nhà đầu tư cũng cần đáp ứng các tiêu chí trên vì rồi sẽ đến lúc cắm ví cứng vào laptop để giao dịch.
Ngăn cản chính bản thân làm mất tiền
Nguyên tắc của việc ngăn cản bản thân khỏi mất tiền là thực hiện tạo ra các bản sao lưu (lưu các seed phrase…). Việc tạo bản sao lưu này đáp ứng 3 tiêu chí:
- Nhiều bản (mất cái này còn cái khác).
- Ở vị trí khác nhau (không bị mất một lần).
- Người khác không thể đọc được.
Vấn đề là làm sao để đáp ứng được những tiêu chí trên mà vẫn đảm bảo việc bảo mật. Nếu là ghi trên giấy thì người khác hoàn toàn có thể đọc được. Nếu chụp ảnh và lưu trữ trên đám mây sẽ mâu thuẫn với nguyên tắc đầu nói trên. Do đó, CZ đã đưa ra lời khuyên là mã hóa chúng bằng phần mềm mã hóa mã nguồn mở như VeraCrypt, TrueCrypt…và lưu trữ trong các USB ngoại tuyến.
Có một cách để chuyển tiền cho người thân (yêu) khi muốn mà không thể.
Trong tình huống holder qua đời (hoặc muốn mà không thể gửi cho người thân), thì cần có cách để họ có được số tiền. Không thể đơn giản soạn email có chứa khóa riêng tư và gửi cho con/vợ/chồng, điều này mâu thuẫn với các nguyên tắc nói trên. Yêu cầu này đòi hỏi nhiều thao tác phức tạp hơn:
- Sử dụng những dịch vụ kích hoạt gửi mail khi chủ nhân qua đời. Ví dụ ngay trong Google có thiết lập kích hoạt cho phép người thân truy cập mail khi chủ nhân không truy cập nó trong một thời gian nhất định. Sử dụng từ khóa “Deadman’s switch” để tìm kiếm những dịch vụ dạng này.
- Tuy nhiên, nội dung email cần được mã hóa dưới dạng mã hóa bất đối xứng (asymmetric) tương tự Bitcoin. Nghĩa là người thân cần cất giữ khóa riêng để chỉ họ mới có thể đọc được nội dung mail. Sử dụng từ khóa “PGP (Pretty Good Privacy)” để tìm kiếm phương cách này.
Điều này đòi hỏi người thân của Holder cũng cần có những hiểu biết nhất định về công cụ bảo mật.
Trên đây là tất cả những nguyên tắc chủ động và gợi ý các phương cách chủ động để bảo mật tài sản nhà đầu tư.
Đừng để bản thân “bị động” một cách hoàn toàn
Một khi đã nạp tiền vào sàn/giao thức thì bạn gần như không còn toàn quyền trên số tiền đó nữa. Ngay cả khi bạn nhìn thấy con số trong trang account trên sàn thì đó cũng chỉ là dữ liệu hiển thị của website mà thôi. Bạn sẽ không thể biết họ đang làm gì với số tiền của bạn. Do đó, nguyên tắc ở đây là:
- Sử dụng những sàn giao dịch uy tín có lịch sử bảo mật tốt. Điều này đòi hỏi nhà đầu tư cần có thời gian để tìm hiểu kỹ lưỡng về sàn giao dịch mà mình sắp nạp tiền vào đó. Thông thường, những sàn lâu đời có doanh thu lớn sẽ dành nhiều tiền cho việc bảo mật hơn là những sàn mới và phí thấp. Nhưng nếu đã sử dụng sàn uy tín, mà đầu tư không nắm chắc bảo mật cơ bản (đề cập cuối bài) thì vẫn có thể bị mất tiền dễ dàng.
- Có kế hoạch thời gian cho việc giao dịch trên sàn. Nhiều traders có thói quen xấu là cứ giữ tiền trên sàn ngay cả khi họ không có một kế hoạch giao dịch nào. Lời khuyên là chỉ giữ trên sàn phần vốn được dành cho giao dịch ngắn hạn. Cần phần vốn cho giao dịch trung hạn từ 6 tháng đến dài hạn tính bằng năm thì việc liên tục cất trữ trên sàn là điều không nên. Và nếu trader nhận thấy thị trường đang ở giai đoạn không thuận lợi cho trading, thì tốt nhất hãy cash out/hoặc rút về ví cá nhân.
- Quản lý vốn để tránh thiệt hại lớn trong tình huống xấu nhất. Khi nhà đầu tư deposit/stake tiền vào các giao thức, lúc này phần bảo mật số tiền đó hoàn toàn tùy thuộc vào đội ngũ phát triển. Các trường hợp gần đây như Mixin, Upbit, Linear Finance… đều là do sự thiếu chuyên nghiệp và chặt chẽ trong việc xây dựng thuật toán bảo mật cho giao thức. Nếu nhà đầu không đủ kiến thức lập trình hợp đồng thông minh để nhận thấy rủi ro, ít nhất hãy đảm bảo số tiền này nằm trong kế hoạch quản lý vốn và có thời hạn thu hồi nó.
Trong downtrend, thị trường Crypto thường xuyên xảy ra các vụ hack. Ngoài ra, rất khó để có lợi nhuận từ giao dịch Spot trong downtrend nếu traders không sử dụng các dạng giao dịch phái sinh rủi ro cao. Thế nên, chiến lược tốt trong downtrend là chờ đợi và cơ cấu danh mục về những đồng tiền đáng nắm giữ nhất. Khi đó, những lời khuyên bảo mật chủ động nói trên sẽ phát huy tác dụng.
Đảm bảo nắm chắc những nguyên tắc bảo mật cơ bản
Còn lại, có nhiều nguyên tắc bảo mật cơ bản mà ngay cả khi không phải là nhà đầu tư tài chính cũng cần phải nắm chắc. Bất kỳ ai sử dụng internet đều cần:
- Sử dụng password mạnh mẽ và khác nhau cho những tài khoản khác nhau. Không cần cố nhớ, nhưng có thể dùng phần mềm quản lý password.
- Sử dụng bảo mật hai lớp (Authy hay Google Authenticator) cho các tài khoản quan trọng như tài khoản sàn, email.
- Không nên sử dụng số điện thoại là phương pháp khôi phục email/tài khoản để tránh bị trở thành nạn nhân của việc hoán đổi SIM.
- Cập nhật phần mềm hay sử dụng, và tránh download những phần mềm không chính thống/cracked về máy tính.
Ngoài ra, nhà đầu tư cần cập nhật những kịch bản lừa đảo/hack mới nhất để nhận thấy những rủi ro mới nằm đâu.
Bạn nghĩ sao về những kinh nghiệm bảo mật tiền mã hóa trên? Chia sẻ ngay ý kiến của bạn trong cộng đồng của chúng tôi Telegram chat | Telegram channel | Facebook fanpage.
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.