Nhật Hoài
Active Member
- 9,576
- 59,533
Tại sao các vụ hack cryptocurrency cứ liên tục xảy ra?
Trước khi trả lời câu hỏi trên, chúng ta hãy cùng làm rõ vài quan niệm sai lầm cái đã.
Cụm từ “bị hack” thực ra có nhiều nghĩa lắm.
Người bình thường khi nhắc tới bị hack thường tưởng tượng một tay trùm mũ ngồi trong căn phòng kín ở nơi nào đó, cố gắng tìm cách truy cập vào máy tính hay tài khoản online của bạn.
Thực ra nó không đơn giản như vậy đâu. Thường kiểu này chỉ có trên phim ảnh.
Phần lớn các vụ hack ngày nay không hề diễn ra theo kiểu vậy, mà các hacker thường dựa vào các Tương tác xã hội của nạn nhân, và cách này thường được gọi là Social Engineering - kỹ sư xã hội:
“Hack là việc lợi dụng sự lừa dối để thao túng và điều khiển các cá nhân làm lộ thông tin tuyệt mật hoặc thông tin cá nhân, nhằm mục đích kiếm tiền hoặc vụ lợi khác.”
Rõ ràng không hề nhắc tới 1 nhân vật nào đó gõ máy tính cạch cạch để truy cập vào máy tính cá nhân của bạn. Cái họ làm là “thao túng và điều khiển bạn” để bạn tự làm lộ thông tin của chính mình. Thường họ sẽ dựa vào các mối quan hệ xã hội của bạn để làm việc này. Các kiểu như sau:
Chẳng hạn Vietcombank gửi cho bạn cái email thông báo chúng tôi cần bạn đăng nhập vào để thay đổi thông tin gì đó, xong bạn bấm vô cái link đăng nhập Vietcombank thường thấy, ra 1 cái trang đăng nhập cũng vô cùng quen thuộc. Bạn bắt đầu nhập id rồi password như thường lệ, và bùm, bạn đã gửi id và password cho bọn hacker.
Thông thường các trang web phishing nhìn rất giống trang web thật, chỉ trừ cái địa chỉ web sẽ có 1 chút thay đổi rất nhỏ, ví dụ ở đây amazon.com lại thành amazonn.com. Vài tháng trước ví điện tử MyEtherWallet cũng bị vụ này, hình như địa chỉ là myetherawllet.com thì phải.
Để tránh bị hack kiểu này, cách đơn giản nhất là kiểm tra kỹ coi cái trang mà bạn truy cập vào để chuẩn bị đăng nhập ấy, địa chỉ của nó có thật không, có dư hay thiếu kí tự nào không. Và luôn sử dụng 2FA (2 factor authentication - xác thực 2 nhân tố) cho các tài khoản quan trọng.
Cũng không phải bị hack luôn.
Bạn không bao giờ bị mất Bitcoin. Tất cả lượng Bitcoin từng được tạo ra trên mạng Blockchain vẫn nằm chình ình trên mạng. Chỉ là không truy cập được thôi.
Cái “truy cập” ở đây chính là mã khoá cá nhân - private key.
Private key cũng giống như 1 cái password (dài hơn tí) để bạn truy cập vào ví chứa coin của bạn, cũng là cái chìa khoá để bạn truy cập vào thông tin đã được mã hoá trên Blockchain. Bạn là người duy nhất truy cập được vào cái hộp chứa thông tin hoặc coin đó trên thế giới, nhờ vào private key. Bạn chỉ có thể bị hack khi bị mất private key vào tay người khác. Nếu dữ liệu được mã hoá, thì thông tin của bạn sẽ được lưu dưới dạng mã hoá luôn (phần lớn các blockchain bây giờ đều là vậy), hầu như không thể xem được thông tin đó bằng cách phá vỡ cái mã hoá đó.
Tại sao các sàn giao dịch cryptocurrency lại hay bị hack?
Do phần lớn các sàn crypto có quy trình bảo mật rất tệ
Phần lớn các sàn cryptocurrency chỉ mới được phát triển cách đây vài năm, và được phát triển bởi những con người… không phải chuyên gia bảo mật. Thường họ đến từ các tổ chức tài chính (có quy trình bảo mật cổ lỗ sĩ cách đây cả trăm năm) và không nhận ra dữ liệu dễ bị lộ tới mức nào.
Khi bạn nghe 1 sàn crypto nào đó bị hack, thì thường do chủ sàn làm mất hoặc lộ private key của nhà đầu tư. Họ giữ tất cả private key của bạn và những nhà đầu tư khác. Cái ví Bitcoin của bạn trên sàn chỉ là 1 ngăn kéo trong cái tủ chứa coin của sàn thôi. Sàn quản lý cái tủ đó, do đó một khi cái tủ bị hack thì tất cả các ngăn kéo cũng bị hack luôn. Binance bị hack thì vốn của tất cả nhà đầu tư trên Binance đều có nguy cơ mất y chang nhau.
Do quy trình quản lý API còn nhiều lỗ hổng
API là 1 loại mã do chính nhà đầu tư tạo ra và dùng nó để đăng nhập vào tài khoản ví của mình trên các nền tảng khác ngoài sàn giao dịch: ứng dụng quản lý danh mục, xem giá coin, vào lệnh trên điện thoại như TabTrader, Coinstats, hoặc chính app của sàn đó. Hacker có thể lợi dụng các app này để truy cập vào tài khoản trading của nhà đầu tư, đặt lệnh lung tung hay thậm chí có thể rút vốn.
Trên đây mình đã đưa ra một vài cách mà bọn hacker hay dùng để hack tài sản crypto của bạn, bất kể là ví cá nhân hay ví trading trên sàn. Anh em còn biết cách nào nữa thì comment bên dưới nhé, và để lại like nếu thấy bài hay. Cám ơn anh em.
Xem thêm:
>> Bảo mật khi tham gia thị trường cryptocurrency: Đừng mất tiền vì thiếu hiểu biết!
Trước khi trả lời câu hỏi trên, chúng ta hãy cùng làm rõ vài quan niệm sai lầm cái đã.
“Bị hack” có nghĩa là gì?
Cụm từ “bị hack” thực ra có nhiều nghĩa lắm.
Người bình thường khi nhắc tới bị hack thường tưởng tượng một tay trùm mũ ngồi trong căn phòng kín ở nơi nào đó, cố gắng tìm cách truy cập vào máy tính hay tài khoản online của bạn.
Thực ra nó không đơn giản như vậy đâu. Thường kiểu này chỉ có trên phim ảnh.
Phần lớn các vụ hack ngày nay không hề diễn ra theo kiểu vậy, mà các hacker thường dựa vào các Tương tác xã hội của nạn nhân, và cách này thường được gọi là Social Engineering - kỹ sư xã hội:
“Hack là việc lợi dụng sự lừa dối để thao túng và điều khiển các cá nhân làm lộ thông tin tuyệt mật hoặc thông tin cá nhân, nhằm mục đích kiếm tiền hoặc vụ lợi khác.”
Rõ ràng không hề nhắc tới 1 nhân vật nào đó gõ máy tính cạch cạch để truy cập vào máy tính cá nhân của bạn. Cái họ làm là “thao túng và điều khiển bạn” để bạn tự làm lộ thông tin của chính mình. Thường họ sẽ dựa vào các mối quan hệ xã hội của bạn để làm việc này. Các kiểu như sau:
- Tạo tài khoản xã hội giả (Facebook, Twitter, vv) làm người quen của bạn để khai thác thông tin của bạn;
- Phishing: Bạn nhận được email của một tổ chức quen thuộc nào đó, như Vietcombank, hay thậm chí là công ty của bạn, yêu cầu “truy cập vào tài khoản của bạn” để kiểm tra số dư hay xác nhận vài thông tin cá nhân. Các email này trông có vẻ rất thật, từ logo cho tới nội dung, địa chỉ người gửi, hay nếu có link web nào đó thì bạn click vào nó ra 1 trang trông cũng rất thật nốt. Bọn nó đã nghiên cứu hết rồi.
Chẳng hạn Vietcombank gửi cho bạn cái email thông báo chúng tôi cần bạn đăng nhập vào để thay đổi thông tin gì đó, xong bạn bấm vô cái link đăng nhập Vietcombank thường thấy, ra 1 cái trang đăng nhập cũng vô cùng quen thuộc. Bạn bắt đầu nhập id rồi password như thường lệ, và bùm, bạn đã gửi id và password cho bọn hacker.
Thông thường các trang web phishing nhìn rất giống trang web thật, chỉ trừ cái địa chỉ web sẽ có 1 chút thay đổi rất nhỏ, ví dụ ở đây amazon.com lại thành amazonn.com. Vài tháng trước ví điện tử MyEtherWallet cũng bị vụ này, hình như địa chỉ là myetherawllet.com thì phải.
Để tránh bị hack kiểu này, cách đơn giản nhất là kiểm tra kỹ coi cái trang mà bạn truy cập vào để chuẩn bị đăng nhập ấy, địa chỉ của nó có thật không, có dư hay thiếu kí tự nào không. Và luôn sử dụng 2FA (2 factor authentication - xác thực 2 nhân tố) cho các tài khoản quan trọng.
- Giả mạo tài khoản Twitter của người nổi tiếng để yêu cầu gửi cryptocurrency: Bọn hacker tạo tài khoản giả Vitalik Buterin chẳng hạn, rồi yêu cầu dân chúng gửi ETH cho mình và hứa sẽ gửi lại 1 lượng ETH nhiều hơn. Vậy mà cũng nhiều người gửi ETH cho bọn nó lắm anh em. Tham thì thâm.
Bitcoin “bị mất” không hề mất
Cũng không phải bị hack luôn.
Bạn không bao giờ bị mất Bitcoin. Tất cả lượng Bitcoin từng được tạo ra trên mạng Blockchain vẫn nằm chình ình trên mạng. Chỉ là không truy cập được thôi.
Cái “truy cập” ở đây chính là mã khoá cá nhân - private key.
Private key cũng giống như 1 cái password (dài hơn tí) để bạn truy cập vào ví chứa coin của bạn, cũng là cái chìa khoá để bạn truy cập vào thông tin đã được mã hoá trên Blockchain. Bạn là người duy nhất truy cập được vào cái hộp chứa thông tin hoặc coin đó trên thế giới, nhờ vào private key. Bạn chỉ có thể bị hack khi bị mất private key vào tay người khác. Nếu dữ liệu được mã hoá, thì thông tin của bạn sẽ được lưu dưới dạng mã hoá luôn (phần lớn các blockchain bây giờ đều là vậy), hầu như không thể xem được thông tin đó bằng cách phá vỡ cái mã hoá đó.
Hack sàn giao dịch
Tại sao các sàn giao dịch cryptocurrency lại hay bị hack?
Do phần lớn các sàn crypto có quy trình bảo mật rất tệ
Phần lớn các sàn cryptocurrency chỉ mới được phát triển cách đây vài năm, và được phát triển bởi những con người… không phải chuyên gia bảo mật. Thường họ đến từ các tổ chức tài chính (có quy trình bảo mật cổ lỗ sĩ cách đây cả trăm năm) và không nhận ra dữ liệu dễ bị lộ tới mức nào.
Khi bạn nghe 1 sàn crypto nào đó bị hack, thì thường do chủ sàn làm mất hoặc lộ private key của nhà đầu tư. Họ giữ tất cả private key của bạn và những nhà đầu tư khác. Cái ví Bitcoin của bạn trên sàn chỉ là 1 ngăn kéo trong cái tủ chứa coin của sàn thôi. Sàn quản lý cái tủ đó, do đó một khi cái tủ bị hack thì tất cả các ngăn kéo cũng bị hack luôn. Binance bị hack thì vốn của tất cả nhà đầu tư trên Binance đều có nguy cơ mất y chang nhau.
Do quy trình quản lý API còn nhiều lỗ hổng
API là 1 loại mã do chính nhà đầu tư tạo ra và dùng nó để đăng nhập vào tài khoản ví của mình trên các nền tảng khác ngoài sàn giao dịch: ứng dụng quản lý danh mục, xem giá coin, vào lệnh trên điện thoại như TabTrader, Coinstats, hoặc chính app của sàn đó. Hacker có thể lợi dụng các app này để truy cập vào tài khoản trading của nhà đầu tư, đặt lệnh lung tung hay thậm chí có thể rút vốn.
Trên đây mình đã đưa ra một vài cách mà bọn hacker hay dùng để hack tài sản crypto của bạn, bất kể là ví cá nhân hay ví trading trên sàn. Anh em còn biết cách nào nữa thì comment bên dưới nhé, và để lại like nếu thấy bài hay. Cám ơn anh em.
Xem thêm:
>> Bảo mật khi tham gia thị trường cryptocurrency: Đừng mất tiền vì thiếu hiểu biết!
Nguồn: Hackernoon
Giới thiệu sách Trading hay
Mô Hình Biểu Đồ - Phương Pháp Hiệu Quả Để Tìm Kiếm Lợi Nhuận
Được xem là cẩm nang về mô hình biểu đồ của các nhà đầu tư, giao dich tài chính toàn cầu và là kiến thức bắt buộc phải nắm về Phân Tích Kỹ Thuật
Bài viết liên quan
