Ví dạng tiện ích mở rộng trình duyệt rất tiện lợi: nó nằm cách bạn một cú nhấp chuột, ký giao dịch ngay tại chỗ, và kết nối tới các dapp thông qua một provider được tiêm vào hoặc WalletConnect. Sự tiện lợi đó có cái giá của nó. Một tiện ích mở rộng là đoạn mã chạy bên trong trình duyệt của bạn với quyền xem và thay đổi các trang bạn truy cập — và kẻ tấn công biết điều đó. Nếu bạn tự lưu ký, trình duyệt là một phần trong mô hình mối đe dọa của bạn, và vệ sinh tiện ích mở rộng là một trong những thói quen rẻ nhất, có đòn bẩy cao nhất mà bạn có thể xây dựng.
Hướng dẫn này nói về lý do tại sao các tiện ích mở rộng lại là mục tiêu hấp dẫn đến vậy, một số ít quy tắc giúp thu hẹp bề mặt tấn công của bạn, LavaMoat làm gì và tại sao tiện ích mở rộng của SSP được xây dựng bằng nó, và cách multisig 2 trên 2 của SSP chặn ngay cả một tiện ích mở rộng đã bị xâm phạm hoàn toàn. Mới làm quen với loại này? Hãy bắt đầu với Giải thích về ví tiện ích mở rộng trình duyệt, rồi quay lại đây.
Tại sao tiện ích mở rộng trình duyệt là mục tiêu béo bở
Các tiện ích mở rộng chạy với quyền hạn rộng. Một tiện ích ví điển hình có thể đọc và sửa đổi nội dung của các trang bạn tải, theo dõi những gì bạn gõ, và truy cập vào bộ nhớ tạm (clipboard). Những khả năng đó chính xác là thứ một ví cần để tiêm một provider và hiển thị lời nhắc ký — và cũng chính xác là thứ kẻ tấn công muốn.
Hãy xem xét những gì một tiện ích mở rộng độc hại hoặc đã bị xâm phạm có thể làm mà không cần chạm vào seed phrase của bạn:
- Tráo địa chỉ đã sao chép. Bạn sao chép một địa chỉ nhận; tiện ích mở rộng ghi đè bộ nhớ tạm để địa chỉ bạn dán thuộc về kẻ tấn công. Mô hình chiếm quyền bộ nhớ tạm này cũ kỹ, đáng tin cậy, và vô hình.
- Tiêm script vào một dapp. Nó có thể thay đổi trang bạn nhìn thấy, đổi số tiền hoặc đích đến của một giao dịch trong khi vẫn hiển thị những giá trị bạn mong đợi.
- Đọc những gì có trên màn hình của bạn. Số dư, địa chỉ, và bất cứ thứ gì khác trên trang đều có thể đọc được. Kết hợp với một trang lừa đảo, thông tin đó khiến mồi nhử thuyết phục hơn nhiều — xem Tấn công lừa đảo nhắm vào người dùng crypto.
Bài toán kinh tế thật tàn nhẫn: một tiện ích mở rộng phổ biến có thể tiếp cận hàng triệu người dùng cùng lúc, nên việc xâm phạm một nhà phát hành duy nhất xứng đáng với nỗ lực khổng lồ. Phiên bản nguy hiểm nhất không phải là một bản giả mà bạn cài nhầm — mà là một tiện ích mở rộng hợp pháp bạn đã tin tưởng nhưng trở nên thù địch sau một bản cập nhật.
Các quy tắc vệ sinh
Bạn không thể làm cho một trình duyệt an toàn tuyệt đối, nhưng bạn có thể khiến nó trở thành một mục tiêu kém hấp dẫn. Nguyên tắc là đặc quyền tối thiểu: ít tiện ích mở rộng hơn, quyền hạn hẹp hơn, và một sự phân tách rạch ròi giữa trình duyệt crypto của bạn và mọi thứ khác.
Giảm thiểu những gì bạn cài đặt
Mỗi tiện ích mở rộng là một bề mặt tấn công và một phụ thuộc chuỗi cung ứng mà bạn không tự viết. Hãy cài ít nhất có thể mà bạn vẫn dùng được, ưu tiên các dự án nổi tiếng có bề dày thành tích, và gỡ bỏ bất cứ thứ gì bạn đã ngừng dùng. Một ví cộng với một cầu nối ví cứng là đủ; một tá tiện ích bổ sung năng suất dùng chung trình duyệt với tiền của bạn thì không.
Dùng một hồ sơ trình duyệt riêng
Hãy tạo một hồ sơ trình duyệt riêng — hoặc một trình duyệt riêng — chỉ dùng cho crypto, với chỉ tiện ích ví của bạn được cài đặt. Công cụ tìm mã giảm giá, công cụ chụp màn hình, và thanh bên "AI" ngẫu nhiên hãy để trong hồ sơ thường ngày của bạn, nơi chúng không thể đọc trang trong khi bạn ký một giao dịch. Riêng thay đổi này đã loại bỏ phần lớn rủi ro hằng ngày với gần như không tốn công sức.
Xem xét quyền hạn và các bản cập nhật
Khi bạn cài đặt hoặc cập nhật một tiện ích mở rộng, hãy đọc lời nhắc về quyền hạn thay vì bấm cho qua. "Đọc và thay đổi tất cả dữ liệu của bạn trên mọi trang web" là bình thường đối với một ví và đáng báo động đối với một máy tính bỏ túi. Tự động cập nhật là một rủi ro chuỗi cung ứng thực sự: bản build bạn đã kiểm duyệt vào thứ Hai không phải là bản build được phát hành vào thứ Năm, và một người bảo trì hoặc một phụ thuộc bị xâm phạm có thể đẩy mã độc thẳng vào trình duyệt của bạn. Bạn không thể tự tay xem xét mọi bản cập nhật, vì vậy hãy ưu tiên những tiện ích mở rộng có mô hình bảo mật giả định rằng chính các phụ thuộc của chúng có thể bị hỏng — đó chính xác là điều LavaMoat cung cấp. Để hiểu mô hình rộng hơn, hãy đọc Tấn công chuỗi cung ứng và các bản build tất định.
Phát hiện tiện ích ví giả mạo
Các cửa hàng đầy rẫy bản nhái: đúng tên, logo sao chép, đánh giá bịa đặt, và một nhà phát hành bạn chưa từng nghe đến. Công việc duy nhất của một tiện ích ví giả mạo là chiếm lấy seed phrase của bạn hoặc tráo một giao dịch. Trước khi cài đặt, hãy xác minh nhà phát hành khớp với trang web chính thức của dự án, kiểm tra số lượt cài đặt và lịch sử, và theo liên kết tải xuống từ chính dự án thay vì từ kết quả tìm kiếm của cửa hàng. Chính sách chương trình Chrome Web Store cấm việc mạo danh, nhưng việc thực thi luôn chậm hơn việc đăng tải — hãy xem cửa hàng là điểm khởi đầu, không phải một sự bảo đảm. Và đừng bao giờ gõ cụm từ khôi phục của bạn vào một cửa sổ bật lên của tiện ích mở rộng.
LavaMoat làm gì (và tại sao SSP dùng nó)
Các ứng dụng web hiện đại được lắp ráp từ hàng trăm gói của bên thứ ba, bất kỳ gói nào trong số đó cũng có thể bị xâm phạm. LavaMoat là một bộ công cụ mã nguồn mở giúp gia cố JavaScript chống lại chính điều đó: nó cô lập (sandbox) từng phụ thuộc của bên thứ ba trong môi trường hạn chế riêng và thực thi một chính sách rõ ràng về những gì mỗi gói được phép truy cập. Một gói bị đầu độc duy nhất không còn có thể vươn khắp ứng dụng để đọc khóa của bạn, can thiệp vào một giao dịch, hoặc rút trộm dữ liệu — nó bị giới hạn trong bề mặt hẹp mà chính sách của nó cho phép.
Điều này quan trọng vì các cuộc tấn công chuỗi cung ứng nhắm vào phụ thuộc, chứ không phải dự án nổi tiếng. Tiện ích mở rộng trình duyệt của SSP được xây dựng bằng LavaMoat, nên ngay cả khi một phụ thuộc gián tiếp bị xâm phạm ở thượng nguồn, bán kính ảnh hưởng vẫn được kiểm soát thay vì trao chìa khóa ví cho kẻ tấn công. Đó là phòng thủ theo chiều sâu áp dụng cho rủi ro duy nhất mà bạn không thể tự mình kiểm tra: đoạn mã do người khác viết. Để hiểu lý do loại tấn công này xứng đáng có cẩm nang riêng, OWASP liệt kê các rủi ro chuỗi cung ứng và tiêm mã trong hướng dẫn của mình tại owasp.org.
Nơi 2 trên 2 của SSP chặn một tiện ích mở rộng xấu
Đây là điểm trung thực và cốt lõi. Giả sử trường hợp tệ nhất vẫn xảy ra và tiện ích mở rộng trình duyệt của bạn bị xâm phạm hoàn toàn. Nó vẫn chỉ có thể làm được một nửa công việc.
SSP là một multisig 2 trên 2. Mỗi giao dịch cần hai chữ ký độc lập — một từ tiện ích mở rộng trình duyệt và một từ SSP Key trên điện thoại của bạn, một thiết bị riêng biệt với màn hình riêng. Một tiện ích mở rộng bị xâm phạm có thể tạo ra một giao dịch độc hại, nhưng nó không thể tạo ra chữ ký thứ hai. Khi yêu cầu đến điện thoại của bạn, bạn nhìn thấy đích đến và số tiền thật trên một bề mặt mà tiện ích mở rộng không kiểm soát, và bạn từ chối nó. Kẻ tấn công còn lại một chữ ký trên một giao dịch sẽ không bao giờ được phát đi.
Đó là một rào chắn thực sự, có tính cấu trúc, không phải một câu khẩu hiệu tiếp thị — và đó chính là lý do hai bề mặt phê duyệt độc lập tốt hơn một. Nó cũng không phải là giấy phép để chạy một trình duyệt bẩn. Khóa thứ hai bảo vệ khoảnh khắc ký; nó không ngăn được một vụ tráo bộ nhớ tạm mà bạn tự tay xác nhận, và nó không xóa bỏ những thói quen xấu ở nơi khác. Hãy xem nó là tuyến phòng thủ cuối cùng của bạn, chứ không phải tuyến duy nhất. Để thấy ngay cả multisig cũng có giới hạn, hãy đọc Các chế độ thất bại của multisig và cách SSP giảm thiểu chúng và Điều gì xảy ra nếu một trong các khóa của bạn bị xâm phạm.
Kiểm tra nhanh các tiện ích mở rộng
Hãy thực hiện việc này trong năm phút hôm nay, rồi mỗi quý một lần:
- Mở trang tiện ích mở rộng của trình duyệt và liệt kê mọi thứ đã cài đặt.
- Gỡ bỏ mọi tiện ích mở rộng bạn chưa dùng trong tháng vừa qua.
- Với mỗi tiện ích còn lại, xác nhận nhà phát hành khớp với trang web chính thức của dự án.
- Kiểm tra quyền hạn mà mỗi tiện ích nắm giữ, và gỡ cài đặt bất cứ thứ gì có đặc quyền quá mức so với chức năng của nó.
- Chuyển ví của bạn vào một hồ sơ riêng, chỉ dành cho crypto nếu nó chưa ở đó.
- Xác nhận tiện ích ví của bạn đến từ nguồn chính thức và, nếu có, được gia cố bằng LavaMoat.
Tiếp tục nào
Vệ sinh trình duyệt chỉ là một lớp. Hãy kết hợp nó với nhận thức về lừa đảo, lưu trữ seed phrase hợp lý, và hiểu rõ cách các khóa của ví bạn được phân tách. Thói quen tốt cộng với kiến trúc 2 trên 2 của SSP nghĩa là một tiện ích mở rộng xấu đơn lẻ chỉ là một sự bất tiện, chứ không phải một thảm họa — nhưng những thói quen đó vẫn phải là của chính bạn.
