Một khóa bị xâm phạm có cảm giác như khoảnh khắc tồi tệ nhất trong việc tự lưu ký. Thực ra không phải vậy — nhưng đó là một tình huống khẩn cấp, và cách bạn phản ứng trong vài giờ tới quan trọng hơn cảm giác của bạn về nó. Bài viết này sẽ giải thích việc xâm phạm thực sự có nghĩa là gì trong một ví multisig 2-of-2, cách nhận biết nó, và cách bảo vệ lại tiền của bạn bằng việc xoay khóa.
Nếu bạn chưa đọc Khôi phục 101: bạn thực sự cần gì để phục hồi một ví, hãy bắt đầu từ đó. Bài đó giải thích sự khác biệt giữa khóa, cụm từ seed và siêu dữ liệu — vốn từ vựng mà phần còn lại của bài viết này coi như đã biết.
Một khóa bị xâm phạm không phải là tiền bị đánh cắp
Đây là điều giúp bạn yên tâm, nói thẳng ra: trong một multisig 2-of-2, một khóa bị xâm phạm không cho phép kẻ tấn công di chuyển tiền của bạn.
SSP dùng cấu hình 2-of-2 — hai khóa độc lập, trên hai thiết bị riêng biệt, và cả hai chữ ký đều cần thiết để cấp phép cho bất kỳ giao dịch nào. Một khóa nằm trong tiện ích mở rộng trình duyệt; khóa kia nằm trên điện thoại của bạn, trong SSP Key. Nếu bạn chưa rõ cách phân chia này hoạt động, Multisig 2-of-2 là gì trình bày chi tiết.
Hệ quả thực tế rất trực tiếp. Một kẻ tấn công đánh cắp, lừa đảo bằng phishing hoặc trích xuất một khóa duy nhất chỉ nắm đúng một nửa thứ chúng cần. Chúng không thể ký một giao dịch hợp lệ. Chúng không thể rút cạn ví của bạn. Chúng có một khóa mà tự nó không ký được gì.
Đây là toàn bộ ý nghĩa của multisig, và đó là lý do một khóa bị xâm phạm là một sự cố có thể vượt qua chứ không phải thảm họa. Với ví một khóa, một khóa bị đánh cắp đồng nghĩa với tiền bị đánh cắp — ngay lập tức, không thể đảo ngược. Với 2-of-2, bạn có được thứ mà người giữ một khóa không bao giờ có: thời gian để phản ứng.
Tại sao nó vẫn là tình huống khẩn cấp
Yên tâm không phải là chủ quan. Một khóa bị xâm phạm thực sự khẩn cấp vì một lý do: nó tước đi biên độ an toàn của bạn.
Một ví 2-of-2 có sẵn yếu tố thứ hai. Khoảnh khắc một khóa bị xâm phạm, lớp bảo vệ đó biến mất. Lúc này bạn đang, trên thực tế, dùng một ví một khóa — chỉ khác là kẻ tấn công có thể đã nắm khóa duy nhất đó. Nếu khóa thứ hai của bạn sau đó bị xâm phạm, bị mất hoặc bị phishing, kẻ tấn công có cả hai nửa và tiền của bạn biến mất.
Hãy hình dung đó là sự dự phòng đã tiêu hết. Multisig cho bạn hai ổ khóa. Một kẻ tấn công vừa cạy được một. Ví hôm nay vẫn an toàn, nhưng không còn biên độ. Nhiệm vụ bây giờ là khôi phục sự dự phòng trước khi bất cứ thứ gì chạm đến khóa thứ hai.
Còn có một rủi ro âm thầm hơn. Một kẻ tấn công nắm một khóa hợp lệ có thể không bỏ cuộc. Chúng có thể đổi hướng — phishing bạn để lấy chữ ký thứ hai, gửi cho bạn một yêu cầu giao dịch độc hại để bạn phê duyệt, hoặc dùng kỹ thuật xã hội nhắm vào các kênh hỗ trợ. Một vụ xâm phạm không phải là một sự kiện đơn lẻ; nó là khởi đầu của một chiến dịch. Hành động nhanh sẽ chấm dứt chiến dịch đó.
Cách nhận biết một khóa bị xâm phạm
Việc xâm phạm hiếm khi tự thông báo. Nó thường xuất hiện như một khuôn mẫu mà bạn có thể học cách nhận ra. Những khuôn mẫu phổ biến nhất:
- Phần mềm độc hại trên thiết bị. Máy tính hoặc điện thoại của bạn hoạt động kỳ lạ — cửa sổ bật lên bất ngờ, tiện ích mở rộng trình duyệt bạn không cài đặt, một giao diện ví đòi cụm từ seed của bạn dù trước nay chưa từng. Phần mềm độc hại xâm nhập được thiết bị chứa khóa nên được coi là một vụ xâm phạm khóa đó.
- Một giao dịch được phê duyệt do phishing. Bạn đã phê duyệt một giao dịch không phải thứ bạn nghĩ — một trang giả "xác minh ví của bạn", một kết nối dApp độc hại, một giao dịch có chi tiết không khớp với màn hình bạn mong đợi. Nếu bạn đã ký gì đó dưới tiền đề sai lệch, hãy giả định rằng khóa đã ký bị lộ.
- Một thiết bị bị mất nhưng chưa xóa. Bạn làm mất điện thoại hoặc máy tính xách tay và không thể xác nhận nó đã được khóa, mã hóa hay xóa từ xa. Một thiết bị chưa thu hồi mà chứa khóa là một khóa nằm trong tay người khác cho đến khi được chứng minh ngược lại.
- Một bản sao lưu bị rò rỉ. Một bức ảnh cụm từ seed của bạn được đồng bộ lên tài khoản đám mây, một tệp sao lưu trên ổ đĩa dùng chung, một cụm từ viết tay mà người khác có thể đã thấy. Bất cứ thứ gì làm lộ tài liệu mà từ đó khóa được dẫn xuất đều là một vụ xâm phạm khóa đó.
Phép thử trung thực rất đơn giản: nếu bạn không thể tự tin nói rằng một khóa vẫn chỉ thuộc về riêng bạn, hãy coi nó là đã bị xâm phạm. Tự lưu ký tưởng thưởng cho việc hành động dựa trên nghi ngờ, chứ không phải chờ bằng chứng. Để hiểu thêm về tư duy đằng sau điều này, xem Tại sao tự lưu ký quan trọng ngay bây giờ.
Hành động nhanh: giờ đầu tiên
Khi bạn nghi ngờ có sự xâm phạm, thứ tự ưu tiên là cố định.
- Cô lập thiết bị đáng ngờ. Ngắt nó khỏi internet. Đừng "thử" ví trên đó. Đừng đăng nhập để kiểm tra. Mỗi hành động trên một thiết bị bị xâm phạm có thể làm rò rỉ thêm.
- Xác nhận tiền của bạn bằng khóa sạch. Dùng thiết bị còn lại — thiết bị bạn tin tưởng — ��ể kiểm tra số dư. Trong một 2-of-2, bạn vẫn có thể xem ví của mình; bạn chỉ đơn giản chưa cấp phép gì cả.
- Đừng phê duyệt bất cứ thứ gì. Đây là giờ quyết định cho các đòn phishing tiếp nối. Hãy coi mọi yêu cầu giao dịch, tin nhắn hỗ trợ hoặc lời nhắc "xác minh khẩn cấp" là thù địch cho đến khi ví của bạn được bảo vệ lại.
- Lên kế hoạch xoay khóa. Xác định khóa nào bị xâm phạm và bạn sẽ thay thế nó như thế nào. Đừng ứng biến giữa chừng quy trình.
Tốc độ quan trọng vì kẻ tấn công đang chạy đua với bạn để giành khóa thứ hai. Bạn xoay khóa càng nhanh, cửa sổ của chúng càng hẹp. Hướng dẫn ứng phó sự cố tổng quát — ví dụ Hướng dẫn xử lý sự cố an ninh máy tính của NIST (SP 800-61) — nhấn mạnh cùng một điểm trong bối cảnh doanh nghiệp: ngăn chặn trước khi loại bỏ, và loại bỏ trước khi phục hồi. Thứ tự này không tùy tiện.
Cách xoay khóa bảo vệ lại ví
Xoay khóa chính là cách khắc phục. Nguyên tắc: một khóa bị xâm phạm bị thiêu hủy vĩnh viễn. Bạn không "làm sạch" nó hay tin tưởng nó trở lại. Bạn thay thế nó, và chuyển tiền của mình sang một ví mà kẻ tấn công chưa từng chạm tới.
Cụ thể, điều đó nghĩa là:
- Tạo một ví mới trên các thiết bị bạn tin tưởng — các thiết bị đã được kiểm tra phần mềm độc hại, hoặc lý tưởng nhất là một thiết bị hoàn toàn sạch. Việc này tạo ra hai khóa mới và một cặp 2-of-2 mới, không có quan hệ gì với cặp bị xâm phạm.
- Chuyển tiền của bạn từ ví cũ sang ví mới. Vì bạn vẫn kiểm soát cả hai khóa của 2-of-2 cũ, bạn vẫn có thể ký giao dịch chuyển này — kẻ tấn công, chỉ nắm một khóa, không thể ngăn nó hay vượt trước để chuyển vào địa chỉ của chúng.
- Cho ví cũ ngừng hoạt động hoàn toàn. Một khi tiền đã được chuyển, ví cũ — và khóa bị xâm phạm bên trong nó — đã chết. Nó không giữ gì và không ký gì đáng kể.
- Thiết lập lại các bản sao lưu của bạn. Ví mới của bạn có một cụm từ seed BIP39 mới. Hãy sao lưu nó với cùng kỷ luật bạn áp dụng cho một lần thiết lập mới, và đảm bảo bản sao lưu bị rò rỉ vốn khởi đầu sự cố này được tiêu hủy.
Lý do điều này hiệu quả cũng chính là lý do vụ xâm phạm có thể vượt qua: kẻ tấn công chưa bao giờ có cả hai khóa. Điều đó cho bạn một thế đa số chữ ký mà kẻ tấn công không thể sánh kịp — đủ thời gian để sơ tán đến nơi an toàn. Xoay khóa biến một lợi thế tạm thời thành một lợi thế vĩnh viễn.
Điều cần ghi nhớ
Một khóa bị xâm phạm là một tình huống khẩn cấp, không phải một thảm họa. Kiến trúc 2-of-2 mua cho bạn thời gian mà một ví một khóa không bao giờ trao — nhưng thời gian đó là một biên độ cần được dùng có chủ đích, không phải lý do để buông lỏng. Hãy nhận ra các khuôn mẫu xâm phạm sớm, cô lập nhanh, từ chối mọi lời nhắc phê duyệt, và xoay sang một ví sạch trước khi khóa thứ hai từng gặp rủi ro. Làm được vậy, một khóa bị đánh cắp sẽ vẫn đúng là thứ mà multisig biến nó thành: một nửa của một ổ khóa không mở được gì.
