Phishing là cách phổ biến nhất để người dùng tự quản lý tài sản mất tiền. Không phải do mã hóa bị phá vỡ, không phải do khóa riêng tư bị bẻ khóa — mà là một tin nhắn thuyết phục, một trang web trông giống hệt trang thật, hay một giao dịch có vẻ bình thường cho đến khi nó không còn vô hại nữa. Mật mã học bảo vệ ví của bạn là vững chắc, và kẻ tấn công biết điều đó, vì vậy chúng bỏ qua hoàn toàn và nhắm vào phần duy nhất của hệ thống có thể bị thuyết phục làm điều sai: bạn. Mỗi năm, hàng tỷ đô la bị mất do gian lận và kỹ thuật xã hội liên quan đến crypto, và phần lớn bắt đầu bằng một tin nhắn phishing thay vì khai thác kỹ thuật.
Bài viết này phân tích những gì mà phishing crypto thực sự nhắm đến, các mô hình cụ thể bạn có thể học để nhận biết ngay lập tức, và cách thiết kế của SSP hỗ trợ — đồng thời thành thật về những điểm nó không thể bảo vệ bạn.
Phishing thực sự nhắm vào điều gì
Phishing nhắm vào người dùng tự quản lý tài sản thường theo đuổi một trong ba thứ: seed phrase của bạn, quyền phê duyệt của bạn, hoặc chữ ký của bạn. Đánh cắp seed phrase và kẻ tấn công sở hữu mọi tài khoản được tạo ra từ đó, mãi mãi. Lừa bạn cấp quyền phê duyệt token và chúng có thể rút cạn các tài sản cụ thể vào thời điểm tùy ý. Khiến bạn ký một giao dịch độc hại duy nhất và tiền sẽ chuyển đi trong một block.
Điểm chung của cả ba là bạn phải hành động. Kẻ tấn công không thể tiếp cận ví của bạn và lấy bất cứ thứ gì; chúng cần bạn gõ, nhấp, phê duyệt hoặc ký. Sự phụ thuộc đó cũng là lợi thế của bạn — mọi cuộc tấn công đều có một khoảnh khắc bạn có thể dừng lại, nếu bạn biết khoảnh khắc đó trông như thế nào.
Các mô hình bạn có thể nhận biết
Phishing crypto tái sử dụng một bộ nhỏ các chiêu thức. Một khi bạn có thể gọi tên chúng, chúng sẽ khó lừa bạn hơn nhiều.
Trang web ví giả mạo và quảng cáo tìm kiếm typosquat
Chiêu thức lâu đời nhất là bản sao của một trang ví hoặc sàn giao dịch thực, được phục vụ từ một tên miền trông giống hệt và thường được đẩy lên đầu kết quả tìm kiếm dưới dạng quảng cáo trả phí. Trang trông hoàn hảo về từng điểm ảnh và tồn tại vì một lý do: thu thập seed phrase của bạn, hoặc lừa bạn kết nối và ký. Hãy coi thanh tìm kiếm là kẻ thù. Tìm trang thật một lần, xác minh nó, và đánh dấu trang — sau đó chỉ truy cập qua bookmark đó. SSP sẽ không bao giờ yêu cầu seed phrase của bạn trên một trang web, và extension thật được cài đặt từ cửa hàng trình duyệt chính thức, không phải từ quảng cáo tìm kiếm. Nếu bạn không chắc ví extension hợp lệ trông như thế nào, hãy đọc giải thích về ví extension trình duyệt.
Yêu cầu nhập seed phrase
Điều này xứng đáng có quy tắc riêng, vì nó là tuyệt đối: không có ví hợp lệ nào yêu cầu bạn nhập seed phrase vào một trang web, biểu mẫu, pop-up hay DM. Không phải để "xác thực" nó, không phải để "đồng bộ" nó, không phải để "nhận" bất cứ thứ gì. Seed của bạn chỉ được nhập ở đúng một nơi — bên trong phần mềm ví, trong quá trình thiết lập ban đầu hoặc khôi phục. SSP chỉ nhận seed của bạn bên trong extension hoặc ứng dụng di động cho mục đích đó, và không bao giờ trên một trang web. Nếu bất cứ thứ gì khác yêu cầu, đó là một nỗ lực đánh cắp, không có ngoại lệ. Để có kỷ luật bảo vệ rộng hơn, hãy xem các thực hành tốt nhất về seed phrase.
Approval phishing và wallet drainer
Mới hơn và tinh vi hơn: một dApp độc hại không yêu cầu seed của bạn chút nào. Nó yêu cầu bạn ký những gì trông giống một giao dịch bình thường — nhưng hành động thực chất là phê duyệt token hoặc setApprovalForAll cấp quyền cho hợp đồng của kẻ tấn công di chuyển token hoặc NFT của bạn. Bạn vẫn giữ quyền kiểm soát khóa; bạn chỉ vừa ký từ bỏ quyền với tài sản của mình, và wallet drainer sẽ quét sạch chúng sau đó, đôi khi nhiều tuần sau. Cách phòng thủ là hiểu phê duyệt là gì và giữ chúng ngắn hạn. Đọc phê duyệt token — những quyền bạn liên tục cấp, sau đó thu hồi những quyền bạn không còn sử dụng nữa.
Đầu độc địa chỉ
Đầu độc địa chỉ lợi dụng thói quen sao chép và dán. Kẻ tấn công gửi một giao dịch nhỏ hoặc có giá trị bằng không đến ví của bạn từ một địa chỉ được tạo để trông giống địa chỉ bạn đã sử dụng — cùng bốn ký tự đầu và bốn ký tự cuối. Sau đó nó nằm trong lịch sử của bạn, vì vậy lần sau khi bạn sao chép một địa chỉ "đã biết" từ các giao dịch trước, bạn lại lấy địa chỉ của chúng và gửi tiền thẳng đến kẻ tấn công. Cách khắc phục là cơ học: không bao giờ sao chép địa chỉ từ lịch sử giao dịch, và xác minh toàn bộ địa chỉ, từng ký tự một — không chỉ bốn ký tự đầu và cuối. Một địa chỉ giống hệt có thể khớp hoàn hảo ở cả hai đầu nhưng hoàn toàn khác nhau ở phần giữa.
Mạo danh trong DM
Nếu ai đó nhắn tin cho bạn trước trên Discord, Telegram hoặc X tự nhận là "hỗ trợ chính thức," đó mặc định là lừa đảo. Hỗ trợ thực sự không trượt vào DM của bạn, và không có quản trị viên, điều phối viên hoặc "bot xác thực" nào cần seed phrase, khóa riêng tư của bạn, hoặc yêu cầu bạn kết nối ví để "xác minh." Sự khẩn cấp là dấu hiệu — "tiền của bạn đang gặp nguy hiểm, hãy hành động ngay" tồn tại để ngăn bạn suy nghĩ. Đóng DM và chỉ liên hệ hỗ trợ qua một kênh bạn tự điều hướng đến.
Yêu cầu chữ ký độc hại / ký mù
Chiêu thức kỹ thuật nhất yêu cầu bạn ký một tin nhắn thay vì một giao dịch — một Permit, một payload eth_sign, hoặc một blob mờ đục bạn không thể đọc được. Chúng có thể ủy quyền chuyển token hoặc phê duyệt off-chain, đôi khi không tốn gas và không có cảnh báo rõ ràng. Quy tắc là: hiểu những gì bạn đang ký trước khi ký, và hết sức nghi ngờ bất kỳ yêu cầu nào bạn không thể giải mã. Khi bạn kết nối với dApp, hãy biết cách phiên và các yêu cầu ký của nó hoạt động — WalletConnect là gì và hoạt động như thế nào với SSP sẽ giải thích chi tiết về bề mặt đó.
Thiết kế của SSP hỗ trợ như thế nào — và những điểm nó không thể
SSP là ví multisig 2-trên-2: mỗi giao dịch phải được đồng ký trên thiết bị thứ hai, SSP Key, trước khi có thể phát đi. Điều đó mang lại cho bạn một màn hình thứ hai, trên phần cứng riêng biệt, hiển thị yêu cầu thêm một lần nữa trước khi nó được thực hiện — một bề mặt xem xét thứ hai thực sự mà ví đơn thiết bị không có. Extension cũng không bao giờ yêu cầu seed của bạn trên một trang web, điều này đóng lại tuyến thu thập phổ biến nhất theo thiết kế.
Đây là phần thành thật: multisig không phải là thuốc chữa phishing. Nếu một giao dịch độc hại đang ở trước mắt bạn và bạn phê duyệt nó trong extension và xác nhận trên SSP Key, ví sẽ làm chính xác những gì bạn ra lệnh. Thiết bị thứ hai bảo vệ bạn khỏi một thiết bị bị xâm phạm đơn lẻ ký một mình — nó không bảo vệ bạn khỏi việc phê duyệt một hành động xấu hai lần. Vì vậy hãy đọc cả hai màn hình: nếu đích đến, số tiền, hoặc hành động không khớp với những gì bạn dự định, hãy từ chối trên SSP Key. Phòng thủ phishing cuối cùng vẫn phụ thuộc vào bạn. Lý do tại sao trách nhiệm đó là xứng đáng chính là trọng tâm của tại sao tự quản lý tài sản quan trọng ngay bây giờ.
Kiểm tra phishing trong 60 giây
Trước khi ký bất cứ điều gì, hãy thực hiện điều này:
- Kiểm tra URL — bạn đến đây qua bookmark của chính mình, hay qua một liên kết hoặc quảng cáo ai đó gửi cho bạn? Nếu không phải bookmark của bạn, hãy dừng lại.
- Kiểm tra seed — có gì đó yêu cầu seed phrase của bạn không? Nếu có, đó là lừa đảo, mọi lúc, không có ngoại lệ.
- Đọc SSP Key — hành động và số tiền trên thiết bị thứ hai có khớp chính xác với những gì bạn muốn làm không?
- Kiểm tra điểm đến — xác minh toàn bộ địa chỉ người nhận, không chỉ bốn ký tự đầu và cuối.
- Kiểm tra DM — điều này có bắt đầu bằng một tin nhắn không mời hay một "hãy hành động ngay" khẩn cấp không? Hãy coi đó là nguy hiểm.
- Vệ sinh phê duyệt — thu hồi các phê duyệt token lỗi thời bạn không còn cần nữa, để một cái bị lãng quên không thể bị rút cạn sau này.
Nếu bất kỳ bước nào thất bại, hãy từ chối và rời đi. Một cơ hội bị bỏ lỡ không tốn gì; một drainer đã ký có thể tốn tất cả.
Tiếp tục học hỏi
Phishing là một lớp trong một thực hành bảo mật cá nhân rộng lớn hơn. Tăng cường phần còn lại với vệ sinh extension trình duyệt cho người dùng crypto, và đặt tất cả vào một lịch định kỳ với danh sách kiểm tra opsec crypto của bạn. Để biết cách hệ sinh thái rộng lớn hơn theo dõi các cuộc tấn công này, báo cáo xu hướng hoạt động phishing APWG và IC3 của FBI là các nguồn chính vững chắc.
