Ví lạnh thường được coi là một trong những cách an toàn nhất để lưu trữ tiền điện tử. Vì chúng không kết nối với internet, lý thuyết họ tránh được nguy cơ tấn công của hacker. Tuy nhiên, một báo cáo gần đây từ Coindesk đã tiết lộ một sự cố đáng sợ:Một chuyên gia kỳ cựu trong ngành công nghiệp tiền điện tử đã có $400,000 USD giá trị tài sản kỹ thuật số được lưu trữ trong một ví lạnh, nhưng chỉ để bị lừa đảo một cách dễ dàng.Điều đáng ngạc nhiên hơn nữa là điều này không phải là kết quả của hacker vượt qua bảo mật công nghệ cao; mà thực tế là một cuộc tấn công kỹ thuật xã hội được tổ chức cẩn thận.

Bạn có thể không quen với các cuộc tấn công kỹ thuật xã hội. Nói một cách đơn giản, đó là khi một nạn nhân, mà không có bất kỳ điểm yếu kỹ thuật nào trong hệ thống của họ, bị đánh lừa thông qua một chuỗi niềm tin và quyết định sai lạc, cuối cùng mất hết tiền tiết kiệm cả đời của họ.

Olivier Acuña, nạn nhân

Bài viết không đi vào chi tiết về vụ lừa đảo, dường như đang giấu đi một số khía cạnh quan trọng. Sau khi nghiên cứu kỹ lưỡng, tôi đã có thể khám phá ra toàn bộ câu chuyện, và tôi sẽ chia sẻchi tiếtsẽ gặp bạn sớm.

Bạn có thể nghĩ rằng, nếu ngay cả một nhà báo kỳ cựu cũng có thể bị lừa, thì người thông thường làm thế nào để bảo vệ bản thân? Điều này có thể khiến bạn cảm thấy rằng rủi ro trong không gian blockchain quá cao và bạn có thể quyết định tránh xa nó. Nhưng nếu đó là cách tiếp cận của bạn, bạn sẽ để sợ hãi ngăn bạn tham gia. Trên thực tế, tránh lừa đảo khá đơn giản. Đến cuối bài viết này, tôi sẽ chỉ cho bạn cách dễ nhất để giữ an toàn và làm cho những kẻ lừa đảo không thể đánh bại bạn.

Hãy bắt đầu bằng việc xem xem nhà báo kỳ cựu là ai và anh ấy đã bị lừa đảo như thế nào.

1. Nhà báo kỳ cựu bị lừa đảo

Nạn nhân Olivier Acuña là một nhà báo kỳ cựu, người trước đây đã điều tra các băng đảng ma túy và tham nhũng chính phủ tại Mexico. Sau nhiều thập kỷ hoạt động trong ngành báo chí, anh chuyển sang ngành công nghiệp tiền điện tử, trở thành một chuyên gia có kinh nghiệm. Anh đã làm việc làm giám đốc quan hệ công chúng tại công ty blockchain IoTeX, nơi anh quản lý các thông tin truyền thông bên ngoài của công ty và khuyến khích việc sử dụng công nghệ blockchain.

Mức lương và tiền thưởng của Acuña được thanh toán bằng token của IoTeX, IOTX, và được lưu trữ trong một ví cứng Ledger. Được biết đến với việc lưu trữ ngoại tuyến, ví lạnh này đã thêm một lớp bảo mật bổ sung. Acuña tin tưởng vào công nghệ blockchain, tin rằng tính phân quyền của nó có thể chống lại tham nhũng và kiểm duyệt. Tuy nhiên, sự tin tưởng của anh ta cuối cùng đã khiến anh ta giảm bớt cảnh giác trước một vụ lừa đảo.

1.1 Vấn đề

Vấn đề của Acuña bắt đầu từ việc rút tiền một cách đơn giản. Sau hai năm làm việc tại IoTeX, anh ấy lưu trữ các token IOTX của mình trong một ví lạnh Ledger, được coi là một phương pháp an toàn để lưu trữ tiền điện tử do tính chất ngoại tuyến của nó. Tuy nhiên, khi anh ấy cố gắng rút tiền — số tiền mà anh ấy dự định sử dụng cho việc nghỉ hưu — anh ấy gặp sự cố với ứng dụng ví tiền.

Mặc dù đã cố gắng nhiều lần, Acuña vẫn không thể hoàn tất giao dịch rút tiền. Các thông báo lỗi liên tục hiện ra. Là một người không chuyên về công nghệ, anh ta không hiểu nguyên nhân của vấn đề, dẫn đến sự căng thẳng và lo lắng ngày càng tăng. Anh cần gấp tiền, nhưng ví tiền dường như là một rào cản không thể xuyên thủng.

1.2 Tìm Kiếm Sự Giúp Đỡ

Mắc kẹt, Acuña đã quyết định tìm sự giúp đỡ bên ngoài. Anh ấy đăng một bình luận trên nền tảng truyền thông xã hội X (trước đây là Twitter), dưới một bài đăng về cập nhật ứng dụng Ledger, mô tả vấn đề và yêu cầu hỗ trợ chính thức.

Sau đó, một “vị cứu tinh” xuất hiện — một tài khoản đã được xác minh bằng tick màu xanh, tuyên bố là dịch vụ khách hàng chính thức của Ledger. Họ liên hệ với Acuña một cách riêng tư, nói chuyện bằng một cách chuyên nghiệp và nhiệt tình, nói rằng họ hiểu vấn đề của anh ấy và sẵn lòng giúp đỡ.

Họ nói với Acuña rằng vấn đề của anh ấy rất phổ biến và có thể được sửa bằng cách cập nhật ứng dụng Ví tiền. Họ gửi cho anh ấy một liên kết đến cái mà họ tuyên bố là “công cụ sửa chữa chính thức.” Trang web trông rất chuyên nghiệp, hoàn toàn sao chép trang web chính thức của Ledger, từ bố cục đến các biểu tượng. Acuña không nghi ngờ điều gì và nhấp vào liên kết, tải xuống công cụ sửa chữa được gọi là theo hướng dẫn.

Sau khi cài đặt, họ hướng dẫn anh ta thêm, nói với anh ta rằng để xác minh tài khoản của mình, anh ta sẽ cần nhập cụm từ ghi nhớ của mình. Cụm từ ghi nhớ là một chìa khóa quan trọng đối với ví tiền điện tử, bao gồm 12 đến 24 từ được sử dụng để khôi phục hoặc truy cập tài sản trong ví. Họ nhẹ nhàng và chắc chắn đảm bảo với ông rằng đây là bước cuối cùng để giải quyết vấn đề. Tuy nhiên, thông báo “vấn đề đã được giải quyết” dự kiến không bao giờ xuất hiện.

1.3 Bị Lừa Đảo

Vài phút sau, khi Acuña cố gắng truy cập vào ví tiền của mình một lần nữa, anh ta phát hiện rằng số dư đã trống. 400,000 đô la của anh ta trong IOTX tokens đã được chuyển gần như ngay lập tức đến một địa chỉ không xác định. Anh ta cố gắng theo dõi các khoản tiền thông qua một trình duyệt blockchain nhưng thấy rằng chúng đã nhanh chóng lan rộng qua nhiều địa chỉ ví và cuối cùng được chuyển đến Binance, sàn giao dịch tiền điện tử lớn nhất thế giới.

Acuña ngay lập tức liên hệ với Binance, hy vọng có thể đóng băng số tiền, nhưng sàn giao dịch cho biết chỉ có sự can thiệp của cảnh sát mới có thể kích hoạt hành động. Sau đó, anh ta báo cáo sự cố cho cảnh sát Tây Ban Nha, nhưng thời gian phản hồi của họ chậm hơn đáng kể so với khả năng chuyển khoản của những kẻ lừa đảo. Đến khi cuộc điều tra bắt đầu, các token đã biến mất từ lâu.

Trong thảm kịch này, Acuña chỉ thành công khôi phục được một phần nhỏ — khoảng $20,000 đáng giá stablecoins — trong khi số tiền còn lại $400,000 đáng giá IOTX tokens đã bị xóa sổ hoàn toàn. Số tiền này, ban đầu dành cho việc nghỉ hưu của anh ấy, giờ đây đã bị mất vào tay lừa đảo, một mất mát không bao giờ có thể khôi phục được.

2. Điều gì đã sai?

Kinh nghiệm của Acuña làm nổi bật cơ chế cốt lõi của các cuộc tấn công kỹ thuật xã hội: khai thác các điểm yếu của con người thông qua thao tác tâm lý. Cụ thể, sự thành công của vụ lừa đảo này không hoàn toàn phụ thuộc vào các phương tiện kỹ thuật mà còn vào một số sai lầm quan trọng mà Acuña đã mắc phải trong sự cố:

2.1 Tiết lộ Thông Tin Cá Nhân Qua Bình Luận Trên Mạng Xã Hội

Acuña đã công khai bình luận trên nền tảng truyền thông xã hội X (trước đây là Twitter), mô tả vấn đề mà anh gặp phải khi cố gắng rút tiền của mình. Mặc dù ý định của anh là tìm kiếm sự trợ giúp, hành động này thực sự đã mở cánh cửa cho những kẻ lừa đảo. Bằng cách đề cập đến các từ khóa như “ví phần cứng,” “thất bại trong việc rút tiền,” và “lưu trữ token,” anh không biết đã thu hút sự chú ý của những kẻ lừa đảo, đặc biệt là trong không gian tiền điện tử, nơi mà các vụ lừa đảo rất phổ biến.

Kẻ lừa đảo đã sử dụng thông tin này để xác định tình thế của Acuña và giả mạo họ là nhân viên chăm sóc khách hàng chính thức. Nếu Acuña đã chọn tìm sự giúp đỡ thông qua các kênh chính thức hoặc hạn chế việc giao tiếp của mình trong cộng đồng riêng tư, có lẽ anh ta đã không bị kẻ lừa đảo nhắm đến.

2.2 Tin tưởng vào Xác minh Blue-Check và Đánh giá sai tình hình

Tài khoản của kẻ lừa đảo đã được xác minh bằng dấu tick màu xanh, đó là một trong những lý do chính khiến Acuña giảm bớt sự cảnh giác của mình.

Việc xác minh tích xanh ban đầu được sử dụng bởi X (trước đây là Twitter) để đánh dấu các tài khoản đáng tin cậy, như tài khoản của người nổi tiếng hoặc tổ chức, giúp người dùng phân biệt tài khoản thật từ tài khoản giả mạo. Tuy nhiên, kể từ khi nền tảng giới thiệu dịch vụ đăng ký, bất kỳ ai trả phí hàng tháng đều có thể nhận được tích xanh, điều này làm cho việc xác minh ít đáng tin cậy hơn.

Kẻ lừa đảo đã tận dụng sự thay đổi trong hệ thống xác minh của nền tảng này, thành công trong việc giả mạo thành một tài khoản chính thức. Acuña rõ ràng không nhận ra sự thay đổi này và không thể xác minh tài khoản thêm. Nếu anh ấy kiểm tra lịch sử tweet của tài khoản hoặc xác minh danh tính dịch vụ khách hàng qua các kênh chính thức, anh ấy có thể đã phát hiện ra vụ lừa đảo.

2.3 Nhấp vào một Liên kết Cung cấp bởi Người Lạ

Liên kết được gửi bởi kẻ lừa đảo là một trang web lừa đảo được chế tác một cách tỉ mỉ, hoàn toàn sao chép trang web chính thức của Ledger, từ bố cục đến biểu tượng, khiến nó gần như không thể phân biệt được với thứ thật sự. Các trang web lừa đảo là công cụ phổ biến trong các cuộc tấn công kỹ thuật xã hội, được thiết kế để đánh lừa nạn nhân và khiến họ nghĩ rằng họ đang tương tác với một dịch vụ chính thức.

Mà không cần xác minh thêm, Acuña đã nhấp vào liên kết và tải về cái gọi là “công cụ sửa chữa.” Sau đó, anh ta nhập cụm từ ghi nhớ của mình, chính là chìa khóa quan trọng của ví lạnh của mình. Khi một cụm từ ghi nhớ bị tiết lộ, nó cho phép những kẻ lừa đảo hoàn toàn kiểm soát ví, một sự thiếu sót bảo mật đáng kể trong thế giới tiền điện tử.

Nếu Acuña đã nhận ra rằng dịch vụ khách hàng chính thức sẽ không bao giờ gửi liên kết qua tin nhắn trực tiếp trên mạng xã hội, cũng như không yêu cầu các cụm từ ghi nhớ, thì thảm kịch này có thể đã được tránh được.

2.4 Tóm tắt

Lưu ý rằng toàn bộ quy trình lừa đảo đã được sắp xếp cẩn thận, trong đó mỗi bước đều đóng vai trò quan trọng. Chúng ta không thể trách Acuña vì đã nhập cẩn thận cụm từ ghi nhớ của mình, vì nó đã được lưu trên thiết bị cục bộ của anh ấy. Chúng ta cũng không thể trách anh ấy vì tìm kiếm sự trợ giúp trên mạng xã hội, vì bất kỳ người bình thường nào cũng sẽ làm điều đó. Chúng ta chắc chắn không thể trách anh ấy vì tin tưởng vào việc xác minh theo dõi màu xanh, vì đối với hầu hết người dùng, đó vẫn là dấu hiệu của sự tin tưởng, và sự thay đổi này không được rộng rãi biết đến.

Vậy, liệu chúng ta có thể làm gì để ngăn chặn những vụ lừa đảo như vậy không?
Có. Không chỉ có một cách, mà nó cũng khá đơn giản.

3. Cách tránh bị lừa đảo?

Tóm lại: Không bao giờ, dưới bất kỳ hoàn cảnh nào, chia sẻ cụm từ nemô-níc của bạn (hoặc khóa riêng tư) với bất kỳ ai—điều này bao gồm tất cả các loại phần mềm và trang web.

Tại sao?

Vì cụm từ ghi nhớ (hoặc khóa riêng tư) là “máu chảy” của tài sản kỹ thuật số của bạn. Một khi bị rò rỉ, đó như việc đưa tất cả các chìa khóa, mật khẩu, và thậm chí giấy tờ tài sản của căn nhà của bạn cho một người lạ. Họ chỉ cần vài phút để làm trống “tài khoản ngân hàng kỹ thuật số” của bạn. Và quá trình này không yêu cầu chữ ký của bạn, bạn không cần phải nhấn vào bất kỳ nút xác nhận nào, và không có cơ hội cho bạn “rút lại”—khi một giao dịch xảy ra trên blockchain, nó là không thể đảo ngược được.

Hãy tưởng tượng bạn có một chiếc tủ an toàn với toàn bộ tiết kiệm cuộc đời bên trong. Chiếc tủ chỉ có một chiếc chìa khóa, và cụm từ ghi nhớ là chiếc chìa khóa đó. Ai đó nói với bạn, “Ừ, để tôi sửa chiếc tủ an toàn của bạn, đừng lo, chỉ cần đưa tôi chiếc chìa khóa và tôi sẽ lo việc đó!” Bạn sẽ làm gì? Bạn có sẵn lòng đưa chiếc chìa khóa không? Trong đời thực, bạn có thể sẽ không, bởi đó là một rủi ro rõ ràng. Nhưng trong thế giới kỹ thuật số, “chiếc chìa khóa” này được ẩn dưới dạng một tập hợp các từ dường như vô hại (cụm từ ghi nhớ), và nhiều người để lơi cảnh giác do đó.

Bây giờ, bạn nên hiểu rõ hậu quả nghiêm trọng nếu cụm từ ghi nhớ (khóa riêng tư) của bạn bị rò rỉ. Đó là sự kiện kiểm soát tuyệt đối của tài sản số của bạn. Một khi bạn mất nó, bạn mất tất cả mọi thứ.

Để đảm bảo rằng bạn không bao giờ tiết lộ cụm từ mnemonics của mình, dưới đây là 4 điều bạn cần phải làm:

1. Nhớ: Nguồn thông tin chính thức sẽ không bao giờ yêu cầu câu ghi nhớ của bạn. Bất kỳ ai tự xưng là dịch vụ khách hàng chính thức hoặc hỗ trợ kỹ thuật, dù họ nghe có vẻ ‘chuyên nghiệp’ hay ‘cấp bách’ đến đâu, đều là lừa đảo 100% nếu họ yêu cầu câu ghi nhớ của bạn. Hãy nhớ, dịch vụ khách hàng thực sự không bao giờ cần câu ghi nhớ của bạn để giải quyết bất kỳ vấn đề nào.
2. Hãy cẩn thận với các liên kết và tránh các trang web lừa đảo. Không bao giờ nhấp vào các liên kết được gửi bởi người khác, và nhất định không bao giờ nhập cụm từ mnemonics của bạn trên các trang web không quen thuộc. Nếu bạn nhất định phải nhập cụm từ mnemonics của mình, hãy chắc chắn rằng nó nằm trong ứng dụng chính thức của ví tiền cứng của bạn và rằng nó đang ở chế độ ngoại tuyến.
3. Lưu trữ tài sản một cách riêng biệt để tránh điểm thất bại duy nhất. Đừng lưu trữ tất cả tài sản của bạn trong cùng một ví tiền, đặc biệt là một dựa hoàn toàn vào một cụm từ ghi nhớ duy nhất. Việc lưu trữ đa tầng có thể giảm thiểu hiệu quả nguy cơ mất mát.
4. Luôn lưu trữ cụm từ ghi nhớ của bạn ngoại tuyến. Bạn có thể viết nó trên giấy hoặc khắc nó trên một tấm kim loại, nhưng không bao giờ lưu trữ nó trên các thiết bị điện tử. Hacker có thể truy cập thông tin từ xa trên các thiết bị điện tử, nhưng một tờ giấy hoặc tấm kim loại là điều họ không thể chạm vào. Nếu tài sản của bạn là Bitcoin, đây là hướng dẫn miễn phí về việc tạo ví lạnh mà không cần kiến thức kỹ thuật.

Kết luận, chỉ cần nhớ điều này bằng một câu: Cụm từ ghi nhớ của bạn là “máu vàng” của tài sản kỹ thuật số của bạn—không bao giờ, bao giờ cũng không được để cho ai.

Kết luận

Thế giới blockchain giống như một vùng đất hoang dã không được kiểm soát, tràn ngập cơ hội nhưng cũng ẩn chứa những bẫy tinh vi. Câu chuyện của Olivier Acuña dạy chúng ta rằng, dù công nghệ có tiến bộ đến đâu, bản chất con người vẫn là điểm yếu lớn nhất. Tuy nhiên, bi kịch có thể biến thành bài học, và bài học đó có thể dẫn chúng ta đến một tương lai khôn ngoan hơn.

Trong vùng biên giới kỹ thuật số phi tập trung này, mỗi người đều là người bảo vệ tài sản của chính mình và là đường phòng thủ đầu tiên chống lại các rủi ro. Chúng ta không thể tin tưởng vào người khác, nhưng chúng ta có thể tin tưởng vào các quy tắc và lẽ thường. Điều quan trọng nhất là: không bao giờ chia sẻ cụm từ mật của bạn.

Những kẻ lừa đảo đang phát triển, và chúng ta cũng phải phát triển theo. Chỉ bằng cách nâng cao nhận thức về bảo mật của mình, chúng ta mới có thể tự tin điều hướng trong hoang dã số hóa này. Giá trị của Blockchain vượt xa khỏi việc kiếm tiền — Đó là về một cuộc cách mạng về sự tin tưởng và tự do. Bảo vệ tài sản của bạn không chỉ là một kỹ năng cơ bản để tham gia vào cuộc cách mạng này, mà còn là điểm khởi đầu cho một tương lai tươi sáng.

Nhớ rằng: Ví lạnh của bạn có thể là “lạnh,” nhưng ý thức bảo mật của bạn luôn nên là “nóng.”

Tuyên bố từ chối trách nhiệm:

1. Bài viết này đã được đăng lại từ [ Gương], với bản quyền thuộc về tác giả ban đầu [Daii]. Nếu bạn có bất kỳ vấn đề nào liên quan đến việc đăng lại, vui lòng liên hệ vớiGate Họcđội ngũ, và họ sẽ xử lý vấn đề theo các quy trình thích hợp.
2. Tuyên bố từ chối trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ đại diện cho quan điểm cá nhân của tác giả và không hề đề cập đến bất kỳ lời khuyên đầu tư nào.
3. Các phiên bản ngôn ngữ khác của bài viết này đã được dịch bởi nhóm Gate Learn. Bài viết không được sao chép, chia sẻ hoặc đạo văn trừ khi có nêu rõ khác.