Trong Web3, nhiều vụ rút ví không bắt đầu bằng một cuộc tấn công. Chúng thường bắt đầu bằng một chữ ký hoặc phê duyệt. Mỗi lần bạn tương tác với một ứng dụng phi tập trung, ví của bạn có thể yêu cầu bạn ký các loại yêu cầu khác nhau, bao gồm tin nhắn, giao dịch và phê duyệt mã thông báo.
Mặc dù nhiều dự án là hợp pháp, nhưng kẻ tấn công thường xuyên khởi chạy các nền tảng giả mạo hoặc triển khai các hợp đồng thông minh độc hại để đánh cắp tiền của bạn. Tự nghiên cứu trước khi ký là một trong những thói quen bảo mật hiệu quả nhất mà bạn có thể phát triển. Đây là những gì bạn cần biết.
🔍 Hiểu Những Gì Bạn Đang Ký
Không phải tất cả các yêu cầu chữ ký đều mang lại rủi ro giống nhau. Đây là một số loại phổ biến mà bạn nên nhận ra:
Chữ ký tin nhắn (như `personal_sign`)
Thường được sử dụng để đăng nhập, xác minh danh tính hoặc chứng minh quyền sở hữu ví, nhưng có thể bị ngụy trang như các yêu cầu vô hại trong các nỗ lực lừa đảo.Phê duyệt mã thông báo (`approve`)
Cho phép hợp đồng thông minh chi tiêu mã thông báo của bạn, thường với các hạn mức không giới hạn vẫn hoạt động cho đến khi bị thu hồi.Chữ ký cho phép
Đây là các chữ ký ngoài chuỗi cho phép chi tiêu mã thông báo và có thể sau đó được gửi trên chuỗi, thường mà không cần người dùng gửi một giao dịch phê duyệt riêng biệt. Bởi vì chúng dễ dàng bị ngụy trang, chúng là mục tiêu phổ biến trong các trò lừa đảo.
💡 Quy tắc chính: Nếu bạn không hoàn toàn hiểu yêu cầu, tốt hơn là từ chối nó. Một số chữ ký có thể không giống như các giao dịch, nhưng chúng vẫn có thể được sử dụng để chuyển tiền hoặc cấp quyền.
🌐 Kiểm tra Kỹ Tên Miền Website
Các trang lừa đảo vẫn là một trong những vectơ tấn công hiệu quả nhất trong Web3. Kẻ tấn công sao chép các nền tảng hợp pháp với giao diện gần như giống hệt nhau và URL bị thay đổi một cách tinh vi. Một ký tự bị thay thế có thể là sự khác biệt duy nhất, khiến nó khó nhận ra ngay từ cái nhìn đầu tiên.
Đánh dấu các trang web dApp chính thức và quay lại với chúng thông qua những đánh dấu đó.
Đừng tin tưởng các liên kết từ những tin nhắn không mong muốn trên Telegram, Discord, hoặc mạng xã hội.
Hãy cẩn thận với quảng cáo trên công cụ tìm kiếm. Kẻ tấn công thường đặt giá thầu vào tên dự án để đặt các trang lừa đảo lên trên các kết quả hợp pháp.
📋 Nghiên cứu Dự án: DYOR Mỗi Lần
DYOR không chỉ là một khẩu hiệu — nó là hàng phòng thủ đầu tiên của bạn.
Kiểm tra tài liệu chính thức, báo cáo kiểm toán uy tín và thông tin dự án minh bạch khi có sẵn.
Tìm kiếm phản hồi của cộng đồng và cảnh báo bảo mật trước khi kết nối ví của bạn.
Hãy hoài nghi về những dự án gây áp lực cho bạn hành động ngay lập tức. Các cụm từ như "nhận ngay" hoặc "cung cấp hạn chế" là các chiến thuật kỹ thuật xã hội cổ điển.
Trước khi bạn ký bất cứ điều gì: dừng lại, đọc, xác minh và nghiên cứu. Vài giây thêm có thể ngăn chặn một sai lầm tốn kém.
\u003ct-68/\u003e \u003ct-70/\u003e \u003ct-72/\u003e