Bảo mật 101: Ví phần cứng và Revoke.cash

Tóm tắt: Tiền điện tử là về "Tự quản lý" (Self-Custody). Điều đó có nghĩa là bạn là ngân hàng. Nếu bạn bị hack, không có số dịch vụ khách hàng nào để gọi. Hướng dẫn này bao gồm mô hình bảo mật "Phô mai Thụy Sĩ": ví phần cứng để lưu trữ, ví nóng để giao dịch và Revoke.cash để vệ sinh.

1. Ví Nóng vs. Ví Lạnh

• Ví Nóng (Hot Wallet - MetaMask, Phantom): Kết nối với internet. Tốt cho giao dịch. Rủi ro: Nếu máy tính của bạn bị nhiễm virus, khóa của bạn có thể bị đánh cắp.
  • Quy tắc: Chỉ giữ những gì bạn sẵn sàng mất (tiền tiêu vặt).
• Ví Lạnh (Cold Wallet - Ledger, Trezor): Không kết nối với internet. Khóa riêng tư của bạn không bao giờ rời khỏi thiết bị USB. Bạn ký giao dịch bằng cách nhấn nút vật lý. An toàn: Ngay cả khi máy tính của bạn có virus, hacker không thể ký nếu không có thiết bị vật lý.
  • Quy tắc: Giữ tiền tiết kiệm của bạn ở đây (giống như két sắt gia đình).

2. Kẻ giết người thầm lặng: Phê duyệt Vô hạn

Lần đầu tiên bạn giao dịch trên Uniswap, nó hỏi: "Approve USDT?" (Phê duyệt USDT?) Hầu hết mọi người nhấp vào "Max" hoặc "Unlimited" (Vô hạn). Bạn vừa cho phép Uniswap tiêu tất cả USDT của bạn mãi mãi thông qua hợp đồng thông minh. Nếu Uniswap bị hack (khó xảy ra, nhưng có thể), hacker có thể rút sạch USDT của bạn ngay cả khi Ledger của bạn ở trong két sắt.

Giải pháp:

1. Chỉ phê duyệt những gì bạn cần: Nếu bạn đổi 100 đô la, hãy phê duyệt 100 đô la. Không bao giờ "Vô hạn".
2. Revoke.cash: Một công cụ để quét các phê duyệt cũ (được tích hợp vào TradingMaster). Bạn có phê duyệt dự án NFT đó vào năm 2022 không? Thu hồi nó (Revoke). Đóng cửa sau lại.

3. Phòng thủ "Phô mai Thụy Sĩ"

Không có lớp nào là hoàn hảo. Sử dụng nhiều lớp.

1. Phần cứng: Sử dụng Ledger/Trezor.
2. Tách biệt: Không giữ tiền tiết kiệm NFT và DeFi của bạn trong cùng một ví.
3. VPN: Không bao giờ giao dịch trên Wi-Fi Starbucks mà không có VPN.
4. 2FA: Bảo vệ email và tài khoản sàn giao dịch của bạn bằng YubiKey hoặc ứng dụng Authenticator. KHÔNG BAO GIỜ dùng SMS 2FA (SIM swap).

4. Lừa đảo (Phishing): Lỗi con người

99% các vụ "hack" thực chất là "phishing". Bạn nhận được một email: "TradingMaster Airdrop! Nhận ngay!" Bạn nhấp vào liên kết. Nó trông giống hệt trang web của chúng tôi. Bạn kết nối ví. Nó yêu cầu chữ ký. Bạn ký. Bùm. Ví trống rỗng. Chữ ký đó là một "Giấy phép" (Permit) cho phép họ lấy tiền của bạn.

Phòng thủ:

• Đánh dấu (Bookmark) các trang web. Không bao giờ nhấp vào Quảng cáo Google.
• Đọc những gì bạn đang ký. Nếu giao dịch nói "Set Approval for All", hãy từ chối nó.

Kết luận

Trong tiền điện tử, sự hoang tưởng là một đức tính tốt. Giả sử mọi thứ là lừa đảo cho đến khi được chứng minh là thật. Dành một giờ cuối tuần này để thiết lập Ledger của bạn và chạy quét Revoke.cash. Bạn trong tương lai sẽ cảm ơn bạn.