Thị trường tiền điện tử đang tốt dần lên, mọi người sẽ hoạt động sôi nổi hơn thay vì “ngủ đông” như những tháng cuối năm 2022. Điều này tạo điều kiện cho kẻ xấu, chúng lợi dụng sự mất cảnh giác của người dùng để đánh cắp tài sản trong ví cá nhân.
Cho dù bạn là một chuyên gia bảo mật hàng đầu hay hoạt động lâu năm trong thị trường cũng dễ dàng trở thành con mồi, mới đây nhất là nhà sáng lập dự án NFT Moonbirds, Kevin Rose, mất hầu hết NFT trong một ví sau khi bị hack. Vậy đâu là các loại hình lừa đảo phổ biến và cách thức phòng ngừa, hãy tìm hiểu để bảo vệ NFT của mình!
Hình thức Freemint thu hút đông đảo người dùng, nhưng giá rẻ có giá trị không? Có, đảm bảo an toàn không? Chưa chắc. Vì vậy bạn cần cảnh giác các đường link và yêu cầu kết nối ví khi mint NFT.
- Quảng cáo sai sự thật
Trước Kevin Rose, một KOL về NFT là @NFT_God cũng bị tin tặc xâm nhập vào Twitter, Substack, Gmail, Discord và ví, cuỗm tài sản tiền điện tử và NFT, khi vô tình tải liên kết chứa mã độc.
Lý do bị hack là do Ledger được đặt làm ví nóng thay vì ví lạnh trên thiết bị mới, sau khi từ ghi nhớ được nhập và sử dụng trong ví trên máy tính nối mạng, sau đó tải xuống phần mềm phát video OBS để phát sóng trực tiếp trò chơi, NFT God đã nhấp vào Google để tải và kết quả thì ai cũng đã biết. Trên thực tế, quảng cáo của Google cho phép mọi người bỏ qua thứ hạng và lên vị trí đầu tiên trong kết quả tìm kiếm và xác suất người dùng nhấp vào các quảng cáo hiển thị hình ảnh này là rất cao, điều này cũng mở ra nhiều khả năng lừa đảo hơn.
- Lừa đảo airdrop giả
Mua NFT airdrop “giá cao” là một kiểu lừa đảo mới. Sau khi nhận được một số airdrop NFT không xác định, nạn nhân sẽ được những kẻ lừa đảo đưa ra mức giá cao để mua lại. Nếu nhà đầu tư chọn giao dịch NFT, một trang web lừa đảo để được ủy quyền và khi lỗi giao dịch xuất hiện, tài sản của nạn nhân sẽ bị đánh cắp.
- NFT giả
Vào tháng 3/2022, phòng trưng bày Whitestone ở Tokyo, Nhật Bản đã đưa ra thông báo gian lận liên quan đến NFT, nói rằng một người lạ mặt đã bán NFT của nghệ sĩ nổi tiếng Yayoi Kusama dưới vỏ bọc của Whitestone. Trên thực tế, rất nhiều kẻ lừa đảo đã ăn cắp ý tưởng tác phẩm của các nghệ sĩ và đưa các phiên bản giả lên thị trường NFT, khiến nhiều người mua phải NFT giả mà không có bất kỳ giá trị nào.
Không chỉ vậy, còn có những trò gian lận tải lên các bản NFT giả giống hệt các NFT đang treo bán trên nền tảng giao dịch, thậm chí tạo ra một số giao dịch đẩy giá để thu hút con mồi, nếu thành công kể xấu sẽ thu lợi nhuận rất lớn.
- Email giả mạo
Vào tháng 2/2022, OpenSea đã nâng cấp hợp đồng thông minh, người dùng cần chuyển danh sách NFT của họ trên mạng Ethereum sang hợp đồng thông minh mới. Hacker nhân cơ hội này gửi nhiều email giả mạo nhắc nhở người dùng, cũng như hỗ trợ thực hiện “miễn phí”, không ít người bị đánh cắp NFT trong đợt đó.
Do nhiều dự án NFT yêu cầu người dùng liên kết địa chỉ email của họ để lấy thông tin ngay lập tức nên nhiều kẻ tấn công giả làm trang web và gửi liên kết lừa đảo cho người dùng bằng cách sửa đổi địa chỉ hợp đồng và xác minh lại ví, vì vậy địa chỉ email cũng trở thành công cụ lừa đảo nhiều nhất.
- Giả dạng
Vào tháng 4/2022, tài khoản Instagram chính thức của Bored Ape Yacht Club (BAYC) đã bị tấn công. Tin tặc chia sẻ đường link mạo danh BAYC, yêu cầu người dùng kết nối ví Metamask để tham gia trò chơi, hơn 2,8 triệu USD NFT không cánh mà bay. Đến tháng 6/2022, Discord của Yuga Labs bị tấn công và hình thức lừa đảo tương tự như trên.
Tất nhiên, sau khi lấy được lòng tin của người dùng bằng cách giả mạo tài khoản chính thức của dự án NFT, một số kẻ lừa đảo sẽ gửi các trang web lừa đảo để yêu cầu họ ký, tức là tin tặc có thể chuyển NFT ra khỏi ví ngay lập tức. Ngoài ra, kẻ xấu mạo danh quản trị viên để gửi tin nhắn riêng tư cho cộng đồng trong Telegram và Discord, dụ dỗ người dùng gửi khóa ví cá nhân.
- Tạo địa chỉ có cùng số đuôi
Người dùng thường đánh giá địa chỉ hợp đồng bằng cách nhìn vài ký tự đầu và đuôi có đúng hay không, điều này cũng tạo cơ hội cho những kẻ tấn công. Chúng sẽ lợi dụng thói quen sao chép địa chỉ của người dùng trong hồ sơ giao dịch lịch sử, giả mạo hợp đồng có cùng ký tự trước và sau và liên tục airdrop một lượng nhỏ token và NFT.
Nếu người dùng không kiểm tra kỹ địa chỉ đầy đủ, dễ nãy sinh lòng tham và swap lượng token nhận được và chúng có thể lấy tài sản trong ví của bạn.
Một số cách bảo vệ tài sản
Tài sản khi đã bị đánh cắp thì để lấy lại là điều bất khả thi, do đó hãy “phòng bệnh hơn là chữa bệnh”. Một vài thủ thuật giúp bạn bảo mật tốn hơn như sau:
- Bảo vệ khóa cá nhân
Không giống như e-mail, nền tảng xã hội và các tài khoản Web2 khác có thể bị rò rỉ và thay đổi mật khẩu, khóa cá nhân và cụm từ bảo mật là chìa khóa của ví không thể sửa đổi và truy xuất. Bằng những hình thức kể trên như airdrop, freemint, trò chơi,… đánh vào cảm xúc FOMO để khiến người dùng gửi khóa riêng tư, thậm chí giả vờ là quản trị viên chính thức, xây dựng trang web tên miền giả và các phương pháp khác để giảm sự cảnh giác của người dùng.
- Đánh dấu các trang web thường được sử dụng và xác định các tài khoản xã hội chính thức
Mặc dù các trang web lừa đảo dễ xác định nhất, nhưng đó là một trong những lý do chính khiến tài sản NFT bị đánh cắp. Trên thực tế, cho dù loại trang web này đẹp mắt đến đâu (bạn có thể kiểm tra tên miền, chính tả URL…), thì mục đích cuối cùng vẫn là tương tác với ví.
Bạn nên thận trọng, đánh dấu các trang web chính thức được sử dụng thường xuyên và truy cập các tài khoản xã hội từ trang web, nhìn xem số lượng người theo dõi, tương tác bài viết, lịch sử hoạt động của tài khoản xã hội để nhận biết thật hay giả mạo.
- Lưu giữ tài sản cẩn thận và kiểm tra thường xuyên
Sử dụng nhiều ví để thực hiện các hoạt động trong thị trường đầy rẫy kẻ xấu, ví lưu trữ tài sản cần được bảo mật hoặc có thể ẩn ví và chỉ khôi phục khi cần thiết. Đặc biệt, không bỏ toàn bộ trứng vào một giỏ, đây là cách giảm thiểu thiệt hại trong trường hợp bị tấn công.
- Xác nhận chéo thông tin của nhiều bên
Không vội vã khi tham gia các sự kiện, chờ những người khác tham gia sớm để xem có trục trặc gì không, tham khảo có nên mint NFT đó không…
- Kiểm tra kỹ địa chỉ
Đối với bất kỳ giao dịch chuyển đi nào, người dùng cần kiểm tra địa chỉ hợp đồng đầy đủ hoặc sử dụng chức năng chuyển sổ địa chỉ của ví để chuyển bằng cách chọn trực tiếp địa chỉ. Đừng để nhanh một phút mà cong sức một năm đổ bể, cẩn trọng không hề thừa đâu.
Tổng kết
Tất nhiên, với sự tiến bộ không ngừng của công nghệ blockchain, các phương thức trộm cắp tài sản cũng tiến bộ theo thời gian nên ngay khi bị mất cắp tài sản, người dùng cần bảo vệ tài sản còn lại ngay lập tức và thay đổi thông tin mạng xã hội. Đối với các cuộc tấn công thông qua mã độc, hãy chạy phần mềm diệt virus và ngắt kết nối máy tính, các thiết bị khác ra khỏi mạng internet.
