Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
Hot
Mua và bán tiền điện tử qua Apple Pay, thẻ, Google Pay, chuyển khoản ngân hàng, v.v.
P2P
0 Fees
Mua và bán tiền điện tử với đa dạng tùy chọn
Thẻ Gate
Thẻ thanh toán tiền điện tử, cho phép giao dịch toàn cầu liền mạch.
Vay tiền pháp định
Tăng tài sản của bạn bằng cách đầu tư tiền pháp định
Thị trường
Giao dịch
Cơ bản
Nâng cao
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
TradFi
Vàng
Giao dịch tài sản truyền thống toàn cầu bằng USDT ở một nơi
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
tag
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Cộng đồng
Trung tâm
Chia sẻ bài đăng của bạn và cập nhật thông tin về tiền điện tử và hơn thế nữa
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
Thêm
Khuyến mãi
Khác
TradFi
giveaways
Trung tâm phần thưởng

Phantom Chat đang bị điều tra sau khi mất mát do tấn công poisoning qua địa chỉ $264K

CryptoBreaking

Một vụ lừa đảo qua mạng liên quan đến tính năng chat tích hợp trong ví đã làm gia tăng sự chú ý về an toàn UX trong crypto sau khi một nhà đầu tư mất khoảng 264.000 đô la trong Wrapped Bitcoin (CRYPTO: WBTC). Nhà điều tra blockchain ZachXBT đã theo dõi một giao dịch chuyển 3,5 WBTC từ địa chỉ 0x85c đến 0x4b7, một hành động được Nansen đánh dấu là xuất phát từ một tài khoản có số dư lớn. Mô hình này phù hợp với kỹ thuật tấn công địa chỉ độc hại, một phương pháp lừa đảo tận dụng lịch sử giao dịch của người dùng để dụ họ gửi tiền, mà không cần phải xâm phạm khóa riêng.

Các nhà nghiên cứu an ninh mô tả cách kỹ thuật tấn công địa chỉ độc hại khai thác hoạt động của chính người dùng. Các kẻ lừa đảo gieo các giao dịch nhỏ, không đáng chú ý và dựa vào việc nạn nhân sao chép địa chỉ từ lịch sử giao dịch của họ để hoàn tất chuyển khoản. Phương pháp này có thể vượt qua các biện pháp bảo vệ quản lý khóa truyền thống vì nó dựa vào kỹ năng xã hội và sự quen thuộc với hoạt động trước đó hơn là việc đánh cắp khóa riêng rõ ràng. Trong trường hợp này, vụ việc liên quan đến Phantom Chat, một tính năng nhắn tin mà Phantom đã triển khai để hỗ trợ giao tiếp về token, hợp đồng tương lai vĩnh viễn và các trang dự đoán kể từ ngày 23 tháng 12.

Quyết định của Phantom kích hoạt chức năng chat đi kèm cảnh báo rằng an ninh luôn là một cân bằng giữa tiện lợi và rủi ro. Vụ việc đang diễn ra đã thúc đẩy các nhân vật nổi bật trong lĩnh vực crypto kêu gọi tăng cường bảo vệ ví. Changpeng Zhao, đồng sáng lập Binance, trước đó đã kêu gọi các nhà phát triển ví xây dựng các biện pháp phòng ngừa có thể phát hiện địa chỉ độc hại và chặn hoặc lọc các địa chỉ nhận đáng ngờ. Trong một bài đăng tháng 12, Zhao nói rằng “Tất cả các ví nên kiểm tra xem địa chỉ nhận có phải là ‘địa chỉ độc hại’ không, và chặn người dùng. Đây là một truy vấn trên blockchain.” Tư duy này phản ánh xu hướng chung trong ngành nhằm củng cố các giao diện on-chain chống lại các cuộc tấn công xã hội hơn là dựa hoàn toàn vào bảo vệ khóa riêng.

Hướng dẫn công khai từ các nhà nghiên cứu an ninh là rõ ràng: người dùng nên cảnh giác với token hoặc NFT không rõ nguồn gốc và tránh nhấp vào các liên kết trong quảng cáo trả phí hoặc bài đăng trên mạng xã hội hứa hẹn airdrop miễn phí. Chính Phantom cũng đã khuyến khích các thực hành tốt nhất, bao gồm cẩn trọng với token lạ và không theo dõi liên kết từ các tin nhắn không đáng tin cậy. Cuộc thảo luận phản ánh sự đồng thuận rộng rãi rằng UX của ví cần phải tiến bộ để giảm thiểu ma sát nhưng vẫn tăng khả năng nhận diện các mối đe dọa tiềm ẩn.

Các nhà nghiên cứu an ninh tại Hacken nhấn mạnh sự cần thiết của một nguồn thông tin duy nhất về địa chỉ người nhận, chẳng hạn như danh bạ đáng tin cậy hoặc danh sách liên hệ đã xác minh. Nhóm Extractor của họ đã chỉ ra một vụ việc gần đây về địa chỉ Ether (ETH) bị độc hại liên quan đến một ví của Galaxy Digital vào đầu tháng 1, cho thấy rủi ro không chỉ giới hạn ở ví người tiêu dùng mà còn có thể ảnh hưởng đến các tổ chức lớn. Thông điệp rõ ràng là: kiểm tra rủi ro trước giao dịch và phát hiện sự giống nhau của địa chỉ cần trở thành phần không thể thiếu trong UX của ví, chứ không phải là các tính năng tùy chọn.

Các nhà điều tra blockchain cũng nhận thấy rằng cách người dùng nhìn nhận và phản ứng với lịch sử giao dịch thường quyết định khả năng bị tấn công. Chiến lược của kẻ tấn công là tạo ra một câu chuyện về lịch sử chuyển khoản bình thường và dựa vào phản xạ của nạn nhân để sao chép địa chỉ. Hệ quả thực tế là ngay cả một giao diện có vẻ vô hại—chẳng hạn như tính năng nhắn tin liên kết với hoạt động giao dịch—cũng có thể trở thành điểm yếu nếu không có các biện pháp phòng ngừa phù hợp. Vì vậy, nhiều nhà phát triển ví đang khám phá các công cụ đánh giá rủi ro trước khi thực hiện giao dịch, mô phỏng quá trình chuyển khoản để cung cấp một “xem trước” kiểu tường lửa, cho thấy cách giao dịch sẽ diễn ra dưới điều kiện hiện tại.

Trong bối cảnh các công cụ bảo vệ, một số ví đã bắt đầu định vị mình như các hàng rào chống lại kỹ thuật địa chỉ độc hại. Rabby Wallet, Zengo Wallet và Phantom Wallet được nhắc đến trong các cuộc thảo luận ngành như các hệ thống có thể tích hợp kiểm tra tiền phê duyệt hoặc logic chặn các địa chỉ gửi hoặc nhận đáng ngờ. Tập trung vào các biện pháp kiểm soát rủi ro thực tế có thể áp dụng mà không làm gián đoạn trải nghiệm người dùng, thay vì các cảnh báo bảo mật phức tạp, mập mờ mà người dùng thường bỏ qua.

Thêm vào đó, Phantom đã báo hiệu sẽ mở rộng khả năng chat trực tiếp và các điểm tích hợp trong toàn bộ dòng sản phẩm của mình. Các thông báo của công ty về tính năng này—nhằm thúc đẩy tương tác liên quan đến token, hợp đồng vĩnh viễn và dự đoán—cho thấy thực tế đa dụng của các công cụ nhắn tin on-chain: chúng có thể nâng cao sự gắn kết của người dùng, nhưng cũng tạo ra các kênh mới cho các cuộc tấn công xã hội nếu không đi kèm các biện pháp bảo vệ vững chắc.

Các chuyên gia an ninh mạng nhấn mạnh rằng việc giáo dục người dùng liên tục phải đi đôi với các biện pháp bảo vệ on-chain. Deddy Lavid, CEO của công ty an ninh blockchain Cyvers, nói với Cointelegraph rằng sự bảo vệ thực sự đòi hỏi các kiểm tra chủ động trước giao dịch, cùng với các cơ chế phát hiện sự giống nhau của địa chỉ và cảnh báo người dùng trước khi ký. Một số chuyên gia còn đề xuất các công cụ mô phỏng theo thời gian thực, vẽ ra chính xác quá trình giao dịch sẽ diễn ra, giúp người dùng phát hiện các điểm bất thường trước khi quỹ rời khỏi quyền kiểm soát của họ.

Khi cộng đồng cân nhắc các đề xuất này, ngành vẫn tiếp tục theo dõi các mô hình hoạt động của kỹ thuật địa chỉ độc hại và hiệu quả của các tính năng bảo mật mới của ví. Mục tiêu chính là giảm thiểu khả năng nạn nhân bị lừa bởi lịch sử giao dịch có vẻ hợp lý, đồng thời duy trì sự dễ dàng trong việc gửi tiền khiến ví trở nên hấp dẫn. Sự cân bằng này đặc biệt nhạy cảm trong bối cảnh các tính năng ví phát triển nhanh và sự phổ biến ngày càng tăng của các tin nhắn trong ứng dụng liên quan đến vị trí DeFi, NFT và các tài sản on-chain khác.

Tại sao điều này quan trọng

Vụ việc này làm sáng tỏ một nghịch lý tồn tại trong crypto: ví phải vừa thân thiện với người dùng, vừa an toàn trong một không gian mà rủi ro thường mang tính xã hội hơn là kỹ thuật thuần túy. Lừa đảo qua kỹ thuật địa chỉ độc hại khai thác cách mọi người tương tác với lịch sử giao dịch của chính họ, khiến việc giải quyết chỉ dựa vào khóa không đủ. Nếu các nhà cung cấp không tích hợp các kiểm tra phòng ngừa hoặc cảnh báo rõ ràng, người dùng dễ bị mắc kẹt trong các vụ lừa đảo dựa trên hoạt động bình thường trở thành kênh tấn công.

Từ góc độ nhà đầu tư, vụ việc nhấn mạnh tầm quan trọng của thiết kế ví nhận thức rủi ro. Ngay cả khi các tổ chức thử nghiệm DeFi và hoạt động chéo chuỗi, các nguyên tắc cơ bản về onboarding an toàn—danh sách trắng địa chỉ, danh sách liên hệ đã xác minh và cảnh báo có ngữ cảnh—trở thành các yếu tố phân biệt quan trọng. Việc nâng cao UX không có nghĩa là bỏ qua bảo mật; ngược lại, đòi hỏi các biện pháp bảo vệ thông minh, minh bạch hơn mà người dùng có thể hiểu rõ ngay lập tức, đồng thời duy trì tốc độ và sự tiện lợi của ví ngày nay.

Đối với các nhà xây dựng, đây là lời nhắc rằng các tính năng mới như chat trong ứng dụng phải đi kèm các đánh giá bảo mật tập trung vào rủi ro, đặc biệt là cách các lịch sử giao dịch có thể bị khai thác. Các nhóm quản trị và sản phẩm của các dự án ví hiện đang chịu áp lực phải trình bày rõ ràng cách các tính năng mới giảm thiểu rủi ro và người dùng có thể tùy chỉnh hoặc vô hiệu hóa các biện pháp này như thế nào. Nói cách khác, các yếu tố bảo mật theo thiết kế phải được tích hợp vào lộ trình phát triển, chứ không phải là sửa chữa sau khi xảy ra sự cố.

Cuối cùng, bối cảnh thị trường rộng lớn vẫn còn phù hợp. Khi hệ sinh thái crypto mở rộng với các sản phẩm phức tạp hơn và các lớp DeFi ngày càng liên kết chặt chẽ, động lực của các kẻ tấn công cũng tăng theo. Các cuộc tấn công địa chỉ độc hại không biến mất; chúng đang tiến hóa cùng với từng giao diện mới. Phản ứng của ngành—báo cáo minh bạch, các biện pháp UI bảo vệ mạnh mẽ hơn và giáo dục người dùng—sẽ định hình tốc độ các ví lấy lại niềm tin của người dùng và duy trì sự chấp nhận rộng rãi hơn.

Điều cần theo dõi tiếp theo

Phần mềm cập nhật sắp tới của Phantom để lọc hoặc chặn địa chỉ độc hại và các giao dịch spam.

Các nhà nghiên cứu và nhà phát hành công bố các mô hình kiểm tra rủi ro trước giao dịch hoặc phát hiện sự giống nhau của địa chỉ cho ví.

Các nghiên cứu điển hình về địa chỉ độc hại, bao gồm các ví tổ chức bị ảnh hưởng và hiệu quả của các công cụ bảo vệ.

Việc áp dụng rộng rãi các tính năng xem trước giao dịch kiểu tường lửa trong nhiều hệ sinh thái ví hơn.

Hướng dẫn của các cơ quan quản lý và nhóm ngành về tiêu chuẩn bảo mật ví và các thực hành tốt nhất phòng chống lừa đảo.

Nguồn & xác minh

Bài đăng của ZachXBT theo dõi giao dịch 3,5 WBTC liên quan đến Phantom Chat và các mẫu địa chỉ độc hại.

Dữ liệu của Nansen cho thấy địa chỉ đích 0x4b7 là tài khoản có số dư lớn trong giao dịch liên quan.

Thông báo của Phantom ngày 23 tháng 12 về tính năng chat trực tiếp trên các trang token, hợp đồng vĩnh viễn và dự đoán.

Bài đăng blog tháng 12 của Zhao kêu gọi kiểm tra và chặn địa chỉ độc hại trên ví.

Nhận xét của nhóm Extractor của Hacken về việc cần có một nguồn thông tin duy nhất cho địa chỉ người nhận và các kiểm tra rủi ro trước giao dịch.

Vụ việc địa chỉ độc hại liên quan đến Phantom Chat

Xem bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận
Giao dịch tiền điện tử mọi lúc mọi nơi
qrCode
Quét để tải xuống ứng dụng Gate
Cộng đồng
Tiếng Việt
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Về chúng tôiCơ hội nghề nghiệpPhòng tin tứcNhà tài trợ Oracle Red BullRacingĐối tác tài trợ tay áo đấu chính thức FC InterThoả thuận người dùngCảnh báo rủi roChính sách bảo mậtChính sách CookiePhương tiện truyền thôngBằng chứng dự trữGiấy phépBảo mậtGateToken (GT)GUSDGate ChainSự kiện GateThực thi pháp luậtHội nghị thượng đỉnhGate Ventures
    P2PGiao dịch khối & Chuyển đổiGiao dịch giao ngayGiao dịch ký quỹTrung tâm Kiếm tiềnETFFuturesTradFiCổ phiếuAlphaNFTGate PayGate LifeThẻ quà tặngGate OTCGate CharityGate shopWeb3Gate Perp DEXGate Vault
    Lợi ích VIPTổ chứcĐề xuất & Phản hồiThông báoTiêu chuẩn thu phíTrung tâm hỗ trợGửi yêu cầu hỗ trợĐăng ký niêm yết coinBảo mật hợp đồngTrung tâm phát triểnXác minh kênh chính thức Đăng ký thương gia P2PChương trình Affiliate TradingViewLịch Tiền điện tửGiải pháp chuỗi chéo
    Gate LearnKhóa học về tiền điện tửThuật ngữ về tiền điện tửThị trường tiền điện tửBig DataBitcoin HalvingNâng cấp Ethereum (ETH)Crypto WikiMáy tính tiền điện tử