Share on facebook
Share on twitter
Share on linkedin

Trong DeFi luôn có rất nhiều cơ hội để chúng ta có thể kiếm tiền, kèm theo đó là cực nhiều rủi ro.

Mình đã chứng kiến rất nhiều người thân cận mất rất nhiều tiền vì scam với những thủ đoạn rất tinh vi.

Cái ác ở đây là ai trong chúng ta cũng nghĩ mình an toàn cho tới lúc bị hack thì đó gần như là một gia tài hàng tỷ đồng mình khó khăn lắm mới kiếm được từ thị trường này

Cùng mình đi hết bài hôm nay để bảo vệ tiền của anh em thật kỹ lưỡng nhé 😊

 Nội dung

  • Cách check các contract scam
  • Lỗ hổng bảo mật, tiền của bạn có thể mất bất cứ lúc nào cho dù bạn chưa từng swap cũng như approved các contract scam…

 

Phần 1: CÁCH CHECK CÁC CONTACT SCAM

Khi anh em vô tình mua phải các contact scam thì sẽ có rất nhiều rủi ro như:

  • Mất tiền
  • Lỡ tay cấp quyền cho nó xâm nhập và lấy hết tài sản của anh em
  • Liên kết với wedsite có cài mã độc của nó để giao dịch
  • Cho anh em mua nhưng lại lock sell …

 

Vậy nguồn contact scam này ở đâu ra?

  • Từ các cộng đồng, ví dụ như scamer trà trộn vào một dự án sắp mở bán và cố tình comment contract giả cho anh em
  • Hoặc giả danh làm admin, tên dự án… chủ động nhắn tin trước để gửi contract giả
  • Từ các nguồn như PooCoin, bất cứ dự án nào mới được dựng lên, anh em sẽ đều tìm được trên đấy, cùng tên nhưng contract khác nhau

Hình 1: Các contract hiện ra trên poocoin

Mình lấy ví dụ là Stickman dự án Partner với CoinLAB, khi mình gõ stman trên poocoin thì ra đến 3 contract

 

Vậy thì làm sao biết đâu là contract của chính dự án đó?? Sẽ có có một vài bước để anh em check:

1. Check khóa thanh khoản hay chưa

  • Như hình dưới, dự án đã add Liquidity và có lock lại
  • Nâng cao hơn chút, là kiểm tra xem dự án đã add Liquidity đủ theo nhưng gì đã cam kết trong Tokenomic không
  • Nhiều dự án scam tinh vi hơn, khi vẫn add LP và lock lại, nhưng phần đó chỉ chiếm 10-20% cam kết, số còn lại để ở một ví nào đó không lock, đợi xả từ từ (Anh em nên check kỹ phần này)

Hình 2: Thanh khoản đã được khóa

2. Check trên BscScan

https://bscscan.com/address/ theo đường link này + contract anh em muốn check ở đuôi

VD: https://bscscan.com/address/0xb75088a5d75e9ff7264abc7d25721e4436ec309d

Hình 3: contract trên bscscan

  • Anh em sẽ thấy ở mục contract đã được verify, thêm một điểm +
  • Tiếp theo anh em bấm vào mục STICKMAN BATTERGROUND ở tracker

Hình 4: tracker của STMAN

  • Anh em có thể thấy số lượng holder tương đối nhiều, lượng giao dịch cũng nhiều
  • Đặc biệt là phần official anh em có thể vào xem trên wed họ làm gì, chuẩn dự án của họ không, ở dưới còn có social profiles
  • Như vậy là tương đối đầy đủ trong việc check verify contract, lượng giao dịch, holder và cả các trang thông tin

 

3. Check contract trên honeypot.is

HoneyPot là một hệ thống cho phép người quản trị có thể nghiên cứu, phân tích các hoạt động của kẻ tấn công, giúp phát hiện sớm để ngăn chặn các tấn công mạng từ cả trong và ngoài hệ thống một cách hiệu quả

Hình 5: check contract với honeypot.is

HoneyPot với những mô phỏng giao dịch mua và bán cùng rất nhiều phương pháp thể loại khác nhau sẽ hạn chế được thêm một phần rủi ro cho anh em

  • Khi mình dán contract vào thì honeypot đã báo xanh
  • Với những thông tin ở trên anh em có thể tương đối an tâm khi sử dụng contract có đuôi 309d này.
  • Hãy để ý điểm này mình sẽ show một vài điểm cho anh em xem về contract giả

 

Vậy thì contract giả sẽ có những dấu hiệu nào?
  • Thanh khoản không được khóa, scamer đã add liquidity trước đó để đánh lừa anh em sau đó rút thanh khoản

Hình 6: Thanh khoản màu đỏ chứng tỏ không được khóa

Check BscScan

  • Contract chưa verify và anh em sẽ thấy hầu như không có giao dịch
  • Tiếp tục đi vào mục tracker anh em sẽ thấy không có giao dịch, không có holder cũng như các wedsite và các trang social

Hình 7: Contract chưa verify

Hình 8: Tracker thông tin contract scam

=> Những giao dịch góc dưới anh em sẽ thấy là đã rút liquidity ra và chạy

 

4. Cách thức giao dịch an toàn

Như vậy anh em có thể tự check các contract scam, mình khuyến nghị anh em nên dùng một ví riêng biệt chỉ để chuyển token vào và swap, ví hold coin thì tốt nhất không kết nối bất kì trang wed nào cũng như giao dịch nào trên đó

Sau khi swap xong thì anh em hãy kết nối ví với https://allowance.beefy.finance/ để revoke các contract đó đi

Hình 9: Revoke contract không rõ nguồn gốc

 

Phần 2: LỖ HỔNG BẢO MẬT, TIỀN CỦA BẠN CÓ THỂ MẤT BẤT CỨ LÚC NÀO CHO DÙ BẠN CHƯA TỪNG SWAP CŨNG NHƯ APPROVED CÁC CONTRACT SCAM…

HƠI DÀI NHƯNG ANH EM HÃY RÁNG ĐỌC HẾT NHA

Là một cảm giác bất lực khi rơi vào trường hợp như vậy, đã chứng rất nhiều anh em của mình, những người đi từ ngày đầu trong lĩnh vực defi, kiếm rất nhiều tiền… nhưng cuối cùng mất trắng tài sản tính theo tiền tỷ mặc dù họ KHÔNG MUA BÁN VÀ APPROVED BẤT KỲ 1 TOKEN NÀO.

Giải thích một chút cho những anh em mới : ví mà chúng ta đang sử dụng tham gia Defi là ví online được quản lý bởi 12 phrase key ( 12 phrase key này quản lý nhiều ví ), private key ( quản lý 1 ví riêng biệt trong nhiều ví đó)

Bất kỳ ai có được các key này thì đồng nghĩa với việc họ có thể xâm nhập và lấy đi hết tiền của bạn, không ai có thể bảo vệ anh em được

Nhiều ứng dụng có cả trên app store/google play lấy/yêu cầu truy cập dữ liệu từ Clipboard, nếu anh em chưa biết thì clipboard là nơi lưu trữ dữ liệu tạm thời, tức là anh em copy cái gì thì nó sẽ lưu tạm vô đấy.

Nếu anh em copy private key/ 12 ký tự thì nó cũng sẽ lưu vô đó tạm thời. Vậy thì kể cả bạn có dùng bất cứ ví gì, thì chỉ cần copy key (ví dụ trustwallet khi cần backup key thì khi vào chỗ backup nó hiện ra mã QRcode và tự động copy key vô clipboard luôn) và có vô tình cài bất kỳ 1 ứng dụng nào trên chợ ứng dụng có yêu cầu quyền truy cập clipboard, thì nguy cơ lộ key là rất cao

Đó chỉ là một trong những nghi vấn mình nêu ra, ngoài ra anh em lưu ở zalo, facebook, note thì chuyện bị hack chỉ là sớm hay muộn…

 

VẬY PHẢI LÀM SAO KHI PHẢI CHỐNG LẠI KẺ THÙ TRONG BÓNG TỐI, KHÔNG CÓ CÁCH NÀO KHÁC LÀ PHẢI NÂNG CẤP CÁC LỚP GIÁP ĐỂ BẢO VỆ CHO TÀI SẢN, DƯỚI ĐÂY LÀ MỘT VÀI CÁCH CỦA MÌNH:

Về phần bảo mật:

  • Ngoài việc tránh mua các contract scam, kết nối và cấp quyền cho những trang wed bẩn thì mình sẽ hạn chế hết mức có thể các thao tác liên quan đến pharse key và private key, ví dụ như copy để lưu trữ, sang ví…
  • Ưu tiên sử dụng 3G thay vì wifi công cộng
  • Hạn chế truy cập web đen, web bị hạn chế….
  • Không tải file không rõ nguồn gốc, nhất là trên telegram có chế độ auto tải file, hoặc cài file crack, anh em hãy vào setting và xóa nó đi….
  • Tạo một ví mới hoàn toàn trên máy tính, không dùng thao tác copy vì nó sẽ chứa nhiều rủi ro, ghi ra giấy các ký tự và đảo vị trí lại một chút ( sao cho mình nhớ được ).
  • Khi add ví vào wallet trên điện thoại chỉ nên điền bằng tay hoặc là dùng QR code hay copy mã để add
  • Trên máy tính : sài win gốc, hạn chế cài các phần mềm, mua các phần mềm diệt và chặn virus chuyên dụng ví dụ như Kaspersky

Hình 10: Phần mềm diệt virus mình đang sử dụng

 

Sử dụng các ví an toàn hơn

  • Sử dụng ví multisig: với ví muiltisig để thực hiện bất kỳ giao dịch nào thì anh em cần phải xác nhận từ 2 ví trở lên thì giao dịch mới được thực thi ở ví chính.

=> Có nghĩa là nếu không may bị hack ví thì tài sản của anh em cũng tương đối an toàn. Khi thấy thông báo xác nhận giao dịch bất thường cũng có thể chuyển tiền đi kịp

  • Sử dụng ví lạnh: nếu  môi trường online nguy hiểm luôn rình rập, thì tốt nhất chúng ta nên bảo vệ phrase key của mình ở môi trường offline, anh em chỉ có thể giao dịch được khi cắm ví lạnh vào máy, và khi thao tác chỉ có thể xác nhận các giao dịch trên ví lạnh.

=> Bằng cách này thì phrase key của anh em sẽ tách biệt với môi trường online nguy hiểm và dù máy tính của anh em có bị cài mã độc thì hacker cũng không thể lấy tiền từ ví lạnh đi được

  • Hiện tại mình đang dùng Ledger nanos, anh em có thể mua trên trang chủ của ledger hoặc xem các đại lý của ledger việt nam và đặt hàng
  • Ngoài ra ví safepal cũng là một lựa chọn ổn

PHẦN KẾT

  • Hãy bảo vệ mình ngay, đừng chần chừ, vì những người bị hack cũng có suy nghĩ “ chắc là mình không bị lộ key đâu “ như chúng ta hiện tại.
  • Giữ tiền quan trọng hơn kiếm tiền, hy vọng bài viết của mình sẽ giúp ích anh em một phần trong việc bảo quản tài sản

Cảm ơn anh em đã ủng hộ mình và CoinLAB, anh em có thể join cùng bọn mình tại đây để cùng nhau bảo vệ và phát triển tài sản.

 

Tác giả: Lân Hồ

Other News