Một lần nữa, một lỗ hổng đã dẫn đến việc đánh cắp tiền điện tử — lần này là trên blockchain Abstract.
Suy nghĩ đầu tiên của tôi, như thường lệ, là cảm giác nhẹ nhõm vì tôi giữ phần lớn tiền tiết kiệm của mình trong Bitcoin — mà tôi luôn cho là an toàn hơn nhiều so với các loại tiền điện tử khác.
Tuy nhiên, các nhà phát triển của Abstract đã làm rõ rằng vi phạm không phải do blockchain hay ví của họ mà là do một ứng dụng trò chơi có tên Cardex. Nếu bạn đã từng tương tác với Cardex, hãy hủy các phiên của bạn ngay lập tức tại liên kết sau: https://revoke.abs.xyz.
Được rồi, những cuộc tấn công như thế này là một lời nhắc nhở rõ ràng: bảo mật blockchain một mình là không đủ. Hãy chủ động:
- Xem xét quyền ví thường xuyên: Hầu hết các ví tiền điện tử cho phép bạn quản lý các phê duyệt đang hoạt động cho các ứng dụng bên thứ ba. Kiểm tra các cài đặt này thường xuyên và hủy quyền truy cập vào bất kỳ thứ gì bạn không sử dụng hàng ngày.
- Tách biệt quỹ: Tránh giữ số tiền lớn trong các ví bạn sử dụng cho giao dịch thường xuyên hoặc đăng nhập ứng dụng.
Và đây là một thực tế cần kiểm tra đối với tôi: ngay cả Bitcoin cũng không miễn nhiễm. SatoshiLabs đã cảnh báo rằng kẻ tấn công đang khai thác lỗ hổng trong các phiên bản cũ của phần mềm nút Lightning Network (lớp được sử dụng cho các khoản thanh toán nhỏ nhanh chóng và chi phí thấp bằng Bitcoin). Quỹ có nguy cơ nếu người dùng chưa cập nhật phần mềm của họ. (Vâng, ví Lightning cũng có thể được sử dụng để đăng nhập ứng dụng — một lý do khác để cảnh giác.)
Bài học rút ra? Không bao giờ cấp quyền không cần thiết. Tại Rabbit Swap, chúng tôi thực thi nguyên tắc này một cách nghiêm ngặt: khi bạn trao đổi tiền điện tử trên rabbit.io, bạn chỉ cần gửi tiền trực tiếp đến một địa chỉ được tạo. Không có kết nối ví, không có đăng nhập dựa trên chữ ký, không có phê duyệt tài sản. Toàn quyền kiểm soát vẫn thuộc về bạn.
