NFT là một loại tài sản số hiện diện trên một chuỗi số Blockchain, có nhiệm vụ như một sổ cái đảm bảo tính xác thực của tài sản lẫn chủ sở hữu. Một NFT là duy nhất và không thể thay thế trực tiếp bằng một NFT khác. NFT có thể là bất kỳ thứ gì dưới dạng kỹ thuật số [1, 2], ví dụ như ảnh, video, tệp âm thanh,… Với NFT, mỗi tài sản sẽ có chữ ký số riêng biệt và do đó nó có tính độc nhất, mỗi token NFT được đúc sẽ có một mã định danh riêng và thuộc về một chủ sở hữu duy nhất. NFT thường được giao dịch bằng tiền số, nhưng đôi khi cũng sử dụng đồng USD. Nếu quan tâm đến NFT, điều cần thiết là phải nhận thức được các rủi ro liên quan, bao gồm các hành vi gian lận và lừa đảo NFT.
Tạo thị trường giả mạo
Các thị trường nổi bật như OpenSea đã tạo điều kiện thuận lợi cho các giao dịch NFT và cung cấp bảo mật làm nền tảng cho mỗi giao dịch mua bán. Tuy nhiên, hiện nay tin tặc đã thiết lập rất nhiều thị trường mạo danh với các trang web sử dụng URL giả mạo tương tự để đánh lừa người dùng [3]. Thành phần hiển thị của NFT là một hình ảnh có thể dễ dàng sao chép. Các trang này không có NFT hợp pháp, vì vậy nếu phát sinh giao dịch, trang web sẽ lưu lại thông tin đăng nhập. Ngoài ra, các trang web này có thể yêu cầu khóa cá nhân hoặc cụm từ hạt giống (Seed Phrase) và sử dụng nó để rút tất cả tài sản trong ví kỹ thuật số của người dùng.
Lừa đảo “rug pull”
Đây là một trong những mối đe dọa mới nhất đối với người mua NFT. “Rug pull” nói đến một hành vi lừa đảo khi những người phát triển một dự án đột ngột rời bỏ và mang theo tiền của nhà đầu tư, điều này dẫn đến giá trị của tài sản giảm xuống và các nhà đầu tư phải chịu thua lỗ [2, 3].
Kỹ nghệ xã hội
Trước khi mua NFT, người dùng cần đăng ký ví tiền điện tử. Lừa đảo NFT thường nhắm mục tiêu khách hàng bằng các quảng cáo giả mạo trên các ứng dụng và nền tảng xã hội. Bên cạnh đó, tin tặc có thể mạo danh MetaMask (ví tiền điện tử dựa trên nền tảng Ethereum) và gửi email cảnh báo giả với nội dung rằng ví của người dùng sẽ bị tạm ngưng hoạt động vì các vấn đề liên quan đến bảo mật, nhắc nhở nhấp vào liên kết trong email để xác minh tài khoản [2, 3]. Tin tặc cũng có thể dễ dàng đánh cắp tác phẩm của người sáng tạo kỹ thuật số và mở tài khoản trên thị trường NFT, nơi chúng niêm yết sản phẩm giả mạo để bán đấu giá.
Cơ chế “Pump and Dump”
Thuật ngữ “Pump and Dump” đề cập đến việc một người hoặc một nhóm cố tình mua nhiều một NFT nào đó để đẩy giá trị lên cao trong một khoảng thời gian ngắn, thu hút các nhà giao dịch mới tham gia, sau đó rút đi nếu đã kiếm được lợi nhuận [2, 3]. Với thủ đoạn này, khi NFT có giá trị, những người mua cả tin sẽ tham gia đấu giá và bắt đầu đặt giá thầu. Khi giá tăng lên, thủ phạm sẽ bán NFT để kiếm lời, để lại cho người mua những tài sản vô giá trị.
Lừa đảo hỗ trợ khách hàng
Tương tự như các trò gian lận lừa đảo, tin tặc giả làm nhân viên kỹ thuật hoặc hỗ trợ khách hàng cho các thị trường Blockchain và liên hệ với người dùng. Dưới chiêu bài cố gắng giải quyết vấn đề, tin tặc gửi liên kết đến các trang web giả mạo nhằm mục đích lấy thông tin cá nhân và quyền truy cập vào ví tiền điện tử. Mặt khác, chúng có thể yêu cầu người dùng chia sẻ màn hình của mình để giải quyết vấn đề, nhưng trên thực tế, tin tặc muốn xem và chụp màn hình thông tin đăng nhập ví tiền điện tử của người dùng [3].
Lừa đảo đấu thầu
Lừa đảo đấu thầu xảy ra khi các nhà đầu tư muốn bán lại NFT đã mua của họ trên thị trường. Những người đặt giá thầu có thể chuyển đổi loại tiền tệ ưa thích của người dùng bằng loại tiền điện tử có giá trị thấp hơn mà không cần thông báo sau khi người dùng đã liệt kê doanh số NFT của mình. Điều này có thể dẫn đến những tổn thất tiềm ẩn cho người bán nếu họ không kiểm tra kỹ đồng tiền trước khi đồng ý mua bán [2, 3].
Lừa đảo qua hình thức nhận quà tặng
NFT Các tin tặc có thể làm giả nền tảng giao dịch NFT thông qua các phương tiện truyền thông xã hội để quảng bá quà tặng NFT. Họ thường cung cấp NFT miễn phí nếu người dùng chia sẻ thông điệp và đăng ký qua trang web của họ. Khi đã đăng ký, người dùng sẽ được nhắc liên kết thông tin đăng nhập ví của mình để nhận “giải thưởng”. Khi có thông tin đăng nhập, tin tặc có thể truy cập vào tài khoản và đánh cắp thư viện NFT [3].
Kiểm tra tính chính xác của giao dịch
Kiểm tra các chi tiết của bất kỳ giao dịch nào trước khi đồng ý với nó, thị trường người dùng đang sử dụng có uy tín và đáng tin cậy không. Đọc các bài đánh giá và xem xét mức độ tương tác của người sáng tạo để xem liệu trước đó có khiếu nại nào về giao dịch của họ hay không. Nếu đang đầu tư vào một dự án, hãy kiểm tra các nhà phát triển đằng sau dự án đó, xác minh thông tin của người sáng tạo và tìm hiểu cụ thể về họ, để xác minh mức độ tin cậy và tính xác thực trước khi đầu tư vào NFT, từ đó có thể đánh giá giá trị về lâu dài của khoản đầu tư này.
Không mở tệp từ những nguồn không rõ ràng
Trong nhiều vụ việc liên quan đến lừa đảo NFT, tin tặc đã tạo ra các biến thể mã độc khác nhau nhắm mục tiêu vào ví tiền điện tử. Do vậy, cần tránh và tuyệt đối không nhấp vào liên kết trên các email hoặc tệp đính kèm từ các nguồn không xác định, vì chúng cũng có thể dẫn đến các trang web lừa đảo. Trong trường hợp cần tìm kiếm sự trợ giúp về các vấn đề trên nền tảng NFT, hãy luôn tìm đến dịch vụ khách hàng chính thức trên các trang giao dịch NFT, thay vì ai đó đã liên hệ với người dùng thông qua các nền tảng khác như mạng xã hội.
Cẩn trọng với các chương trình quà tặng
Mặc dù phổ biến trong không gian NFT, thế nhưng quà tặng hoặc phần thưởng miễn phí thường có thể tiềm ẩn rủi ro bảo mật. Mỗi NFT được gắn với một hợp đồng xác định những gì có thể được thực hiện với nó, điều này có nghĩa là tin tặc có thể đính kèm ủy quyền để truy cập vào ví của người dùng. Vì vậy, không bao giờ chấp nhận NFT từ người mà người dùng không biết và không tin tưởng.
Không chia sẻ khóa cá nhân hoặc Seed Phrase
Khóa riêng là chìa khóa cho tất cả các tài sản kỹ thuật số, cho phép giao dịch hoặc chứng minh quyền sở hữu chúng. Trong khi đó, Seed Phrase được sử dụng làm phương pháp sao lưu để khôi phục ví, nó sẽ không bao giờ được sử dụng để đăng nhập hoặc xác thực bất cứ điều gì. Điều cần thiết là phải bảo vệ và giữ khóa riêng cũng như Seed Phrase ở một vị trí an toàn, đồng thời không chia sẻ nó với bất kỳ ai. Nếu một người nào đó có được những thông tin chi tiết này, họ có thể truy cập vào ví của người dùng, kiểm soát và xóa mọi NFT hoặc tiền điện tử một cách dễ dàng. Nên sử dụng mật khẩu mạnh cho ví tiền điện tử và các tài khoản NFT khác. Hơn nữa, hãy sử dụng xác thực hai yếu tố cho tất cả các tài khoản NFT để tăng cường bảo mật.
Giao dịch trên nền tảng chính thức
Luôn truy cập trên một nền tảng đáng tin cậy, uy tín và có tính hợp pháp đã được xác minh để thực hiện giao dịch, đồng thời tránh sử dụng các liên kết hoặc cửa sổ bật lên để nhập thông tin chính trong ví của người dùng. Trong thế giới NFT, các trang web lừa đảo có thể dẫn đến việc lộ lọt thông tin cá nhân. Vì thế, người mua cần chú ý truy cập đến các trang web chính thức có chứa chứng chỉ SSL. Ví dụ một số đường dẫn URL an toàn cho đến thời điểm hiện tại như: https://opensea.io, https://rarible.com, https://www.bnbchain.org/en/smartChain,...
Kiểm tra kỹ giá dự án NFT
Trước khi thực hiện bất kỳ giao dịch mua NFT nào, hãy kiểm tra giá trên nền tảng giao dịch chính thức như OpenSea hoặc các thị trường khác. Nếu giá xuất hiện thấp hơn giá được liệt kê trên trang web giao dịch hợp pháp, nên cẩn thận vì đó có thể là lừa đảo.
Sử dụng ví phần cứng
Ví cứng Ledger và Trezor
Ví phần cứng được đánh giá an toàn nhất hiện nay, những loại ví này là một tập hợp phần cứng có độ bảo mật cao, nơi lưu trữ tài sản tiền điện tử và NFT ngoại tuyến. Bằng cách duy trì trạng thái này, ví sẽ tránh xa các nguy cơ đe dọa từ tin tặc hay các phần mềm như keylogger, vì nó hạn chế khả năng truy cập. Ngoài ra, mọi ví phần cứng đều đi kèm với một ID và mật khẩu để tăng cường bảo mật. Sử dụng ví phần cứng phổ biến như Ledger hoặc Trezor có thể là một sự lựa chọn phù hợp. Các ví này không chứa tác phẩm nghệ thuật hoặc bất kỳ tiền điện tử nào về mặt vật lý.
Kiểm tra dấu xác nhận
Dấu kiểm màu xanh lam trên tài khoản và bộ sưu tập được xác thực
Cần kiểm tra xem thông tin mà người dùng đang mua có tài khoản hợp pháp không. Hầu hết những người bán NFT hợp pháp sẽ có dấu màu xanh lam bên cạnh tên người dùng của họ trên OpenSea và các thị trường NFT khác (tài khoản này đã được xác minh tính xác thực), đồng thời các thuộc tính của những tài khoản này cũng sẽ được liệt kê rõ ràng.
NFT được sử dụng đa dạng trong nhiều lĩnh vực như nghệ thuật (âm nhạc, ảnh, video) hay bất cứ sản phẩm nào dưới dạng tài sản kỹ thuật số. Hiện nay, thị trường NFT đang trở nên phổ biến hơn, kéo theo đó là các vấn đề an toàn liên quan. Do vậy, chủ động nắm bắt được các hoạt động, hành vi lừa đảo NFT và cách thức phòng tránh sẽ giúp bản thân những người tham gia vào nền tảng công nghệ này có thể bảo vệ tài sản trước những mối nguy cơ tiềm tàng.
Đinh Hồng Đạt, Trịnh Trí Dũng
11:00 | 09/03/2018
16:00 | 04/09/2018
15:00 | 01/11/2011
13:00 | 18/09/2023
Một trong những tham luận thu hút sự quan tâm lớn của giới bảo mật tại Hội nghị bảo mật hàng đầu thế giới Black Hat USA 2023 là tấn công TSSHOCK của nhóm nghiên cứu mật mã đến từ công ty Verichains (Việt Nam). Đáng lưu ý, tấn công này cho phép một node ác ý có thể đánh cắp on-chain tài sản mã hoá giá trị hàng triệu đến hàng tỉ USD trên các dịch vụ này.
10:00 | 15/02/2023
Phần mềm diệt virus (antivirus) là một trong những giải pháp bảo mật được sử dụng phổ biến, nhằm ngăn chặn tin tặc xâm nhập vào hệ thống. Tuy nhiên, hiện nay tin tặc đã phát triển các kỹ thuật để qua mặt các giải pháp antivirus và giành quyền truy cập vào các hệ thống được bảo vệ. Những kỹ thuật này được sử dụng trong các công cụ lẩn tránh giải pháp antivirus sẵn có dưới dạng công cụ mã nguồn mở mà tin tặc có thể dễ dàng sở hữu và sử dụng để xâm nhập hệ thống máy tính có trang bị chương trình antivirus.
09:00 | 09/01/2023
Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].
13:00 | 26/12/2022
Một khía cạnh quan trọng của công nghệ blockchain (chuỗi khối) là xác định người dùng nào công bố khối tiếp theo. Điều này được giải quyết thông qua việc thực hiện một trong nhiều mô hình đồng thuận có thể. Trong khi cố gắng cải thiện hiệu quả năng lượng của các chuỗi khối sử dụng bằng chứng công việc (Proof of Work - PoW) trong cơ chế đồng thuận, bằng chứng cổ phần (Proof of Stake - PoS) lại đưa ra một loạt các thiếu sót mới đáng kể trong cả mô hình tiền tệ và mô hình quản trị. Bài viết trình bày lại các phân tích của [1] và chỉ ra rằng những hệ thống như vậy là độc tài, độc quyền nhóm và được ủy quyền (permissioned).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Không chỉ tác động đến lĩnh vực an toàn thông tin, Bug Bounty còn được cho là cổ vũ cho nền kinh tế Gig Economy kiểu Orwell. Điều này có là một góc nhìn tiêu cực cho hình thức bảo mật này?
09:00 | 28/04/2024
