#钱包安全漏洞 Gần đây Trust Wallet bị lộ sự kiện trộm cắp 6 triệu đô la, tôi đã xem kỹ phân tích của Slowmist — vấn đề nằm ở phiên bản 2.68 của tiện ích trình duyệt được cấy cài PostHog JS để thu thập thông tin người dùng, điều đau lòng hơn là phiên bản sửa chữa lại không loại bỏ triệt để thứ này.

Điều này khiến tôi nhớ lại sự cố lỗ hổng "Demonic" từ hai năm trước, lúc đó có người đã gặp trục trặc. Bây giờ vấn đề ngày càng ẩn sâu hơn: không phải là những lỗi mã đơn giản, mà là thu thập dữ liệu ví trên backend mà bạn hoàn toàn không biết.

Gần đây tôi đã tóm tắt lại phòng tuyến của mình như sau — nếu ví của bạn gặp sự cố, tuyệt đối không hoạt động trực tuyến, hãy ngắt kết nối mạng và xuất cụm từ ghi nhớ rồi chuyển tài sản, nếu không hacker có thể sẽ ăn cắp chúng vào thời điểm bạn mở ví. Hơn nữa, khi cụm từ ghi nhớ đã được sao lưu, phải chuyển tài sản ra trước rồi mới nâng cấp, nếu đảo ngược thứ tự rủi ro rất lớn.

Còn có một điểm dễ bị bỏ qua: hầu hết các trường hợp bị trộm thực tế không phải do lỗi của chính tiện ích, mà do người dùng tải về phiên bản giả mạo hoặc gặp lừa đảo. MetaMask, Phantom những ví hàng đầu đều từng bị trúng, cửa hàng Firefox một thời bị mất kiểm soát. Vì vậy quy tắc rất đơn giản — chỉ tải từ Chrome Web Store chính thức, từ bất kỳ kênh nào khác đều phải loại trừ.

Sống lâu trên chuỗi khối chính là phải suy nghĩ hơn người khác một bước, đặc biệt là ở phần bảo mật tài sản không có cơ hội thử sai.