Hub bảo mật ví crypto
Hướng dẫn bảo mật ví crypto, lưu seed phrase, dùng ví nóng và ví lạnh, kiểm tra token approval, phishing và address poisoning.
Bảo mật ví bắt đầu từ việc hiểu ai giữ khóa
Nếu tài sản nằm trên sàn, sàn kiểm soát private key và người dùng truy cập bằng tài khoản. Nếu dùng ví non-custodial, người dùng giữ seed phrase và chịu trách nhiệm khôi phục. Cả hai mô hình đều có rủi ro khác nhau; không có lựa chọn hoàn toàn miễn nhiễm với mất mát.
Quy tắc với seed phrase
- Viết và lưu ngoại tuyến ở nơi khó bị truy cập trái phép.
- Không chụp ảnh hoặc lưu trong cloud, email, ghi chú đồng bộ.
- Không nhập vào website, bot hoặc biểu mẫu hỗ trợ.
- Không chia sẻ một phần vì nhiều kẻ gian thu thập từng bước.
- Kiểm tra bản sao lưu bằng quy trình an toàn trước khi giữ tài sản lớn.
Seed phrase không phải mật khẩu có thể đổi. Khi đã lộ, cần tạo ví mới.
Chia ví theo mục đích
Một cấu trúc đơn giản gồm:
- Ví chính để giữ tài sản, ít kết nối DApp.
- Ví giao dịch với số dư vừa đủ.
- Ví thử nghiệm cho mint, airdrop và website mới.
- Tài khoản sàn với 2FA và whitelist rút.
Việc tách ví giới hạn thiệt hại nếu một approval hoặc chữ ký bị khai thác.
Ví nóng và ví lạnh
Ví lạnh giữ khóa trong thiết bị tách biệt và yêu cầu xác nhận vật lý, nhưng màn hình máy tính vẫn có thể hiển thị địa chỉ giả. Luôn kiểm tra địa chỉ trên màn hình thiết bị. Ví nóng thuận tiện hơn nhưng nên tránh giữ toàn bộ tài sản lâu dài.
Token approval và chữ ký
Khi swap hoặc dùng DeFi, ví có thể yêu cầu cấp quyền cho smart contract chi tiêu token. Approval không giới hạn giúp sử dụng thuận tiện nhưng tăng rủi ro. Nên kiểm tra quyền định kỳ và thu hồi hợp đồng không còn dùng.
Không phải mọi chữ ký đều là giao dịch chuyển tiền ngay. Một số chữ ký Permit hoặc typed data có thể tạo quyền chi tiêu sau đó. Hãy đọc tên contract, chain và nội dung trước khi ký.
Phishing và giả mạo
Bookmark website thường dùng, không nhấp link quảng cáo hoặc link gửi trong tin nhắn. Kiểm tra từng ký tự tên miền. Khi một website báo ví có lỗi và yêu cầu “đồng bộ” bằng seed phrase, đó là dấu hiệu lừa đảo.
Address poisoning và clipboard malware
Không sao chép địa chỉ chỉ từ lịch sử giao dịch. So sánh toàn bộ địa chỉ hoặc dùng danh bạ. Sau khi paste, kiểm tra lại trên màn hình ví cứng vì malware có thể thay địa chỉ trong clipboard.
Checklist mỗi tháng
- Rà soát token approval.
- Kiểm tra thiết bị và extension ví.
- Xóa API không dùng.
- Thu hồi phiên đăng nhập sàn lạ.
- Kiểm tra whitelist địa chỉ rút.
- Cập nhật firmware từ nguồn chính thức.
- Kiểm tra bản sao lưu seed phrase còn đọc được.
Câu hỏi thường gặp
Ví lạnh có bị hack không?
Có thể mất tài sản nếu seed phrase lộ, firmware giả, người dùng ký giao dịch độc hại hoặc chuỗi cung ứng bị can thiệp.
Có nên lưu seed phrase trong trình quản lý mật khẩu?
Điều này giảm một số rủi ro vật lý nhưng tăng rủi ro số. Với tài sản lớn, ưu tiên bản sao ngoại tuyến và mô hình sao lưu phù hợp.
Ngắt kết nối ví khỏi website có thu hồi approval không?
Không. Disconnect chỉ tách giao diện; approval on-chain vẫn tồn tại cho đến khi bị thu hồi hoặc hết hạn.
Có thể dùng một ví cho mọi hoạt động không?
Có thể nhưng làm tăng phạm vi thiệt hại. Tách ví là biện pháp đơn giản để quản lý rủi ro.