Gần đây tôi nghe nhiều hơn về các vấn đề an ninh trong Web3, và thành thật mà nói, đây là một chủ đề thực sự quan trọng. Vấn đề là, DApp về cơ bản là một ứng dụng hoạt động trên blockchain như Ethereum hoặc BNB Chain, nhưng thay vì dựa vào các máy chủ thông thường, tất cả đều được điều khiển bởi các hợp đồng thông minh. Nghe có vẻ tuyệt vời, nhưng lại có những rủi ro tiềm ẩn.

Bạn thấy đấy, tính mở của không gian này có nghĩa là bất kỳ ai cũng có thể tạo ra DApp hoặc giao diện - và các kẻ lừa đảo lợi dụng điều đó. Gần đây tôi nhận thấy có nhiều người bị mắc kẹt với các ứng dụng giả mạo trông giống hệt như bản gốc. Điều này có nghĩa là DApp trong tay kẻ xấu là một công cụ để trộm cắp tài sản.

Phương thức phổ biến nhất khiến mọi người mất tiền là qua kỹ thuật xã hội. Các kẻ lừa đảo giả danh là đại diện của các dự án, sao chép toàn bộ server Discord, xây dựng lòng tin, rồi sau đó đề nghị các "cơ hội độc quyền" như bán sớm hoặc airdrops. Nạn nhân vội vàng, kết nối ví với ứng dụng độc hại - và thế là tất cả tài sản biến mất.

Còn có các hình thức lừa đảo liên quan đến quyền phê duyệt. Khi bạn cấp phép cho DApp di chuyển token của mình, bạn đang ký một thỏa thuận nào đó. Nhưng nếu bạn không để ý đến số lượng, có thể là quyền truy cập không giới hạn. Và khi đó, kẻ lừa đảo có thể rút token của bạn vô hạn, sử dụng các chức năng như transferFrom(). Điều này cho thấy DApp có thể che giấu việc liên tục rút tiền của bạn.

Tệ hơn nữa là lừa đảo qua chữ ký. Có các phương pháp như Permit và Permit2, cho phép phê duyệt token chỉ bằng chữ ký, không cần giao dịch trên blockchain. Nghe có vẻ tiện lợi, nhưng các kẻ lừa đảo lợi dụng để che giấu các yêu cầu độc hại dưới dạng vô hại. Bạn ký, nghĩ rằng đó là chuyện vặt vãnh, rồi sau đó kẻ lừa đảo dùng chữ ký này để rút tiền về sau. Và bạn có thể không nhận ra trong một thời gian dài.

Ngoài ra còn có một hình thức nữa - các trang web "sửa lỗi blockchain" giả mạo. Chúng giả vờ giúp sửa lỗi ví hoặc các vấn đề về giá trượt, nhưng thực chất chúng yêu cầu bạn cung cấp seed phrase hoặc khóa riêng tư. Nếu bạn nhập vào, ví của bạn sẽ bị trống trong giây lát. Không ai bao giờ yêu cầu điều đó từ bạn.

Làm thế nào để tự bảo vệ mình? Thứ nhất - đừng bao giờ ký hoặc phê duyệt mà chưa kiểm tra rõ ràng. Luôn cấp quyền tối thiểu cần thiết, chứ không phải quyền truy cập không giới hạn. Tôi thường xuyên vào ví của mình và thu hồi các quyền đã cấp mà tôi không còn cần nữa - đó là thói quen giúp bảo vệ tiền của bạn.

Thứ hai - sử dụng ví có chức năng mô phỏng. Nó cho phép bạn xem trước những gì sẽ xảy ra trước khi giao dịch được gửi vào blockchain. Rất hữu ích để phát hiện các địa chỉ đáng ngờ hoặc lỗi.

Thứ ba - luôn kiểm tra nguồn gốc. Các kẻ lừa đảo tạo ra các trang web giả mạo, thay đổi một chữ cái trong tên miền - điều này rất khó nhận biết. Tốt nhất là nhập URL thủ công hoặc lấy liên kết từ trang chính thức của dự án. Và tránh các quảng cáo tìm kiếm - thường là các trang phishing.

Thứ tư - thực hiện DYOR trước khi tương tác với DApp. Kiểm tra xem dự án đã qua kiểm toán chưa, ai đứng sau, có cộng đồng hoạt động không. Các đội nhóm ẩn danh hoặc thiếu hoạt động là dấu hiệu cảnh báo.

Và quan trọng nhất - nếu điều gì đó có vẻ đáng ngờ, hãy dừng lại. Đừng vội vàng. Web3 thưởng cho những ai cẩn trọng. Với những thói quen đúng đắn, bạn có thể yên tâm khám phá không gian DApps mà không phải lo lắng về tài sản của mình. Kiến thức là tuyến phòng thủ đầu tiên, vì vậy hãy học hỏi, cập nhật các thủ đoạn lừa đảo mới nhất, và bạn sẽ an toàn.