Dữ liệu KYC là mục tiêu tấn công và rủi ro từ "tấn công bằng cờ lê" đang gia tăng

Tôi đã dành nhiều năm theo dõi thị trường crypto, và trong khi mọi người cứ mải mê với dòng tiền ETF hay việc Bitcoin có chạm trần thống trị 60% hay không, họ lại phớt lờ một xu hướng đáng sợ hơn nhiều. Chúng ta thường nói về "hack" như thể đó chỉ là mấy đứa nhóc ngồi trong hầm với một vài dòng code, nhưng thực tế có một khía cạnh vật lý mà ít ai quan tâm. Tôi đang nói về "tấn công bằng cờ lê" (wrench attack), nơi kẻ xấu chẳng cần bẻ khóa mã hóa làm gì vì chúng đã có sẵn một công cụ vật lý và địa chỉ nhà bạn. Nếu bạn đang tìm cách lưu trữ khóa riêng tư crypto an toàn, bạn phải nhận ra rằng lỗ hổng lớn nhất không phải là một lỗi trong hợp đồng thông minh, mà chính là dữ liệu KYC bạn đã giao cho mọi sàn giao dịch từng sử dụng. Trước đó, tôi đã viết về Quan điểm Crypto của Blanche để bạn có thêm bối cảnh.

Nguy hiểm từ dấu vết KYC

Hầu hết chúng ta coi xác minh danh tính (KYC) là một thủ tục hành chính nhàm chán. Bạn tải hộ chiếu lên, chụp một tấm ảnh selfie, rồi vào tài khoản. Nhưng theo kinh nghiệm của tôi, chúng ta thực chất đang tự xây dựng một cơ sở dữ liệu rò rỉ toàn cầu về việc ai đang sở hữu cái gì. Khi một sàn giao dịch bị hack, thứ bị lộ không chỉ là mật khẩu. Đó là họ tên, địa chỉ và số điện thoại.

Kết hợp điều này với dữ liệu on-chain, bạn sẽ có một bản đồ chi tiết. Nếu kẻ xấu có thể liên kết một ví giá trị cao với danh tính thực thông qua dữ liệu KYC bị rò rỉ, chúng không cần tìm lỗ hổng blockchain làm gì. Chúng chỉ cần tìm xem bạn sống ở đâu. Đó là lúc "tấn công bằng cờ lê" xuất hiện. Đây là hình thức hack nguyên thủy nhất: cưỡng đoạt vật lý. Bạn không đấu với bot; bạn đang đấu với kẻ biết bạn có tiền và biết bạn ngủ ở đâu. Với những anh em trader tại Việt Nam, nơi mà việc khoe lãi hay chia sẻ thông tin cá nhân trên mạng xã hội đôi khi quá thoải mái, rủi ro này lại càng cao hơn.

Tại sao cách lưu trữ khóa riêng tư an toàn không chỉ là chuyện phần mềm

Tôi từng thấy nhiều người dành hàng giờ tranh luận xem ví phần mềm nào bảo mật nhất, nhưng rồi lại lưu seed phrase trong một file text trên máy tính hoặc tệ hơn là chụp ảnh lưu trên cloud. Đó là một thảm họa chực chờ. Nhưng ngay cả một tờ giấy trong ngăn kéo bàn cũng là rủi ro nếu ai đó biết nó nằm ở đó.

Vấn đề là chúng ta bị điều hướng để nghĩ về bảo mật như một bức tường kỹ thuật số. Chúng ta quên mất rằng bức tường đó có cửa. Nếu bạn dùng sàn tập trung, bạn đang tin tưởng giao phó danh tính và tiền bạc cho họ. Nếu họ bị hack, danh tính của bạn trở thành ngọn hải đăng cho bất kỳ kẻ săn mồi nào. Đó là lý do tôi luôn thúc đẩy việc tự quản lý tài sản (self-custody).

Để thực sự bảo vệ mình, bạn cần một thiết bị ký hardware để giữ khóa offline. Cá nhân tôi thích Ledger Nano Gen5 nếu bạn muốn tiết kiệm vì nó mang công nghệ màn hình cảm ứng E Ink đến mức giá 99 USD. Việc có chip Secure Element (CC EAL6+) nghĩa là khóa riêng tư của bạn không bao giờ chạm vào internet. Nhưng thiết bị mới chỉ là một nửa trận chiến. Bảo mật thực sự nằm ở cách bạn xử lý seed phục hồi.

Những sai lầm phổ biến

Sai lầm lớn nhất tôi thấy là "diễn kịch bảo mật". Mọi người mua một chiếc ví xịn nhưng rồi lại lưu 24 từ khóa phục hồi ở nơi dễ bị phát hiện. Nếu tội phạm biết bạn sở hữu Ledger, chúng sẽ không cố hack thiết bị đó. Chúng sẽ tìm tờ giấy bạn giấu dưới nệm.

Tôi nhận thấy một xu hướng là mọi người nghĩ dùng VPN hoặc trình duyệt ẩn danh là đủ. Dù trước đây tôi đã đề cập đến việc rủi ro giao dịch P2P tại Anh tăng cao do các cuộc truy quét của chính phủ, nhưng mối đe dọa từ tội phạm có tổ chức lại khác. Chúng không tìm cách trốn thuế; chúng tìm một món hời.

Nếu muốn thực sự an toàn, bạn phải tách rời danh tính khỏi tài sản. Điều này nghĩa là hãy dùng các dịch vụ phi tập trung (non-custodial) khi có thể và cực kỳ khắt khe với thông tin cá nhân của mình.

Góc nhìn của tôi về hướng đi tiếp theo

Tôi không bảo bạn đừng bao giờ dùng sàn. Chúng tiện lợi, và với một số người, đó là cách duy nhất để bắt đầu. Nhưng để toàn bộ số tiền tiết kiệm cả đời trên một nền tảng yêu cầu quét hộ chiếu là một canh bạc. Bạn đang đặt cược rằng bảo mật của sàn tốt hơn động lực của một tên tội phạm tìm thấy địa chỉ nhà bạn trong một vụ rò rỉ dữ liệu.

Tôi nghĩ giải pháp thực sự duy nhất là kết hợp bảo mật phần cứng và sự bí mật tuyệt đối trong vận hành. Đừng kể cho ai biết bạn có bao nhiêu. Đừng đăng ảnh khoe lãi trên mạng xã hội. Và làm ơn, hãy đưa tài sản ra khỏi sàn và chuyển vào ví lạnh.

Nếu bạn đã chán ngấy cái vòng xoáy KYC và chỉ muốn hoán đổi tài sản mà không để lại dấu vết vĩnh viễn, tôi thấy StealthEX là một lựa chọn ổn. Đây là dịch vụ swap phi tập trung không yêu cầu đăng ký tài khoản hay KYC cho các giao dịch thông thường. Đó là cách đơn giản để giữ một chút riêng tư trong một thế giới đang cố gắng lập chỉ mục cho từng satoshi bạn sở hữu.

Giao dịch theo tin tức tại sàn giao dịch do đội ngũ biên tập lựa chọn: Gate