Kiến Thức - Về Các Vụ Hack Metamask Gần đây. - VOZ

Trang chủ » Ví Metamask Có Bị Hack Không » Kiến Thức - Về Các Vụ Hack Metamask Gần đây. - VOZ

Có thể bạn quan tâm

VOZ
  • Forums New posts
  • Latests Featured content New posts New profile posts Latest activity
  • pik.vn
Log in Register What's new
  • New posts
Menu Log in Register Install the app Install How to install the app on iOS

Follow along with the video below to see how to install our site as a web app on your home screen.

Note: This feature may not be available in some browsers.

  • Forums
  • Học tập & Sự nghiệp
  • Tiền điện tử
You are using an out of date browser. It may not display this or other websites correctly.You should upgrade or use an alternative browser. kiến thứcVề các vụ Hack Metamask gần đây.
  • Thread starter Thread starter tenoroboebaroque
  • Start date Start date Nov 24, 2021
tenoroboebaroque

tenoroboebaroque

Senior Member
Chào các thím, lời đầu tiên em xin phép không dám múa rìu qua mắt thợ ạ. Em từng có thời gian làm Dev nên cũng biết xíu xiu nên muốn lập thớt chia sẻ với anh em về Crypto, bàn luận linh tinh gì cũng được, lỡ có cao nhân rồi thì lướt qua rảnh thì đọc cho vui hem không thì thôi đừng gạch em nghen. :byebye: -- Như các thím biết thì Metamask là 1 trong những Extension thuở sơ khai khi Ethereum ra đời, độ nổi tiếng của nó thì khỏi phải bàn cãi rồi, chính vì thế sau này lại ra thêm App trên Mobile nữa và sắp tới đây có khả năng ra thêm Token ăn theo... Đúng là thời thế thay đổi, rồi ai cũng phải Mint Coin kêu gọi vốn thôi. :haha: -- Dạo gần đây thấy mấy Group như Coin98 hay các Group khác thấy có rất nhiều người bị Hack mà đa phần là do dùng Metamask, vậy nguyên nhân là do đâu? Trước hết, chính vì Metamask là 1 trong những cây đại thụ nên số người dùng của nó sẽ có thể là chiếm nhiều nhất, bên cạnh Trust hay C98 thi thoảng cũng có vài vụ Hack lẻ tẻ nhưng vô hình trung lại làm cho mọi người tưởng Metamask bảo mật rất kém, dễ bị Hack. Điều này thì có thể liên tưởng đến câu chuyện khi những con số thống kê biết lừa ở đây. :beat_brick: -- Bên cạnh đó còn rất nhiều thánh phán chê Android bảo mật kém vì toàn thấy bị Hack trên Android, ít thấy trên IOS, sao không mua Ledger về mà dùng... Mấy cái này theo góc độ kỹ thuật đều là phán bừa không có cơ sở nốt. Em sẽ chia làm 2 phần chính: :sad: Phần 1: Cách Hacker Hack qua Contract. + 99.69% các trường hợp gần đây là bị dính phải Contract đểu, Contract lừa, Contract ảo ma Lazada Nobita làm nhòe Mascara của Shizuka. -- Như các thím đã biết thì thông thường Transaction (Tx) ở nền tảng Ethereum (BSC, Tomo, Matic,... tuy là nhiều mạng khác nhau nhưng nền tảng gốc cũng là Ethereum thôi), sẽ có 2 loại Transfer chính là ETH và Token, Transfer ETH thì Value chính là số ETH, còn Tx Transfer Token sẽ có số ETH Value là 0. Đối với Ethereum thì hiện tại theo em được biết thì chưa có cách Hack qua Contract như các trường hợp gần đây vì bản thân UI của Metamask không cho phép các thím đồng thời Call và gửi ETH cho Contract trong 1 Tx. :beat_brick: -- Và em xin lưu ý là gửi ETH vào Contract nếu Contract không Support - 99.69% các Contract cũ như USDT, BUSD... đa phần không Support nên để yên tâm nhất thì các thím đừng bao giờ gửi ETH vào Contract, hành động này không thể đảo ngược và sẽ dẫn đến kết quả trắng dái nên các thím phải cực kỳ lưu ý điều này. 123.png Chỉ còn trường hợp điển hình là Transfer Token. Đa phần (~99%) một Contract khi được Public và đạt đến một độ nổi tiếng nhất định như USDT, BUSD,... thì sẽ đều thiết kế Contract dựa trên một chuẩn chung ERC20. Trong ERC20 này quy định rõ ràng rằng khi Contract muốn sử dụng Asset của Address Call lên Contract này thì phải được Address đó Approve trước. Tức là trước khi bị Hack, các thím sẽ phải Approve qua 1 Legit Contract cho phép Contract Hack sử dụng số tài sản của Contract đó, hơi khó hiểu nhưng có thể hình dung như này: Addres của thím là 0xabc đang có $1000 USDT với Legit Contract USDT là 0xqwe. 1 Contract đang muốn Hack của thím $1000 USDT có địa chỉ là 0x123 thì nó sẽ phải bắt thím Approve cho nó với cú pháp From 0xabc To 0xqwe Approve 0x123 Spend Maximum XXX Amount of 0xabc. Minh họa 1 Tx Approve: https://bscscan.com/tx/0x0eb45dd830f9a32a8709986b5caf2e87db373edf1de32f22227246e8e58bcc19 Các thím có thể thấy Transaction này có Value là 0 với Input Data: 1637754331992.png Đối với Etherscan/Bscscan thì đã họ đọc ra sẵn cái Function Approve rồi, để hiểu tại sao có được cái Function Approve này các thím View Input As Original để coi Raw Data: 1637754387936.png 0x095ea7b3000000000000000000000000e0b473c0dd6d7fea5b395c3ce7ffd4fef0ab43730000000000000000000000000000000000000001027e72f1f128130880000000 Phân tích xí, 0x095ea7b3 (10 ký tự đầu) là mã hoá Function Approve của Legit Contract 0x0e09fabb73bd3ade0a17ecc321fd13a19e81ce82 - từ giờ nó cũng sẽ là Function Approve của tất cả các Legit Contract sau này luôn nhá, vì ERC20 đã quy định như vậy rồi. Cứ 10 ký tự đầu là tên Function được mã hoá và 0x095ea7b3 là Function Approve, các thím chỉ cần nhớ vậy thôi là được. :shame: 000000000000000000000000e0b473c0dd6d7fea5b395c3ce7ffd4fef0ab4373: Này là cho phép Contract có thể là Hacker địa chỉ 0xe0b473c0dd6d7fea5b395c3ce7ffd4fef0ab4373 (bỏ mấy số 0 trước đi, kiểu 000456 thì vẫn = 456 thôi, nó mã hóa thêm 0 cho đủ chiều dài 64 ký tự ấy mà), có thể Spend một số tiền. 0000000000000000000000000000000000000001027e72f1f128130880000000: Này là số Amount tối đa Contract Hack có thể Spend của thím dưới dạng Hex (hệ cơ số 16), cũng bỏ mấy số 0 ở đằng trước đi rồi Convert qua Decimal (hệ cơ số 10) sẽ được 80000000000000000000000000000. Tiếp theo, đối chiếu lại với số Decimal của Token Contract: https://bscscan.com/token/0x0e09fabb73bd3ade0a17ecc321fd13a19e81ce82 1637768912377.png Với Decimal = 18 thì số Decimal ban đầu sẽ chia cho 10^18 nữa sẽ thành 80000000000 CAKE, nghĩa là các thím cho phép Contract có thể chuyển Maximum 80000000000 CAKE từ Address của mình. :burn_joss_stick: Dĩ nhiên sau khi ủy quyền cho Tx này thì em xin khẳng định là chưa có vấn đề gì xảy ra cả, mới chỉ 1/2 bước các thím có thể bị Hack. Nên tất cả những ai mà nói Approve thôi đã bị Hack hoàn toàn là xạo chó hết nha :beat_brick:. Sau Transaction này, nếu các thím Sign/Confirm thêm 1 Tx nào đó tới địa chỉ Contract các thím vừa Approve 0xe0b473c0dd6d7fea5b395c3ce7ffd4fef0ab4373 thì sẽ có thể bị Hack - nhắc lại là Tx sau Tx Approve mới có khả năng bị Hack! Rất rõ ràng, các thím đã ủy quyền lần 1 cho Hacker có thể sử dụng tối đa bao nhiêu, lần 2 là nếu Sign tiếp có nghĩa là cho phép Hacker sử dụng số tiền ở Tx Approve trên. Khi rơi vào trường hợp này mà lỡ nhấn Confirm thay vì Reject thì ví ông trời cũng không tể cứu được chứ không riêng gì Metamask, Trust, hay thậm chí là Ledger... :surrender: Tất nhiên, bằng 1 cách nào đó, Contract này đã dụ các thím Sign thêm 1 Tx nữa sau Tx Approve bằng những lời hứa hẹn đường mật và bùm các thím đã trắng tay. https://bscscan.com/tx/0xcbe341ee22c9fe78f677f28ac204ce4c8ad84af701c6812126840857d8c0e425 1637754668750.png Đầu tiên có thể thấy là Contract có thể là Hacker đã chuyển tiền của chúng ta đến chính nó 0xe0b473c0dd6d7fea5b395c3ce7ffd4fef0ab4373 tương ứng với Event 108 ở Logs. Bước tiếp theo Hacker có thực hiện lời hứa hẹn ban đầu của mình không thì có trời mời biết… Thực ra muốn biết hay không thì phải phân tích Contract này sau khi chuyển thì nó sẽ làm những gì nữa, có cơ hội nào lấy lại được không? Cái này thì phải mất nhiều thời gian các thím tìm hiểu thêm mới biết được, nó là Code Solidity nếu các thím muốn tìm hiểu, thời đại 4.0 mà, nhà nhà IT người người IT thôi. :sure: -> Đại khái là các thím hiểu đa phần Contract sẽ là 1 thứ đã được Hard Code sẵn và chỉ Apply theo Code đã Define theo kiểu Input = 1 thì Output sẽ là 2 và nó cứ như vậy hoài cho đến khi Contract tự huỷ - này cũng tuỳ thuộc vào Contract có thiết kế để được tự huỷ hay không, nói chung nó là khá là đi sâu vào kỹ thuật nếu kể chi tiết hơn. Các thím chỉ cần lưu ý là chỉ gửi Token cho Contract khi đã xác minh được Contract này là Valid vì không ai biết sau khi gửi Token vào Contract thì nó sẽ làm gì tiếp theo - cái này đỏi phải có kiến thức về Contract mới phân tích được :adore:. Ngoài ra nó còn có 1 loại Contract có thể Upgrade được giữa chừng gọi là Proxy Contract, cái này thì các thím phải tự Validate Contract đó Valid thôi, còn sợ nữa thì đừng chơi với Proxy Contract, cách nhận biết Proxy Contract (đúng khoảng 90% em sẽ đề cập phần lưu ý dưới). :burn_joss_stick: Trở lại Contract ở trên, đây là 1 Contract Stake CAKE, và may mắn cho em là Contract Stake CAKE này Legit, nó còn làm rất nhiều bước ở sau đó nữa và có cam kết sẽ trả lại số CAKE của em vừa rồi, nhưng nếu đây là 1 Contract Hack thì xin chia buồn, số CAKE của các thím đã một đi không bao giờ trở lại. :too_sad: Tổng kết cho trường hợp bị Hack bởi Contract này: Approve không thôi thì không thể bị Hack, Txsau Approve mới có thể bị Hack, hãy tự chịu trách nhiệm khi bấm Confirm Tx sau Approve thay vì đổ lỗi linh ta linh tinh. :sure: Vậy đã lỡ Approve rồi thì làm thế nào để Revoke không? 1 là cứ bơ nó luôn, Reject tất cả các Transaction tiếp theo có địa chỉ To là Contract mà các thím nghi ngờ Scam, còn chần chừ gì nữa mà không bấm Reject? Nhớ đừng lộn nút Reject với Confirm nha. :shame: 1637754918046.png 2 là các thím có thể vào 1 số trang nổi tiếng Valid trên mạng để Revoke ví dụ https://allowance.beefy.finance/, mở View Transction lên coi cái Raw Data các thím phải là 0x095ea7b3... (10 ký tự đầu) với số Amount 64 ký tự cuối là 0 nha, đặc biệt là phải Check thêm địa chỉ tới (To Address) là Valid Contract của Token mình đang có, bọn Hacker nó có thể lừa thím Call Approve nhưng là Approve với To Address là địa chỉ của Contract Hack thay vì là Legit Contract - cái này nó chỉ đơn giản là không tuân theo chuẩn ERC20, tên là Approve nhưng lại là Hack của các thím thôi, Contract Hack thì quan tâm mẹ gì chuẩn chiếc, miễn Hack được là ngon trym. :sure: 1637755094567.png Logic của mấy trang Revoke thực ra nó cũng chỉ là quét các Tx Approve của thím và cho gọi lại Approve nhưng lần này Override lại số cho Approve là 0 thôi. Chống chỉ định với các thím sợ giao tiếp với Contract lạ hay sợ trang Revoke này có khả năng Scam thì cũng kệ nó luôn đi, sau Approve mà Contract kia - nhớ phải Check kỹ từ To Address phải là địa chỉ của Valid Contract, Function Approve (10 ký từ đầu) 0x095ea7b3 và Amount là 64 số 0 một lần nữa. Để an toàn thì các thím có thể Commpare địa chỉ To Address với Tx Approve phải lúc nãy phải chung địa chỉ là yên tâm. Còn thím nào vẫn sợ thì kiếm trang Revoke uy tín mà Revoke, cá nhân em thì Tx Revoke sẽ mất Transaction Fee nên như em thì cứ kệ mẹ nó luôn. Crypto cứ nên cẩn thận vào, sơ sẩy là tí mất tiền, trắng dái ngay. :haha: -- //Có 1 lưu ý này các thím nên để ý đó là trước khi cho Contract nào đó Approve hay thao tác gì thì các thím hãy Copy cái To Address là địa ch Contract đó lên trên Etherscan hoặc Bscscan và Check vào mục Contract Code xem coi đã được Contract này đã được Verify & Publish chưa: https://rinkeby.etherscan.io/address/0xf25f787eb5956d510e64c0a2798d5a446bf90ba2#code 1637755147833.png Nó viết cái khỉ gió thế này thì bố ai biết? :burn_joss_stick: Đây là 1 Contract chưa được Verify & Publish, thông thường những Contract như này nên tuyệt đối tránh xa vì nguy cơ tiềm ẩn cực kỳ cao. Trừ khi các thím đã Verify được Contract này là Legit từ nhiều nguồn tin cậy thì mới dám chơi còn như em là vác dái chạy liền. :byebye: Còn đây là 1 Contract có vẻ Legit hơn, ít ra chơi với loại này trứng dái đỡ đánh lô tô hơn (thực ra nó là Contract USDT của Tether và là Legit thật :shame:). Nếu là Proxy Contract thì các thím có thể xem trong Contract Source Code có từ khoá là Proxy, cũng là chuẩn chung thôi, thường mấy thằng mà làm ăn đàng hoàng thì sẽ theo chuẩn nên có thể khá là chắc kèo tới trên 90%. https://etherscan.io/address/0xdac17f958d2ee523a2206206994597c13d831ec7#code 1637755184314.png Ít ra là có tiếng người có thể đọc, rõ ràng là Legit hơn đống hổ lốn trên. :byebye: -- Tóm tắt: Đa phần người dùng bị Hack dạo gần đây là bị Hack từ Contract do thiếu hiểu biết cơ chế về Contract. Hacker muốn Hack được từ Contract phải gồm 2 bước:
  • Bước 1 dụ người dùng Approve cho phép Hacker có quyền sử dụng tài sản (Token) trên Valid Contract của Token đó.
  • Bước 2 dụ người dùng tạo thêm 1 Transaciton (Tx) với To Address là địa chỉ của Contract Hack sau khi đã Approve Tx trên.
-> Nếu chỉ có bước 1 thì không thể nào Hack được, ai bảo mới chỉ Approve mà bị Hack đều là bố láo. -> Có cách để Undo bước 1 hoặc đơn giản nhất là bơ luôn - Reject mỗi khi được yêu cầu Confirm từ Metamask với To là Contract đang nghi vấn. Muốn Revoke thì phải tìm những trang Revoke uy tín và Valid, trước khi Revoke phải Check kỹ lại To Address có phải là địa chỉ của Contract Valid không hay Fake Contract đang cố tình lừa mình bằng cách so sánh lại địa chỉ To Address của Tx Approve ban đầu phải giống nhau. Bên cạnh đó nên View Full Transaction để Check lại Raw Data trước khi Confirm, 10 ký tự đầu của Data sẽ phải luôn là 0x095ea7b3 (Valid Function cho mọi trường hợp)... và chuỗi 64 ký tự cuối cùng phải là 64 số 0 liền nhau. -> Nên Check Verify & Publish Contract trước khi có ý định tương tác bằng cách vào Etherscan/Bscscan phần Contract Code, nếu đã Verify & Publish thì có thể đọc được, còn chưa thì sẽ là 1 chuỗi Hex rất khó hiểu. Với những Contract chưa Verify & Publish nên hạn chế đến mức tối đa khi giao tiếp với những Contract này trừ khi khẳng định được từ nhiều nguồn Contract là Valid, theo ý của em là chưa Publish & Verify thì tốt nhất cứ nên tránh xa là tốt nhất bởi nếu nếu nó muốn làm Valid Project/Contract thì điều đầu tiên nó phải làm là Verify & Publish sau khi tạo ra Contract đó. :haha: -> 1 Contract đã được Verify & Publish thì vẫn không thể khẳng định nó sẽ không phải Contract của Hacker. Nhưng nếu chưa Verify thì nên tuyệt đối tránh xa cho chắc cú. Verify đơn giản là cho người khác đọc được nội dung Contract này là gì, phải xác minh được Contract là Valid thì mới giao dịch, mọi sai lầm đều phải trả giá bằng tiền mặt. :burn_joss_stick:

Attachments

  • 1637810534018.png 1637810534018.png 428.5 KB · Views: 308
Last edited: Nov 25, 2021 tenoroboebaroque

tenoroboebaroque

Senior Member
Phần 2: Cách Hacker làm người dùng lộ Mnemonic Words/Private Key. Phần này thì em cũng không đủ nhiều kiến thức để giải thích nên em cũng chỉ dám giải thích theo hiểu biết của mình, sẽ có hơi hướng kỹ thuật một tí nên mong các thím nhẹ tay gạch đá... :beat_brick: Bản chất của 1 Address Ethereum hay bất kỳ mã Crypto nào khác thì chỉ cần đơn giản là lấy 1 số Big Integer (số nguyên dương vô cùng lớn) ngẫu nhiên đủ lớn là tạo ra được thôi, không có gì phức tạp cả. :shame: Ví dụ em chọn số này: 0xcda642f2afa3437fc27d447a005513d26fdc1099cff7a4446dd5d8bfdd957a33 Format là dưới dạng Hex, đổi ra Big Integer nó sẽ là: 93017892630385616862425178192612971157982865000821552970449133620936068921907 Đây chính là Private Key (PK) của em, từ PK này em sẽ Generate ra được 1 Public Key (PuK) là 0x0263a6140ba7452aa73f855456c68abfc1c2f11c455a3a4177e2d09bfa86097ac4 Đơn giản là bằng toán và mật mã học là Generate ra được thôi không có gì khó khăn cả, nó kiểu như Pytago đã chứng mình tam giác vuông có cạnh huyền bình phương bằng tổng bình phương của 2 cạnh còn lại vậy thì mình cứ đem vào mà Apply, thím nào thích thì có thể tìm hiểu thêm rồi tự chứng minh. :beat_brick: Từ PuK này lại Generate ra Address tiếp bằng mật mã học ta sẽ được Address cuối cùng là 0xE1bCe6475F3db1694AEf798dd39C9df7C2E0A043, chữ hoa thường gì như nhau nha, Format cho đẹp thui. :shame: -- Vâng, Address của Crypto nó là chuỗi ngẫu nhiên được Generate từ PuK như vậy, chính vì thế mà ai cũng Random cả nhưng mà xác suất trùng lại rất rất nhỏ, hầu như không có. Bên cạnh đó thì quan hệ từ PK và PuK là quan hệ 1 chiều, tức là chỉ có thể Generate PuK từ PK mà không làm ngược lại, Crypto mượn toán và mật mã học để làm cái này. Nhưng cũng chính vì nhìn cái chuỗi PK nó... ngẫu nhiên quá nên không ai nhớ được, lỡ mất quên hoặc mất PK cái là cứ* cũng không còn mà ăn, chính vì thế người ta mới đẻ ra cái gọi là Mnemonic Words (từ gợi nhớ) mà Metamask đang xài. :byebye: -- Mnemonic Words đơn giản là 1 chuỗi từ gồm n từ (n thường gặp nhất là 12-24), tiếng nào cũng được không nhất thiết phải là tiếng Anh, miễn là bỏ dấu Unicode đi. Nhưng trải qua nhiều lần nâng cấp chán chê cũng như tiếng Anh là ngôn ngữ phổ biến hơn cả thì người ta chốt lấy Mnemonic Words đa phần từ tiếng Anh, và một số thư viện Open Source nổi tiếng cũng Random Generate Mnemonic Words từ 1 bộ từ điển tiếng Anh (các thím chọn qwertyzxcvbn cũng được, vẫn tạo được PK và Address nhưng không ai chọn cái này cả vì dễ bị Brute Force, mà mất PK đồng nghĩa là mất sạch tiền trong Address :burn_joss_stick: ). -- Về Logic thì cũng không có gì phức tạp, thím nào không quan tâm lắm có thể bỏ qua, ví dụ đơn giản em lấy ngẫu nhiên những từ này: wash panic genius employ tree kit turn gesture base menu honey pilot Chuỗi Mnemonic Words này bằng mật mã học sử dụng PBKDF2 sẽ Generate ra được Seed là dd3eee8abe360001cc30c4baafbbde383bd373621001255fabafb23138bb332ca41a306d1c54a4f8405156ce29253a4fad199355b866c63c2c3f2b02b43dc3cf 1637755874718.png Đây cũng chính là Mnemonic Words được mã hoá và có thể xem như là Mnemonic Words Backup/Seed Backup nếu các thím mất Mnemonic Words, tuy nhiên từ Seed không thể Generate ngược về chuỗi Mnemonic Words ban đầu nhé. Bản chất là Crypto sẽ dùng Seed này để thao tác thay vì dùng Mnemonic Words, nhập Mnemonic vào cuối cùng cũng chỉ là lấy cái Seed này ra thôi. :surrender: -- Dễ thấy nhất là bị Hack ở Mnemonic Words ở trường hợp tạo Mnemonic Words quá dễ đoán dẫn tới Brute Force và các trang tạo Random Mnemonic Words không chính thống. An toàn nhất là Download Electrum https://electrum.org/#download cho Bitcoin hoặc Metamask cho Ethereum và chạy Offline. Hoặc có 1 trang Online này theo chủ ý em là cũng tham khảo được - ý kiến của em thôi nha, ai liều thì dùng theo em chứ không chịu trách nhiệm đâu à: https://iancoleman.io/bip39/ :beat_brick: -- Tiếp theo từ chuỗi Mnemonic Words và Seed vừa rồi lấy thêm 1 Path ngẫu nhiên có thể Generate ra 1 PK ở trên theo 1 quy tắc đơn giản cũng theo... mật mã học nốt, đây cũng là con đường 1 chiều, từ Seed + Random Path sẽ tạo được 1 PK tương ứng với 1 Address. Lưu ý là Path này có thể lấy ngẫu nhiên nhưng bên Metamask thì không lấy ngẫu nhiên nên nếu bị Hack Mnemonic/Seed thì thôi, các thím nói lời tạm biệt với đống Address còn lại trên Metamask luôn nhá. :haha: 1637755832897.png Tóm tắt: Nếu bị Hack 1 Private Key thôi (Metamask -> Export Private Key) thì các Address còn lại trong Metamask vẫn an toàn. Nếu bị Hack Mnemonic Words/Seed/Passphrase... (gọi chung là Mnemonic cho gọn :burn_joss_stick: ) - chuỗi 12 từ thì sẽ có thể bị Hack hết vì rất dễ dàng để quét các Address tiếp theo được tạo ra từ chuỗi 12 từ trên. 1 chuỗi Mnemonic theo lý thuyết khi + với các Random Path có thể tạo được rất rất nhiều Address khác nhau. Chính vì số lượng Address rất lớn nên không thể trách Metamask phải dùng 1 thuật toán đơn giản thay vì ngẫu nhiên để tạo ra Path và Address được, Metamask sẽ tạo các Path tăng dần theo kiểu 1, 2, 3,... tương ứng với số Address các thím muốn xài để sau này phục hồi các Address cho dễ. Bởi nếu lấy ngẫu nhiên Path thì ngoài nhớ Mnemonic ra thì người dùng phải ghi nhớ thêm Path thì mới lấy đúng Address tương ứng được, điều này cực kỳ bất tiện cho người nào muốn xài nhiều Address mà chỉ cần nhớ 1 chuỗi Mnemonic. Còn tới mức chơi lầy tạo 1 Address = 1 chuỗi Mnemonic thì... chịu, cái này em cũng chào thua, tuyệt đối an toàn nhưng mệt não. :shame: Chuyện làm sao các thím để lộ Mnemonic hay PK thì cái này các thím phải tự nhận thức được rằng mất Mnemonic/PK là mất tất cả không thể đảo ngược và phải tuyệt đối cẩn thận. Thiết bị có nhiều Crypto thì nên hạn chế cài thêm gì không rõ nguồn gốc, vì xét cho cùng Metamask hay Trust hay cái gì đi nữa thì nó cũng chỉ lưu giữ Key (Mnemonic + PK) trên thiết bị của chính các thím và được mã hoá (Encrypt) lại bởi 1 Password (nên đặt Password càng khoẻ càng tốt). Nếu Hacker có thể chiếm quyền kiểm soát máy tính của các thím thì sẽ dễ dàng tìm được chỗ của Encrypted Key trên, và xui xẻo nữa là Password để Encrypt của thím cũng bị lộ nốt thì ôi thôi không còn gì có thể đen hơn, mà một khi để nó Hack được vào máy rồi thì sớm muộn nó cũng tìm cách Hack được Password thôi, bằng Key Logger hay Brute Force chẳng hạn :beat_brick:. Ví dụ đơn giản nhất 1 thằng bạn nào của các thím làm liều mượn máy có cài Metamask, tuy không biết Password nhưng nó vẫn có thể Copy Encrypted Key của thím về và tìm cách bẻ khoá Password đó, nếu Password không đủ mạnh thì chuyện các thím mất tiền sẽ là điều sớm muộn. :sure: -> Tốt nhất là không Public PK hay Mnemonic lên bất kỳ nơi nào hay cho bố con thằng nào cả, tiền của mình mình chịu trách nhiệm. Ngoài ra các thím cũng nên tránh những phần mềm/Extension không rõ nguồn gốc, hạn chế coi Xiếc xong bị dụ vào mấy Link bậy bạ Download nhầm Virus về - nên coi mấy trang Valid tí nha, không thì tìm mấy Group trên Telegram coi cũng được - ai có Group nào ngon nghẻ nhớ Share em với :too_sexy:. Phải Validate kỹ càng trước khi cài bất cứ thứ gì vào máy hoặc khi nhập PK/Mnemonic vào bất kỳ đâu, Metamask vẫn được coi là tuyệt đối an toàn nếu các thím hiểu nó. Sợ nữa thì cài Metamask vào 1 máy Offline nếu Hold lâu dài, khi nào cần giao dịch mới kết nối Internet. Phần này cũng khó nên phải nói hơi nhiều về kỹ thuật... Còn nếu có lỗ hổng thì thiết bị nào cũng có thể bị Hack từ Android hay IOS hay cả Windows PC, Ubuntu PC,... chứ không phải do Extension/App đang giữ Key của các thím Security kém. Và em xin mạnh mồm tổng kết rằng rất ít người bị Hack bởi thiết bị, đa phần toàn do bị Hack từ thiếu cẩn thận Confirm Transaction ở phần 1 lung tung thôi. Nhưng các thím cũng nên cảnh giác, hạn chế Download/Install linh ta linh tinh, càng hạn chết kết nối Internet thì càng khó bị Hack như Ledger (ví lạnh rời) ấy. Sơ sơ vậy thôi, nếu có thắc mắc gì thì các thím cứ hỏi em sẵn lòng giải đáp, chào thân ái. :shame: Last edited: Nov 25, 2021 balobui

balobui

Senior Member
Hay, tuy nhiều thứ không hiểu nhưng đọc đã, ngẫm từ từ. Tuyên dương bác. tuandao2061996

tuandao2061996

Senior Member
Bài viết của thớt thật sự công phu, tỉ mỉ, ngắn gọn xúc tích, rất dễ hiểu đối với các tay to chứ với mình thì như bò đọc báo :D phải tìm hiểu thêm hoặc mong bác thêm phần chú thích của 1 số từ lạ lạ thì tốt quá Sent from 2019 via nextVOZ nick12345678

nick12345678

Member
Đọc xong chả hiểu gì cả :too_sad: via theNEXTvoz for iPhone Mr...XXX

Mr...XXX

Senior Member
like vì tâm của bác, nhưng k hiểu/Nếu có thể bác tóm tắt lại cho dễ hiểu yBBewst.png tenoroboebaroque

tenoroboebaroque

Senior Member
Sorry các thím em đã cố gắng viết đơn giản nhất có thể rồi, các thím không hiểu phần nào thì Quote lại hộ, em sẽ đọc kỹ lại và giải thích đầy đủ hơn ạ. :too_sad:. Thực ra nếu càng hiểu hơn thì các thím càng khó bị Hack nên em đã thêm phần tóm tắt phía dưới ạ. :beat_brick: Last edited: Nov 24, 2021 nick12345678

nick12345678

Member
tenoroboebaroque said: Sorry các thím em đã cố gắng viết đơn giản nhất có thể rồi, các thím không hiểu phần nào thì Quote lại hộ, em sẽ đọc kỹ lại và giải thích đầy đủ hơn ạ. :too_sad:. Thực ra nếu càng hiểu hơn thì các thím càng khó bị Hack nên em đã thêm phần tóm tắt phía dưới ạ. :beat_brick: Click to expand...
Đơn giản là dùng điện thoại với máy tính thì cái nào dễ hack hơn thế via theNEXTvoz for iPhone tenoroboebaroque

tenoroboebaroque

Senior Member
nick12345678 said: Đơn giản là dùng điện thoại với máy tính thì cái nào dễ hack hơn thế via theNEXTvoz for iPhone Click to expand...
Nó không thuộc nhiều về thiết bị, mà là phụ thuộc vào thím có hay táy máy bị Hacker lừa hứa lọ chai này nọ ngon nghẻ rồi Confirm Transaction mà không nhận thức được thôi. Còn nếu có lỗ hổng thì thiết bị nào cũng có thể bị Hack từ Android hay IOS hay cả Windows PC, Ubuntu PC,... chứ không phải do Extension/App đang giữ Key của thím Security kém. Và thông thường ít ai bị Hack bởi thiết bị lắm, đa phần toàn do bị Hack từ thiếu cẩn thận Confirm Transaction lung tung thôi. Còn sợ bị Hack thiết bị (cũng có nhưng ít xảy ra cực kỳ) thì thiết bị nào giữ Crypto nên hạn chế Download/Install linh ta linh tinh là được), càng hạn chết kết nối Internet thì càng khó bị Hack. :beat_brick: nguyenluc900

nguyenluc900

Member
Đến giờ vẫn chưa hiểu tại sao mấy bố lại đi revoke contract pancake. Nhiều bố thấy token scam rồi hoặc không swap token đó nữa nên revoke. tomdapchai

tomdapchai

Senior Member
hiểu sơ sơ, tks thím đã cất công soạn bài :p Sent from Samsung J7 Prime using vozFApp H

Hovi00

Senior Member
https://www.facebook.com/4n6ist/posts/3476768829131150 gửi chủ thớt 1 cách khác, cũng như là cách nhiều ng bị nhất. Hy vọng ae cẩn thận hơn Vin Overclockers Zone

Vin Overclockers Zone

Senior Member
Em mới bị hack BNB hôm qua, may chỉ có mấy đồng :cry:, giờ em nên tạo ví khác hay sao bác, em đã disconnect với các trang lạ và nạp 1 ít bnb, thì chưa thấy có vấn đề gì tenoroboebaroque

tenoroboebaroque

Senior Member
Hovi00 said: https://www.facebook.com/4n6ist/posts/3476768829131150 gửi chủ thớt 1 cách khác, cũng như là cách nhiều ng bị nhất. Hy vọng ae cẩn thận hơn Click to expand...
Cái lấy Key được lưu trữ tại Local thì bên nào chả vậy chứ riêng gì Metamask đâu thím ơi, bất cứ Wallet nào chứa Key Offline thì đều được Encrypt lại bằng Password, và File Encrypt Key đó ở trong thiết bị thì Decrypt ra lúc nào chả được. :beat_brick: Thím phải nhận thức được máy nào chứa Key thì nên cẩn thận, còn nếu đã bị Hack thì từ Android Windows Ubuntu hay gì đi chăng nữa mà thiếu cẩn thận thì cũng mất như thường thôi. Còn em soạn bài lên chủ yếu cho các thím bị Hack bởi Contract là phần nhiều. Còn Hack bằng mã độc các thứ thì em không phải chuyên gia bảo mật nên không thể đưa ra lời khuyên hữu ích hơn ngoài khuyên các thím nên cẩn thận hơn được. :burn_joss_stick: //Bản thân 1 cái ví lạnh về Logic hay thuật toán nó cũng y chang Metamask, chẳng khác gì cả, chỉ có điều nếu xài ví lạnh thì cái ví lạnh đó ít kết nối Internet hơn máy tính thôi. Với quan điểm của em thì nếu cẩn thận không cần phải mua ví lạnh làm gì, tốn tiền. Em xài Ubundu song song với Windows, Ubuntu chứa Metamask và để làm việc. Windows thì chỉ xài Windows Update Blocker, Office thì xài WPS, không xài tí Crack nào cả, Chrome thì Extension cũng trong kiểm soát, Xiếc thì P***hub, V*XX, Telegram,... :sexy_girl:
Vin Overclockers Zone said: Em mới bị hack BNB hôm qua, may chỉ có mấy đồng :cry:, giờ em nên tạo ví khác hay sao bác, em đã disconnect với các trang lạ và nạp 1 ít bnb, thì chưa thấy có vấn đề gì Click to expand...
Thím đã khoanh vùng được lý do bị Hack chưa, nếu bị Hack BNB trên Main Chain BSC thì có khả năng máy thím bị Hacker dòm ngó rồi, kiếm máy khác tạo Address = Mnemonic Words mới thui. :burn_joss_stick: Last edited: Nov 27, 2021 Nhatduy254

Nhatduy254

Junior Member
7BF18EE5-FCAE-4409-8574-02DCF704C14F.jpeg Em thì vừa bị hack hôm nay, mà may bay mỗi tài khoản 3, hiện tại đã chuyển số còn lại qua ví mới, mà em có tìm hiểu sáng giờ mà vẩn chưa hiểu nguyên nhân bị hack, mọi người giúp e được khai sáng tránh lập lại sai lầm với ạ 🥲
Vin Overclockers Zone said: Em mới bị hack BNB hôm qua, may chỉ có mấy đồng :cry:, giờ em nên tạo ví khác hay sao bác, em đã disconnect với các trang lạ và nạp 1 ít bnb, thì chưa thấy có vấn đề gì Click to expand...
Vin Overclockers Zone

Vin Overclockers Zone

Senior Member
Nhatduy254 said: View attachment 942798 Em thì vừa bị hack hôm nay, mà may bay mỗi tài khoản 3, hiện tại đã chuyển số còn lại qua ví mới, mà em có tìm hiểu sáng giờ mà vẩn chưa hiểu nguyên nhân bị hack, mọi người giúp e được khai sáng tránh lập lại sai lầm với ạ 🥲 Click to expand...
Em vẫn chưa tìm được lối thoát, đang dùng ví khác, còn ví cũ nạp bnb vào để chuyển coin đi là bị nó đớp liền, chưa kịp làm gì =(( thaytu89

thaytu89

Senior Member
Thấy đợt gần đây có vụ bảo telegram auto download file, tải file lạ về máy xong hack hết private key của ví. Nghe nguy hiểm vãi. Minh Mẫn

Minh Mẫn

Senior Member
Các bác cho hỏi lưu trữ 12key ở Mega.nz hay Note của iphone(đã đặt pass cho note) thì có an toàn không ạ AkiraKay

AkiraKay

Senior Member
Minh Mẫn said: Các bác cho hỏi lưu trữ 12key ở Mega.nz hay Note của iphone(đã đặt pass cho note) thì có an toàn không ạ Click to expand...
Lưu ở giấy còn chả ăn ai nữa là lưu điện tử. Tuyệt đối không nên lưu seed ở các thiết bị điện tử có kết nối với internet ! Muốn lưu seed trên thiết bị điện tử thì nên chơi thêm "passphrase". Mnemonic seed + "passphrase" => dẫn xuất ra Private Keys và Public Keys. Sẽ an toàn hơn rất nhiều. 0388xx8888

0388xx8888

Senior Member
Mình lúc cài về viết key ra giấy xong xoá đi.Lúc nào cần lại down về điền key You must log in or register to reply here.

Similar threads

nhbin thảo luận Chia sẻ cách lấy lại SOL bị giữ do rent fee trong ví Solana
  • nhbin
  • Jan 24, 2026
  • Tiền điện tử
Replies 2 Views 198 Jan 31, 2026 nhbin nhbin P thảo luận Kèo MaxTask.net - Cày task lấy tiền nạp game/Momo cực tín (Đã rút gần 100k)
  • phin6666
  • Friday at 4:23 PM
  • Make Money Online
Replies 0 Views 501 Friday at 4:23 PM phin6666 P viper111222 thắc mắc Thuế từ hoạt động FX
  • viper111222
  • Feb 10, 2026
  • Tiền điện tử
Replies 0 Views 127 Feb 10, 2026 viper111222 viper111222 J kiến thức Top sàn giao dịch crypto an toàn nhất cho người mới bắt đầu
  • JonnyTeo
  • Jan 31, 2026
  • Tiền điện tử
Replies 3 Views 660 Feb 3, 2026 JonnyTeo J kukute125 Nhờ các bác tư vấn giúp em việc đất cát
  • kukute125
  • Sunday at 12:49 PM
  • Chuyện trò linh tinh™
Replies 9 Views 311 Sunday at 1:26 PM moonlit dream M Share: Facebook X Bluesky LinkedIn Reddit Pinterest WhatsApp Share Link

Thread statistics

Created tenoroboebaroque, Nov 24, 2021 Last reply from 0388xx8888, May 28, 2023 Replies 19 Views 9,522

Share this page

Facebook X Bluesky LinkedIn Reddit Pinterest WhatsApp Share Link
  • Forums
  • Học tập & Sự nghiệp
  • Tiền điện tử
Back Top

Từ khóa » Ví Metamask Có Bị Hack Không