Những điều cần lưu ý để bảo vệ NFT của bạn

Năm ngoái là năm mà lĩnh vực NFT (Non-Fungible token) thực sự bùng nổ. Từ những công ty Blue Chip cho đến những người nổi tiếng đều thi nhau tham gia vào cộng đồng NFT mới nổi này. Mặc dù điều đó đã mang lại thanh khoản khổng lồ, cơ hội đầu tư và tiềm năng phát triển rộng lớn nhưng nó cũng trở thành “miền đất hứa” của những kẻ lừa đảo.

Do bản chất phi tập trung của thế giới NFT, người dùng sẽ dễ dàng trở thành nạn nhân của một số trò gian lận. Những kẻ lừa đảo đang trở nên tinh vi hơn và mỗi ngày lại xuất hiện những chiêu trò mới. Các nhà sưu tập cần phải thận trọng hơn bao giờ hết. 

Mục tiêu chính của những cuộc tấn công

Không gian NFT vẫn đang trong giai đoạn thử nghiệm.  Có một sự thật không thể phủ nhận đó là nó đã tạo ra hàng tỷ đô la Mỹ trong năm 2021. Tuy nhiên, không có một dịch vụ hỗ trợ nào có thể bảo vệ người dùng một cách toàn diện, thậm chí nạn nhân cũng không thể báo cáo tổn thất cho các đơn vị có thẩm quyền. Những yếu tố này đã khiến cho NFT trở thành một miếng mồi béo bở cho nhiều tên tội phạm.

Blue Chip NFT đang được coi là mục tiêu lớn nhất của chúng và đối tượng thường xuyên bị tấn công đó là Bored Ape Yacht Club (hiện có giá sàn là 96 ETH). 

Như vậy, một kẻ lừa đảo có thể kiếm được tới hàng trăm ngàn đô la Mỹ chỉ với một cú nhấp chuột. Chúng dễ dàng xâm nhập vào các cuộc trò chuyện để thao túng chủ sở hữu. 

Blockchain và NFT cung cấp quyền tự chủ, nhưng điều đó cũng có nghĩa là bạn phải tự chịu trách nhiệm về tài sản của mình, không có ngân hàng nào theo dõi hay bảo vệ cho bạn. Tìm hiểu nhiều kiểu lừa đảo khác nhau sẽ giúp bạn nhận biết để phòng tránh tốt hơn.

Các kiểu lừa đảo NFT thường gặp

NFT giả

Thông thường trong quá trình diễn ra những sự kiện drop NFT, các trang mạng xã hội lấy tên liên quan đến OpenSea xuất hiện nhiều vô kể, điều này có thể gây khó khăn cho việc xác minh đâu là kênh truyền thông của OpenSea thật. Với trào lưu FOMO và thời gian sự kiện diễn ra ngắn ngủi, nhiều nhà sưu tập đã bỏ qua bước kiểm tra nguồn gốc NFT được mint từ đâu.

Ngay sau đó, những bộ sưu tập không hợp lệ cùng các NFT này sẽ bị xóa khỏi OpenSea nhưng kẻ lừa đảo đã nắm trong tay số tiền của những người mua nhẹ dạ cả tin. Mới đây một sự việc tương tự đã với Punks Comic, nhiều người mất hàng trăm đô la Mỹ vì bị lừa mint NFT từ một trang OpenSea giả mạo.

Để phòng tránh những trường hợp tương tự, bạn nên:

• Không bao giờ nhấp vào các liên kết không thể kiểm chứng
• Kiểm tra kỹ liên kết tên miền, một trang web lừa đảo thường sẽ chỉ khác với tên miền thật một ký tự
• Xác minh lại liên kết mint NFT bằng cách truy cập Twitter hoặc Discord của bộ sưu tập chính thức trước khi tham gia

Airdrop giả

Vì NFT được lưu trữ trên blockchain nên địa chỉ ví của bạn là hoàn toàn công khai, bất cứ ai cũng có thể gửi NFT vào ví của bạn mà không cần hỏi như trong các sự kiện airdrop.

Những kẻ lừa đảo có thể sẽ gửi NFT vào ví của bạn nhằm mục đích tạo niềm tin và yêu cầu bạn cung cấp thông tin cá nhân cho chúng. Do đó tốt nhất là không tương tác với bất kỳ NFT mới nào trừ khi bạn đã xác minh nguồn gốc.

Mạo danh

Mạo danh có lẽ là trò lừa đảo độc hại nhất và nó có thể xuất hiện dưới nhiều hình thức khác nhau.

Gần đây, một số tài khoản Twitter đã cảnh báo về vụ việc có người mạo danh tài khoản của họ. Chiêu trò thường thấy nhất đó là các tài khoản giả mạo này sẽ ăn cắp một số thông tin được đăng tải trên mạng xã hội của các tài khoản nổi tiếng rồi tạo ra một bản sao gần như giống hệt, chỉ khác biệt một vài chi tiết mà người dùng thường không để ý, ví dụ như thêm một chữ s trong tên tài khoản: NFTs1nsight thay vì NFT1nsight. Sau đó, các tài khoản mạo danh này sẽ gửi DMs độc hại đến các nạn nhân tiềm năng.

Những trò gian lận như vậy ngày càng trở nên phổ biến, thậm chí một số tài khoản giả mạo còn thêm hàng ngàn người theo dõi để trông có vẻ thật hơn.

Các cách giúp bạn nhận biết và phòng tránh kiểu lừa đảo này đó là:

• Có nhiều người theo dõi không có nghĩa là tài khoản là tài khoản thật
• Luôn kiểm tra kỹ các Twitter kể cả những người đang theo dõi tài khoản đó 
• Nếu bạn xác minh đó là một tài khoản giả mạo, hãy báo cáo nó cho Twitter

Ngoài ra còn có các vụ mạo danh thương hiệu, tên tội phạm sẽ giả tạo một hồ sơ để lấy thông tin người dùng và tấn công tài khoản của họ, thường là trên Discord hoặc Twitter.

Link giả

Những trò gian lận xuất hiện đầy rẫy trên Discord, kẻ tấn công sẽ gửi các ưu đãi OpenSea không có thật đến địa chỉ email của người dùng cùng với một đường link giả mạo. Khi click vào liên kết này, chúng sẽ yêu cầu nạn nhân nhập địa chỉ ví và cụm từ seed phrase. Sau đó, chúng sẽ ăn cắp tất cả tài sản có trong ví.

Một trường hợp đáng để tham khảo: Vụ mạo danh Jenkins 

Gần đây, máy chủ Discord của dự án NFT nổi tiếng Jenkins the Valet đã bị tin tặc xâm nhập sau khi một người điều hành chia sẻ màn hình của anh ta. Các tin tặc đã mạo danh Jenkins, sau đó thả một liên kết mint NFT khiến cho nhiều thành viên tưởng là thật. Không chỉ tạo ra liên kết gần giống với trang web chính thức, các tin tặc còn tạo ra một thông báo để nói về sự kiện mint, cấm bất cứ ai đặt câu hỏi về tính xác thực của những gì đang xảy ra.

Thật không may, nhiều người đã trở thành nạn nhân và bị lừa đảo hàng chục ETH.

Sự việc đã xảy ra với kịch bản như sau: Những kẻ tấn công đã cáo buộc Jenkins là một kẻ lừa đảo thông qua Discord DMs. Trong một khoảnh khắc hoảng loạn và bối rối, anh đã cố gắng chứng minh mình vô tội bằng cách chia sẻ màn hình của mình, tạo cơ hội cho những kẻ lừa đảo hack Discord của anh ta và kiểm soát máy chủ.

Sau khi xảy ra sự cố đáng tiếc này, Jenkins đã bàn giao lại các quyền sở hữu, quyền kiểm soát nhằm ngăn chặn vụ việc tương tự. Nhóm Jenkins đã khởi động lại Discord từ trên xuống dưới, kiểm duyệt 24/7 thông qua các bot, tiến hành kiểm toán và bồi thường cho tất cả những người bị mất ETH trong vụ lừa đảo. Jenkins cũng đã tặng một Bored Ape Kennel Club NFT như một cách để thể hiện sự xin lỗi đối với cộng đồng.

Những điều cần lưu ý để bảo vệ NFT của bạn

Dưới đây những cách mà bạn có thể áp dụng bảo vệ tài sản một cách an toàn:

• Bạn phải kiểm tra kỹ lưỡng tất cả các liên kết trước khi nhấp vào chúng, không bao giờ nhấp vào các liên kết được gửi từ những nguồn không xác định
• Không bao giờ chia sẻ màn hình
• Trước khi bạn muốn minting bất cứ NFT nào, hãy kiểm tra xem địa chỉ hợp đồng thông minh có chỉ định rõ nơi NFT được minting hay không, chỉ có những NFT đã được xác minh trên OpenSea thì mới được công nhận là một NFT hợp lệ
• Hãy đảm bảo trang web mà bạn minting NFT đã được xác thực
• Tuyệt đối không chia sẻ cụm từ phục hồi (recovery phrase) của bạn cho bất cứ ai
• Để an toàn hơn nữa thì bạn không nên giữ cụm từ seed phrase của bạn trong các thiết bị điện thoại và máy tính có kết nối internet hoặc có thể lưu trữ nó ngoại tuyến với nhiều bản sao ở những nơi an toàn
• Kẻ gian thường lợi dụng các Discord DMs để tiến hành các cuộc lừa đảo, do vậy bạn nên tắt tính năng này trên Discord
• Bạn nên bookmark các trang web đã xác minh như OpenSea nhằm ngăn chặn truy cập nhầm các trang giả mạo
• Khi cần hỗ trợ, bạn không nên gửi DMs mà hãy chuyển sang các trang web chính thức của dự án để được tư vấn
• Nếu thực sự cần thiết và khẩn cấp, hãy hỏi những người bạn mà bạn tin cậy hoặc các nhóm chính thức để có câu trả lời
• Bạn nên sử dụng phương thức xác thực hai yếu tố để tăng cường bảo mật cho tài khoản
• Hãy đảm bảo bạn luôn tạo những mật khẩu mạnh và duy nhất, không nên sử dụng chung một mật khẩu cho nhiều tài khoản
• Nếu có điều kiện thì bạn nên sử dụng các ví lạnh như Ledger hoặc Trezor, những chiếc ví lạnh này luôn ở chế độ ngoại tuyến, vì vậy không ai có thể truy cập nó ngoại trừ bạn
• Cuối cùng, trước khi tham gia vào bất kỳ các hoạt động nào liên quan đến NFT, bạn nên dành thời gian nghiên cứu kỹ lưỡng các thông tin về bộ sưu tập, người bán, hợp đồng, liên kết và các chi tiết liên quan khác

Hãy luôn cảnh giác trong không gian NFT. Một sai sót nhỏ trong phán đoán cũng có thể có khiến cho ví của bạn biến thành một chiếc ví rỗng.