Bài học của nhà giao dịch: Tại sao bạn không nên giữ một lượng lớn tiền điện tử trong MetaMask

Trong khi hầu hết thế giới tiền điện tử đang tận hưởng mức cao nhất mọi thời đại mới vào cuối tuần vừa qua, nhà giao dịch tiền điện tử nổi tiếng dưới bút danh Twitter notsofast đã trải qua cơn ác mộng tiền điện tử cá nhân khi ví nóng Metamask của anh ta bị xâm phạm trong một vi phạm bảo mật. Mặc dù nhà giao dịch đã phản ứng nhanh chóng và dành mười hai giờ để đối phó với cuộc tấn công, những kẻ trộm vẫn cố lấy được hơn 46 ETH (74.000 USD), altcoin trị giá 34.000 USD và thậm chí cả miền notsofast.eth của anh ta.

Nhà giao dịch đã tweet rằng anh ta không chắc vụ hack đã xảy ra như thế nào nhưng một vectơ tấn công tiềm năng là tính năng lưu trữ khóa riêng của ví của MetaMask trong bộ nhớ cache của trình duyệt, có thể truy cập vào bất kỳ tab nào đang mở.

Nhà giao dịch đã từ chối mọi khoản đóng góp và tiền bồi thường từ cộng đồng và kêu gọi mọi người nhận trình quản lý mật khẩu và ví phần cứng.

Ông cũng nhấn mạnh tầm quan trọng của việc phân tách tài khoản, nói rằng các nhà giao dịch nên tạo hồ sơ trình duyệt mới cho từng loại ví WEB 3.0 mà họ sử dụng và không chạy gì khác trong các tài khoản đó. Tốt nhất, người ta nên sử dụng một máy tính hoặc thiết bị riêng biệt được sử dụng cho các giao dịch tiền điện tử và không có gì khác, anh ấy nói trong một tweet.

Nhà phát triển và nhà tư vấn Udi Wertheimer cũng cân nhắc, cảnh báo rằng “nếu bạn sử dụng tiện ích mở rộng trình duyệt Metamask, nó có thể là liên kết yếu nhất trong kế hoạch bảo mật của bạn.” Ông nói thêm:

“Nếu bạn PHẢI sử dụng nó, hãy mua Chromebook và ví phần cứng và NGHIÊM TÚC sử dụng chúng cho Metamask.”

Theo ông, mặc dù Chromebook giới hạn những gì có thể cài đặt trên máy tính của một người, nhưng nó vẫn cho phép cài đặt các plugin trình duyệt độc hại tiềm ẩn, vì vậy người ta phải cẩn thận khi cài đặt chúng.

Wertheimer giải thích rằng ngay cả khi bạn sử dụng ví phần cứng để tương tác với Metamask, nó vẫn là một hoạt động có rủi ro cao vì cách nó xử lý các phê duyệt. Do đó, cách tốt nhất để tránh các vấn đề trong tương lai là hạn chế số tiền được giữ trong ví nóng và chia nhỏ tài khoản để hạn chế thiệt hại do khai thác. Anh ấy nói thêm:

“Đối với hầu hết mọi người, có lẽ an toàn hơn khi sử dụng ví ETH trên điện thoại di động thay vì kết hợp ví phần cứng + máy tính xách tay sạch. Điều này cũng không hoàn hảo nhưng nó không quá yếu như tiện ích mở rộng trình duyệt Metamask.”