Cách thức bảo vệ và phòng tránh các hành vi lừa đảo NFT

14:36 | 14/09/2023

NFT (Non-fungible token) là một sản phẩm của thời đại công nghệ mới và đang phát triển như vũ bão, ảnh hưởng sâu rộng đến nhiều lĩnh vực. Thị trường NFT bùng nổ mạnh mẽ vào năm 2021, tăng lên khoảng 22 tỷ USD và thu hút ước tính khoảng 280 nghìn người tham gia. Nhưng khi thị trường này phát triển, phạm vi hoạt động của tin tặc cũng tăng theo, đã ngày càng xuất hiện nhiều hơn các báo cáo về những vụ việc lừa đảo, giả mạo, gian lận và rửa tiền trong NFT. Bài báo sau sẽ giới thiệu đến độc giả tổng quan về NFT, các hành vi lừa đảo NFT và cách thức phòng tránh mối đe dọa này.

NFT là một loại tài sản số hiện diện trên một chuỗi số Blockchain, có nhiệm vụ như một sổ cái đảm bảo tính xác thực của tài sản lẫn chủ sở hữu. Một NFT là duy nhất và không thể thay thế trực tiếp bằng một NFT khác. NFT có thể là bất kỳ thứ gì dưới dạng kỹ thuật số [1, 2], ví dụ như ảnh, video, tệp âm thanh,… Với NFT, mỗi tài sản sẽ có chữ ký số riêng biệt và do đó nó có tính độc nhất, mỗi token NFT được đúc sẽ có một mã định danh riêng và thuộc về một chủ sở hữu duy nhất. NFT thường được giao dịch bằng tiền số, nhưng đôi khi cũng sử dụng đồng USD. Nếu quan tâm đến NFT, điều cần thiết là phải nhận thức được các rủi ro liên quan, bao gồm các hành vi gian lận và lừa đảo NFT.

CÁC HÀNH VI LỪA ĐẢO NFT

Tạo thị trường giả mạo

Các thị trường nổi bật như OpenSea đã tạo điều kiện thuận lợi cho các giao dịch NFT và cung cấp bảo mật làm nền tảng cho mỗi giao dịch mua bán. Tuy nhiên, hiện nay tin tặc đã thiết lập rất nhiều thị trường mạo danh với các trang web sử dụng URL giả mạo tương tự để đánh lừa người dùng [3]. Thành phần hiển thị của NFT là một hình ảnh có thể dễ dàng sao chép. Các trang này không có NFT hợp pháp, vì vậy nếu phát sinh giao dịch, trang web sẽ lưu lại thông tin đăng nhập. Ngoài ra, các trang web này có thể yêu cầu khóa cá nhân hoặc cụm từ hạt giống (Seed Phrase) và sử dụng nó để rút tất cả tài sản trong ví kỹ thuật số của người dùng.

Lừa đảo “rug pull”

Đây là một trong những mối đe dọa mới nhất đối với người mua NFT. “Rug pull” nói đến một hành vi lừa đảo khi những người phát triển một dự án đột ngột rời bỏ và mang theo tiền của nhà đầu tư, điều này dẫn đến giá trị của tài sản giảm xuống và các nhà đầu tư phải chịu thua lỗ [2, 3].

Kỹ nghệ xã hội

Trước khi mua NFT, người dùng cần đăng ký ví tiền điện tử. Lừa đảo NFT thường nhắm mục tiêu khách hàng bằng các quảng cáo giả mạo trên các ứng dụng và nền tảng xã hội. Bên cạnh đó, tin tặc có thể mạo danh MetaMask (ví tiền điện tử dựa trên nền tảng Ethereum) và gửi email cảnh báo giả với nội dung rằng ví của người dùng sẽ bị tạm ngưng hoạt động vì các vấn đề liên quan đến bảo mật, nhắc nhở nhấp vào liên kết trong email để xác minh tài khoản [2, 3]. Tin tặc cũng có thể dễ dàng đánh cắp tác phẩm của người sáng tạo kỹ thuật số và mở tài khoản trên thị trường NFT, nơi chúng niêm yết sản phẩm giả mạo để bán đấu giá.

Cơ chế “Pump and Dump”

Thuật ngữ “Pump and Dump” đề cập đến việc một người hoặc một nhóm cố tình mua nhiều một NFT nào đó để đẩy giá trị lên cao trong một khoảng thời gian ngắn, thu hút các nhà giao dịch mới tham gia, sau đó rút đi nếu đã kiếm được lợi nhuận [2, 3]. Với thủ đoạn này, khi NFT có giá trị, những người mua cả tin sẽ tham gia đấu giá và bắt đầu đặt giá thầu. Khi giá tăng lên, thủ phạm sẽ bán NFT để kiếm lời, để lại cho người mua những tài sản vô giá trị.

Lừa đảo hỗ trợ khách hàng

Tương tự như các trò gian lận lừa đảo, tin tặc giả làm nhân viên kỹ thuật hoặc hỗ trợ khách hàng cho các thị trường Blockchain và liên hệ với người dùng. Dưới chiêu bài cố gắng giải quyết vấn đề, tin tặc gửi liên kết đến các trang web giả mạo nhằm mục đích lấy thông tin cá nhân và quyền truy cập vào ví tiền điện tử. Mặt khác, chúng có thể yêu cầu người dùng chia sẻ màn hình của mình để giải quyết vấn đề, nhưng trên thực tế, tin tặc muốn xem và chụp màn hình thông tin đăng nhập ví tiền điện tử của người dùng [3].

Lừa đảo đấu thầu

Lừa đảo đấu thầu xảy ra khi các nhà đầu tư muốn bán lại NFT đã mua của họ trên thị trường. Những người đặt giá thầu có thể chuyển đổi loại tiền tệ ưa thích của người dùng bằng loại tiền điện tử có giá trị thấp hơn mà không cần thông báo sau khi người dùng đã liệt kê doanh số NFT của mình. Điều này có thể dẫn đến những tổn thất tiềm ẩn cho người bán nếu họ không kiểm tra kỹ đồng tiền trước khi đồng ý mua bán [2, 3].

Lừa đảo qua hình thức nhận quà tặng

NFT Các tin tặc có thể làm giả nền tảng giao dịch NFT thông qua các phương tiện truyền thông xã hội để quảng bá quà tặng NFT. Họ thường cung cấp NFT miễn phí nếu người dùng chia sẻ thông điệp và đăng ký qua trang web của họ. Khi đã đăng ký, người dùng sẽ được nhắc liên kết thông tin đăng nhập ví của mình để nhận “giải thưởng”. Khi có thông tin đăng nhập, tin tặc có thể truy cập vào tài khoản và đánh cắp thư viện NFT [3].

PHÒNG TRÁNH LỪA ĐẢO NFT

Kiểm tra tính chính xác của giao dịch

Kiểm tra các chi tiết của bất kỳ giao dịch nào trước khi đồng ý với nó, thị trường người dùng đang sử dụng có uy tín và đáng tin cậy không. Đọc các bài đánh giá và xem xét mức độ tương tác của người sáng tạo để xem liệu trước đó có khiếu nại nào về giao dịch của họ hay không. Nếu đang đầu tư vào một dự án, hãy kiểm tra các nhà phát triển đằng sau dự án đó, xác minh thông tin của người sáng tạo và tìm hiểu cụ thể về họ, để xác minh mức độ tin cậy và tính xác thực trước khi đầu tư vào NFT, từ đó có thể đánh giá giá trị về lâu dài của khoản đầu tư này.

Không mở tệp từ những nguồn không rõ ràng

Trong nhiều vụ việc liên quan đến lừa đảo NFT, tin tặc đã tạo ra các biến thể mã độc khác nhau nhắm mục tiêu vào ví tiền điện tử. Do vậy, cần tránh và tuyệt đối không nhấp vào liên kết trên các email hoặc tệp đính kèm từ các nguồn không xác định, vì chúng cũng có thể dẫn đến các trang web lừa đảo. Trong trường hợp cần tìm kiếm sự trợ giúp về các vấn đề trên nền tảng NFT, hãy luôn tìm đến dịch vụ khách hàng chính thức trên các trang giao dịch NFT, thay vì ai đó đã liên hệ với người dùng thông qua các nền tảng khác như mạng xã hội.

Cẩn trọng với các chương trình quà tặng

Mặc dù phổ biến trong không gian NFT, thế nhưng quà tặng hoặc phần thưởng miễn phí thường có thể tiềm ẩn rủi ro bảo mật. Mỗi NFT được gắn với một hợp đồng xác định những gì có thể được thực hiện với nó, điều này có nghĩa là tin tặc có thể đính kèm ủy quyền để truy cập vào ví của người dùng. Vì vậy, không bao giờ chấp nhận NFT từ người mà người dùng không biết và không tin tưởng.

Không chia sẻ khóa cá nhân hoặc Seed Phrase

Khóa riêng là chìa khóa cho tất cả các tài sản kỹ thuật số, cho phép giao dịch hoặc chứng minh quyền sở hữu chúng. Trong khi đó, Seed Phrase được sử dụng làm phương pháp sao lưu để khôi phục ví, nó sẽ không bao giờ được sử dụng để đăng nhập hoặc xác thực bất cứ điều gì. Điều cần thiết là phải bảo vệ và giữ khóa riêng cũng như Seed Phrase ở một vị trí an toàn, đồng thời không chia sẻ nó với bất kỳ ai. Nếu một người nào đó có được những thông tin chi tiết này, họ có thể truy cập vào ví của người dùng, kiểm soát và xóa mọi NFT hoặc tiền điện tử một cách dễ dàng. Nên sử dụng mật khẩu mạnh cho ví tiền điện tử và các tài khoản NFT khác. Hơn nữa, hãy sử dụng xác thực hai yếu tố cho tất cả các tài khoản NFT để tăng cường bảo mật.

Giao dịch trên nền tảng chính thức

Luôn truy cập trên một nền tảng đáng tin cậy, uy tín và có tính hợp pháp đã được xác minh để thực hiện giao dịch, đồng thời tránh sử dụng các liên kết hoặc cửa sổ bật lên để nhập thông tin chính trong ví của người dùng. Trong thế giới NFT, các trang web lừa đảo có thể dẫn đến việc lộ lọt thông tin cá nhân. Vì thế, người mua cần chú ý truy cập đến các trang web chính thức có chứa chứng chỉ SSL. Ví dụ một số đường dẫn URL an toàn cho đến thời điểm hiện tại như: https://opensea.io, https://rarible.com, https://www.bnbchain.org/en/smartChain,...

Kiểm tra kỹ giá dự án NFT

Trước khi thực hiện bất kỳ giao dịch mua NFT nào, hãy kiểm tra giá trên nền tảng giao dịch chính thức như OpenSea hoặc các thị trường khác. Nếu giá xuất hiện thấp hơn giá được liệt kê trên trang web giao dịch hợp pháp, nên cẩn thận vì đó có thể là lừa đảo.

Sử dụng ví phần cứng