Gần đây thấy nhiều người trong cộng đồng bàn luận về vấn đề an toàn của ví phần cứng, mới nhận thức được các vụ trộm ví lạnh phổ biến hơn tôi nghĩ. Nhiều người mới bỏ ra số tiền lớn để mua ví phần cứng, nghĩ rằng chỉ cần vậy là yên tâm, kết quả lại trở thành mục tiêu của các kẻ lừa đảo.

Nói thì khá chua chát, thiết kế của ví phần cứng bản thân không có vấn đề — lưu trữ khóa riêng ngoại tuyến, chip bảo mật, đều là các giải pháp phòng thủ được ngành công nghiệp công nhận. Nhưng vấn đề nằm ở chuỗi cung ứng. Các kẻ lừa đảo không tốn công phá vỡ phần cứng, mà lại bắt đầu từ kênh mua hàng.

Gần đây tôi thấy một trường hợp đặc biệt ấn tượng. Có người mua ví phần cứng từ nền tảng thương mại điện tử bên thứ ba, sau khi mở hộp theo hướng dẫn, nhập mã PIN ban đầu, sao lưu mnemonic, rồi chuyển vào một khoản lớn. Kết quả là nhanh chóng bị rút sạch. Mọi thứ có vẻ bình thường, nhưng thực tế hướng dẫn là giả, địa chỉ ví đã bị kẻ kiểm soát từ trước. Phương thức trộm ví lạnh này chủ yếu dựa vào việc người dùng thiếu hiểu biết về quy trình sử dụng, dùng hướng dẫn giả để đóng gói lại, rồi bán ra qua kênh không chính thống.

Các rủi ro tương tự cũng rất phổ biến trong khu vực nói tiếng Trung. Thương hiệu nổi tiếng imkey từng cảnh báo công khai, phát hiện một số cửa hàng không chính thức bán ví đã được kích hoạt, đồng thời sửa đổi hướng dẫn sử dụng, dụ người dùng gửi tiền vào. Điều này cho thấy tầm quan trọng của việc nhận diện kênh chính thức không kém gì việc nhận diện URL chính thức.

Còn có những trường hợp còn vô lý hơn. Một người dùng Ledger đột nhiên nhận được một gói hàng chưa từng đặt, bên trong là Ledger X mới tinh và một bức thư. Thư nói rằng công ty bị tấn công, rò rỉ dữ liệu, gửi thiết bị mới để bù đắp. Nhưng CEO của Ledger sau đó rõ ràng khẳng định công ty không làm loại bồi thường này. Mở ra xem, trong hộp nhựa có dấu hiệu chỉnh sửa rõ ràng. Đây chính là trò lừa đảo biến tướng ví phần cứng.

Nhóm an ninh của Kaspersky cũng từng báo cáo về việc này, có người mua được Trezor Model T giả trên kênh không chính thức, firmware bên trong đã bị thay đổi, kẻ tấn công có thể truy cập trực tiếp vào tài sản mã hóa của người dùng. Ví phần cứng trông bình thường, nhưng thực chất đã trở thành công cụ của kẻ lừa đảo.

Vì vậy, rủi ro bị trộm ví lạnh phần lớn không đến từ việc xâm nhập kỹ thuật, mà chủ yếu do các sơ hở trong thao tác của con người. Làm thế nào để tránh? Thật ra rất đơn giản:

Thứ nhất, chỉ mua qua kênh chính thức. Bất kỳ ví phần cứng nào mua từ kênh không chính thức đều không thể đảm bảo an toàn.

Thứ hai, đảm bảo thiết bị chưa được kích hoạt. Thiết bị do chính hãng bán ra nhất định là mới, chưa kích hoạt. Nếu mở máy thấy đã được kích hoạt, trong hướng dẫn có “mật khẩu ban đầu” hoặc “địa chỉ mặc định”, lập tức ngưng sử dụng và phản hồi về chính hãng.

Thứ ba, tất cả các thao tác phải do chính mình thực hiện. Thiết lập mã PIN, tạo mã liên kết, tạo địa chỉ, sao lưu mnemonic, từng bước đều phải do chính bạn làm. Bất kỳ bước nào để người thứ ba thao tác đều tương đương với việc đã giao khóa riêng.

Quy trình bình thường là: ví phần cứng mua về là mới, chưa kích hoạt, lần đầu sử dụng, từ khởi động thiết bị, tạo ví, sao lưu mnemonic đến thiết lập PIN, tất cả đều do chính bạn làm. Chỉ cần theo đúng quy trình này, rủi ro bị trộm ví lạnh sẽ giảm đáng kể.

Nói tóm lại, lợi thế về an toàn của ví phần cứng là có thật, nhưng điều kiện tiên quyết là bạn phải dùng đúng cách. Trong môi trường thị trường đầy lừa đảo này, cẩn trọng hơn một chút sẽ nhiều hơn một phần bảo vệ.