MetaMask là một trong những wallet extension nổi tiếng nhất trong thị trường tiền mã hoá. Mặc dù phổ biến nhưng ví này vẫn có rủi ro khiến người dùng thiếu kinh nghiệm mất tài sản. Vậy làm cách nào để phòng tránh thất thoát khi dùng MetaMask? Hãy cùng Block24 tìm hiểu thông qua bài viết dưới đây.

Ví MetaMask là gì?

MetaMask, được phát triển bởi Consensys, là ví Web3 được sử dụng nhiều trong thị trường crypto. Với khả năng tương thích gần như toàn bộ các chain từ testnet đến mainnet, MetaMask là cánh cửa đưa user đến với thế giới DeFi tiềm năng. Hiện tại, người dùng đã có thể sử dụng các phiên bản của ví này trên các thiết bị như PC, laptop, smartphone hay tablet. 

>> Đọc thêm: Tổng quan ví Metamask: Tính năng, ưu nhược điểm và cách sử dụng

Vì sao MetaMask phổ biến với người mới?

Giao diện ví MetaMask
Giao diện ví MetaMask

Như đã đề cập ở trên, MetaMask trở nên phổ biến vì khả năng hỗ trợ các mạng blockchain khác nhau kể cả testnet. Do đó, nó rất phù hợp với hoạt động airdrop, vốn là chiến lược marketing các dự án Web3 thường sử dụng nhằm thu hút user mới. Airdrop yêu cầu ít vốn hoặc thậm chí là không cần vốn.

Vì sao nên cẩn trọng khi dùng MetaMask?

Việc sử dụng MetaMask để cày airdrop mang đến ít rủi ro. Tuy nhiên,  nếu lưu trữ coin thì ví này chưa cung cấp đủ tính năng hỗ trợ users bảo vệ vốn:

  • Chế độ cảnh báo kém: Giao diện của ví chỉ hiển thị những thông tin cơ bản, không hề có chức năng báo hiệu nguy hiểm.
  • Khó tương tác chuyên sâu: Việc điều chỉnh số Nonce hoặc phí gas trên MetaMask tương đối phức tạp

Với 2 lý do trên, có thể thấy ví này không phải là sản phẩm lý tưởng trong việc giao dịch hay lưu trữ coin dành cho “gà mờ”. Nếu users lỡ nhấp vào các liên kết giả mạo, việc monitor sẽ rất phức tạp.

MetaMask có an toàn không?

Câu trả lời không nằm ở ứng dụng mà nằm ở cách users sử dụng. Nếu người dùng có kiến thức và trách nhiệm với tài sản, bất kỳ dApps nào cũng sẽ an toàn.  Còn về mặt công nghệ, MetaMask là sản phẩm uy tín, được cộng đồng tin tưởng, không hề lừa đảo tài sản của bất kỳ ai.

Cách nhận biết hack MetaMask?

Cách nhận biết hackers nhắm vào người dùng rất đơn giản, chúng sẽ  tập trung vào các yếu tố như Seed Phrase/Private Key để chiếm quyền ví, ví dụ như:

  • URL giả mạo: Một đường dẫn fake thường sẽ có những ký tự đặc biệt như - hoặc các dấu cách nhằm mô phỏng URL thật.
  • Giao dịch không rõ nguồn gốc: MetaMask đột nhiên thực hiện các giao dịch mà không phải do chủ ví thực hiện.
  • Yêu cầu cung cấp Seed Phrase/Private Key: Một nền tảng hay dApps đột nhiên yêu cầu cung cấp Seed Phrase/Private Key.
  • Token lạ: Users không giao dịch, không cày airdrop nhưng token lạ xuất hiện trong ví.
Ví MetaMask đang bị nhắm đến bởi Hacker
Ví MetaMask đang bị nhắm đến bởi Hacker

Những trường hợp bị hack thông qua MetaMask

Trong lịch sử Crypto, những sự kiện mất tiền có “dính dáng” tới MetaMask đã từng để lại nhiều nỗi kinh hoàng với người dùng. Không chỉ vì số tiền thất thoát quá lớn mà còn vì sự tinh vi của kẻ gian. Dưới đây là những vụ tiêu biểu liên quan tới MetaMask khiến cộng đồng “ngán ngẩm”:

  • Hơn 5.000 ETH bị exploit thông qua nhiều ví trên 11 blockchain khác nhau
  • EasyFi bị hack 80 triệu thông qua MetaMask.
  • Nexus Mutual bị đánh cắp 8 triệu USD thông qua MetaMask Pop-up.
  • Tỷ phú Mark Cuban bị scam 870.000 USD crypto.

Những hình thức lừa đảo thông qua MetaMask

Phishing

Ví dụ một email phishing
Ví dụ một email phishing

Phishing (tấn công giả mạo) là hình thức mạo danh một tổ chức, cá nhân có uy tín để dẫn dụ người dùng cung cấp các thông tin nhạy cảm. Khi có được private key, seed phrase, tên đăng nhập, mật khẩu thì các hacker ngay lập tức sẽ thực hiện các giao dịch chuyển tài sản trong ví. Các hình thức Phishing phổ biến hiện nay bao gồm:

  • Website giả mạo: Mạo danh website của các sàn giao dịch hoặc các dự án nổi tiếng, yêu cầu anh em đăng nhập bằng ví MetaMask.
  • URL giả: Hacker sẽ dùng những đường link không an toàn để dẫn dụ người dùng click vào.
  • Voice phishing: Hacker dùng tin nhắn thoại hoặc cuộc gọi mạo danh các sàn giao dịch hoặc cơ quan, tổ chức chính phủ để đe dọa nhằm đánh cắp thông tin.
  • Email phishing: Hacker sẽ dùng các email giả mạo MetaMask, cảnh báo về giao dịch bất thường trong ví, yêu cầu người dùng kết nối với một URL để xác minh.

MetaMask Extension giả mạo

MetaMask giả mạo
MetaMask giả mạo

Hiện tại, những MetaMask Extension fake đã được dọn dẹp khỏi Chrome Extension Store trên máy tính hoặc App Store/CH Play. Nguyên nhân vì có quá nhiều nhà đầu tư mất coin do import ví vào các extension fake.

Token giả mạo

Mỗi đợt airdrop hoặc có một memecoin nổi tiếng, ví MetaMask thường nhận được những token có ticker gần giống với hàng thật. Đây là những coin scam, được gửi đến với mục đích “dụ” người dùng giao dịch chúng. Chỉ cần nhấp xác nhận giao dịch, ví MetaMask sẽ lập tức bị chiếm quyền và chúng ta sẽ mất tài sản.

Nên làm gì khi nghi ngờ ví MetaMask bị hack?

  • Nếu nhận thấy những dấu hiệu lạ, anh em ngắt kết nối ngay ví với toàn bộ dApp đã từng tương tác.
  • Di chuyển toàn bộ tài sản sang ví khác hoặc nạp lên sàn CEX
  • Cân nhắc chuyển sang profile Chrome/Edge khác để sử dụng vì chúng ta không biết hacker thâm nhập vào ví hay máy tính. 
  • Nếu đã chuyển sang profile khác nhưng vẫn phát hiện những giao dịch đáng ngờ, hãy đăng xuất Gmail cùng tất cả tài khoản sàn và đổi sang sử dụng một máy tính mới.
  • Report với đội ngũ của MetaMask hoặc dApp, điều này có thể không giúp anh em lấy lại tiền đã mất nhưng ít nhất sẽ giúp người khác tránh được thiệt hại.

Các công cụ hỗ trợ bảo mật ví MetaMask

Công cụ theo dõi giao dịch như Arkham, DeBank

Giao diện tracking của Arkham
Giao diện tracking của Arkham

Hàng tuần, người dùng nên kiểm tra các giao dịch trong ví của mình bằng các công cụ tracking như Arkham hay DeBank. Những công cụ này không những giúp theo dõi ví mà còn đưa ra các cảnh báo rủi ro để user sớm có hành động kịp thời.

Revoke.cash

Revoke.cash là tool cực kỳ hữu ích, hỗ trợ user xem xét cấp quyền truy cập với coin trong ví. Thông thường khi sử dụng dApp, sẽ có yêu cầu access vào tài sản vô thời hạn, Revoke.cash sẽ giúp kiểm soát, quản lý và đình chỉ quyền truy cập này.

Hướng dẫn bảo mật ví metamask

Bước 1: Truy cập Revoke.cash.

Giao diện Revoke.cash
Giao diện Revoke.cash

Bước 2: Kết nối ví.

Kết nối ví với Revoke.cash
Kết nối ví với Revoke.cash

Bước 3: Kiểm tra và revoke các lượt kết nối dApp trước đó.

Revoke các lượt approve dApp
Revoke các lượt approve dApp

Về bản chất, việc bảo mật ví nên đến từ nhận thức an toàn tài sản của toàn. Nếu anh em không có thời gian thì có thể cân nhắc một vài cách sau để bảo vệ coin nhé:

  • Sử dụng hệ điều hành tin cậy: Người dùng nên dùng những hệ điều hành đóng như MacOS hoặc iOS để được bảo mật cao hơn.
  • Đổi mục đích sử dụng: MetaMask chỉ nên là một ví dùng để trải nghiệm những dApp mới chứ không nên dùng để lưu trữ tài sản. Cân nhắc cất giữ coin dài hạn trong ví lạnh.
  • Hạn chế sử dụng Wifi Public: Những mạng Wifi công cộng chứa rất nhiều rủi ro bảo mật.
  • Add ví vào Rabby hoặc OKX: Như đã đề cập ở trên, chúng ta có thể tận dụng chức năng cảnh báo của các ví khác trong khi sử dụng MetaMask.

Cách phòng tránh bị hack thông qua MetaMask

Dùng ví thay thế MetaMask

Vì MetaMask không có những cảnh báo cần thiết để người dùng hiểu được rủi ro nên việc chuyển sang các ví khác là điều có thể xem xét. Trong trường hợp dApps còn quá mới và chỉ có thể dùng MetaMask để tương tác thì chúng ta nên làm gì? Lời khuyên của mình là tạo ví test trên MetaMask, sau đó import Private Key/Seed Phrase vào Rabby hoặc OKX.

Cách lấy private key để add vào MetaMask
Cách lấy private key để add vào MetaMask

Tiếp theo, khi sử dụng dApp, anh em vẫn nhấp vào MetaMask bình thường nhưng lúc này pop-up hiện lên là Rabby. Và khi có một giao dịch không an toàn, ví này sẽ cảnh báo bạn.

Đừng sử dụng Google để tìm dApp

Google là công cụ tìm kiếm hữu ích nên các hacker cũng thường xuyên lợi dụng để publish link giả. Vì vậy, để giảm khả năng thất thoát, anh em nên dùng DeFiLIama để tìm kiếm các dApp thay cho Google và X nhé.

FAQ

MetaMask có an toàn không?

Có, tuy nhiên, độ an toàn tuyệt đối của MetaMask phụ thuộc vào ý thức bảo vệ tài sản của người dùng.

Khi bị hack trên ví MetaMask, tôi nên làm gì?

Khi bị hack, người dùng nên cảnh báo với cộng đồng cũng như report với đội ngũ MetaMask. Tuy nhiên, thường thì sẽ không bao giờ lấy lại được tài sản..

Làm sao để kiểm tra URL MetaMask chuẩn?

Để kiểm tra URL MetaMask chuẩn, người dùng cần nhìn kỹ các ký tự đặc biệt như dấu gạch ngang, dấu chấm, chữ cái viết hoa, viết thường. Đơn giản hơn, hãy sử dụng URL tại các nguồn chính thống trên website hoặc trang social ví.

Nên làm gì để lưu trữ Seed Phrase an toàn?

Có thể mua điện thoại thế hệ cũ, không có kết nối wifi, không kết nối 4G, 5G, không gắn sim. Và type Seed Phrase của mình vào phần ghi chú của điện thoại đó. Ví dụ như bản thân mình đã mua “cục gạch” Nokia dạng phím bấm để lưu trữ Seed Phrase.

Trên thị trường có ví phần cứng MetaMask không?

Hiện tại, MetaMask chưa ra mắt sản phẩm ví phần cứng.