Bài học rút ra chính
- Harpie là sản phẩm tường lửa trực tuyến đầu tiên bảo vệ người dùng chống lại các vectơ tấn công phổ biến trong tiền điện tử.
- Nó hoạt động bằng cách giám sát ví của người dùng và can thiệp trong trường hợp bị tấn công bằng cách chạy trước các giao dịch độc hại và chuyển tiền của họ đến một kho tiền không giám sát an toàn.
- Mặc dù nó không hoàn hảo nhưng đây là một trong những dịch vụ hứa hẹn nhất để bảo vệ người dùng Web3 đang tồn tại ngày nay.
Chia sẻ bài viết này
Tường lửa trên chuỗi của Harpie cho phép người dùng tiền điện tử kết nối ví Web3 của họ và tạo ra một môi trường giao dịch an toàn và tự bảo vệ mình trước các vectơ tấn công phổ biến nhất của tiền điện tử.
Vấn đề bảo mật của tiền điện tử
Vì tiền điện tử và tài chính phi tập trung đã trở nên phổ biến trong vài năm qua, do đó, các cuộc tấn công liên quan đến tiền điện tử, bao gồm cả trộm cắp của người dùng được nhắm mục tiêu và khai thác giao thức. Theo tội phạm tiền điện tử giữa năm của Chainalysis báo cáohơn 1,9 tỷ đô la đã bị đánh cắp trong các vụ tấn công người dùng và dịch vụ từ tháng 1 đến tháng 7 năm 2022, tăng từ mức chỉ dưới 1,2 tỷ đô la trong 7 tháng đầu năm 2021. Và trong khi hầu hết các vụ khai thác liên quan đến giao thức, nhiều người dùng đã có ví của họ một phần nhờ vào những rủi ro liên quan đến việc sử dụng Web3 ngày nay.
Đối với những người dùng thường xuyên tương tác với các giao thức DeFi và thị trường NFT, giao dịch trong Web3 gần như có thể giống như đang chơi Minesweeper trong đời thực. Mọi phê duyệt giao dịch và tương tác trên chuỗi với ứng dụng của bên thứ ba đều có thể dẫn đến tổn hại ví và mất tiền. Thật không may, cho đến nay vẫn chưa có một giải pháp đơn giản hoặc hiệu quả nào cho vấn đề này. Các ví Web3 phổ biến nhất, như MetaMask hoặc Trust Wallet, thực hiện một công việc khó khăn là truyền tải bản chất của từng tương tác trên chuỗi tới người dùng của họ. Thay vì làm cho từng giao dịch rõ ràng, các mô tả mặc định của hầu hết các xác nhận giao dịch trong ví đọc như vô nghĩa đối với hầu hết người dùng không tinh vi, khiến họ mù hiệu quả ngay cả những mối đe dọa bảo mật cơ bản nhất.
Ngoài các cuộc tấn công giao thức thông thường, có lẽ loại tấn công nguy hiểm nhất ảnh hưởng đến người dùng tiền điện tử được gọi là khai thác “phê duyệt chi tiêu” lừa người dùng phê duyệt các chuyển đổi độc hại cho phép tin tặc rút tiền của người dùng. Một cách phổ biến khác mà người dùng Web3 mất tiền là do khóa riêng của họ bị xâm phạm, thường liên quan đến việc người dùng cài đặt phần mềm độc hại như keylogger, lưu trữ các cụm từ gốc của họ ở dạng văn bản thuần túy trên các thiết bị không an toàn hoặc bị lừa đảo.
Luôn luôn có thể bảo vệ chống lại tất cả các vectơ tấn công này, nhưng nó đòi hỏi kiến thức kỹ thuật, sự tinh vi và hy sinh đáng kể trong trải nghiệm người dùng. Harpie đang hy vọng sẽ giải quyết được vấn đề này.
Harpie là gì?
Harpie là giải pháp tường lửa trực tuyến đầu tiên cho phép người dùng Ethereum tạo môi trường giao dịch an toàn bằng cách đưa vào danh sách trắng một tập hợp các địa chỉ và ứng dụng Web3 mà họ cho là an toàn. Dịch vụ giám sát các ví được kết nối để tìm các giao dịch đáng ngờ hoặc chưa được chấp nhận đang chờ xử lý để ngăn chặn chúng khi chúng xuất hiện. Khi phát hiện một giao dịch đáng ngờ, nó ngay lập tức chuyển tiền của người dùng ra khỏi ví của họ và vào một kho tiền an toàn, không bị giám sát, bảo vệ tiền khỏi bị đánh cắp tiềm năng.
Harpie thực hiện điều này bằng cách ngăn chặn các giao dịch độc hại bằng cách trả phí gas cao hơn. Ví dụ: giả sử một tin tặc bằng cách nào đó đã nắm được khóa cá nhân của người dùng hoặc đánh lừa họ chấp thuận một giao dịch chi tiêu độc hại và cố gắng chuyển tiền từ ví của nạn nhân vào địa chỉ của anh ta. Trong trường hợp đó, Harpie sẽ phát hiện giao dịch gửi đi từ ví của nạn nhân đến một địa chỉ chưa được phê duyệt và tự động phát một giao dịch khác với phí gas cao hơn để chuyển tiền của mục tiêu vào một kho tiền an toàn trước khi giao dịch gửi đi được xác nhận.
Trình xác thực Ethereum ưu tiên các giao dịch có phí gas cao nhất, có nghĩa là họ có thể nhận và xác nhận các giao dịch nhân từ của Harpie trước bất kỳ kẻ tấn công nào, do đó giúp người dùng khỏi bị trộm.
Sau khi Harpie can thiệp và chuyển tài sản đến một nơi an toàn, người dùng có thể rút chúng sang một ví không thỏa thuận mới với mức phí cố định là 0,01 ETH, bất kể số tiền đã được tiết kiệm trong quy trình.
Cách sử dụng Harpie
Người dùng phải kết nối ví Web3 hiện có của họ với Harpie để sử dụng dịch vụ. Họ có thể làm điều này bằng cách nhấp vào nút “Nhập ứng dụng” ở góc trên cùng bên phải của trang chủ của Harpie và sau đó nhấp vào “Kết nối” bên trong ứng dụng. Người dùng cũng cần xác nhận kết nối bên trong ví của họ một cách riêng biệt để cấp cho Harpie quyền giám sát ví của họ và chuyển tiền từ chúng trong trường hợp có sự cố.
Sau khi kết nối, người dùng được yêu cầu thiết lập các ứng dụng và địa chỉ “Mạng tin cậy” của họ. Đây là những ứng dụng và địa chỉ mà người dùng cho là an toàn và muốn loại trừ khỏi tường lửa, có nghĩa là Harpie sẽ không tự động chặn bất kỳ giao dịch nào với họ.
Để làm điều này, người dùng có thể chọn nếu họ sử dụng các ứng dụng DeFi, thị trường NFT hoặc cả hai và chọn mạng ứng dụng đáng tin cậy của họ từ danh sách các giao thức đã thiết lập được chọn trước. Tất cả các giao thức mà Harpie đề xuất theo mặc định đã trải qua quá trình kiểm tra rộng rãi, chịu sự thử thách của thời gian và thường được coi là an toàn, có nghĩa là người dùng nên cảm thấy an toàn khi đưa tất cả chúng vào danh sách trắng. Sau khi chọn bộ ứng dụng đáng tin cậy, người dùng phải nhấn “Tiếp tục” ở góc dưới cùng bên phải và ký giao dịch bên trong ví của họ.
Sau khi ký, Harpie sẽ bắt đầu tích hợp hệ thống tường lửa của mình với ví của người dùng và sau khi hoàn tất, người dùng sẽ được chuyển đến trang tổng quan của họ. Ở đó, họ có thể điều hướng đến tab “Mạng tin cậy của tôi” và thêm tất cả các địa chỉ mà họ thường xuyên tương tác trong phần “Bạn bè”. Chúng có thể bao gồm ví cá nhân của riêng họ, ví của bạn bè họ và địa chỉ gửi tiền của các sàn giao dịch tập trung mà họ sử dụng.
Người dùng cũng phải cho phép Harpie truy cập vào tiền trong ví của họ để có thể chuyển chúng đến một kho tiền an toàn trong trường hợp bị tấn công. Họ có thể thực hiện việc này bằng cách nhấp vào “Bảo vệ” cho từng tài sản trong phần “Tài sản được bảo vệ” trên trang tổng quan của họ. Nếu họ không thể thấy tất cả tài sản mà họ đang giữ trong ví, họ có thể nhập chúng theo cách thủ công từ cùng một phần trang tổng quan.
Nhấp vào “Bảo vệ” cho từng nội dung là nhiệm vụ quan trọng nhất đối với mọi người dùng sử dụng Harpie. Điều này là do việc liệt kê một mạng lưới các ứng dụng và địa chỉ đáng tin cậy chỉ cho Harpie biết lưu lượng truy cập cần theo dõi, trong khi việc cho phép nó truy cập vào tiền của ví là điều thực sự cho phép nó can thiệp và di chuyển tài sản đến một nơi an toàn trong trường hợp bị tấn công.
Cuối cùng, người dùng cần thiết lập một địa chỉ rút tiền sẽ có khả năng lấy lại số tiền được chuyển đến kho tiền an toàn trong trường hợp Harpie đã can thiệp trong một vụ vi phạm bảo mật. Họ có thể thực hiện việc này bằng cách nhấp vào nút “Thiết lập” trong phần “Thiết lập địa chỉ rút tiền”, nhập địa chỉ họ muốn sử dụng để lấy tiền, nhấp vào “Đăng ký” và sau đó chấp thuận hành động với ví của họ.
Điều quan trọng cần làm rõ là Harpie chỉ có thể bảo vệ người dùng khỏi bị mất tài sản mà họ đã có trong ví. Nếu người dùng gửi tiền hoặc đặt cược tài sản của họ trên một giao thức tiền điện tử của bên thứ ba và ứng dụng bị tấn công, Harpie sẽ không thể làm bất cứ điều gì để bảo vệ tiền của người dùng.
Lời kết
Mặc dù không có hệ thống hoặc giao thức đơn lẻ nào có thể giải quyết vấn đề bảo mật của tiền điện tử, nhưng cách tiếp cận tường lửa trên chuỗi của Harpie bổ sung thêm một lớp bảo mật thiết yếu cho các hoạt động hàng ngày của những người dùng Web3 tích cực hơn. Ngoài các vụ hack giao thức và một số trường hợp tiên tiến nhất định, Harpie có thể bảo vệ người dùng một cách hiệu quả chống lại các vụ khai thác tiền điện tử gần như phổ biến mà không cản trở nghiêm trọng đến trải nghiệm người dùng của họ.
Như đã nói, việc tương tác với Web3 bằng giải pháp tường lửa của Harpie vẫn gây ra một số trở ngại không thể tránh khỏi từ quan điểm trải nghiệm người dùng. Ví dụ: người dùng có thể quên đưa địa chỉ của bạn bè hoặc tài khoản của họ vào danh sách trắng trên sàn giao dịch tập trung và tài sản của họ tự động được chuyển đến kho tiền không giám sát của Harpie sau khi họ cố tình chuyển tiền. Ngoài ra, Harpie cũng không cung cấp cho người dùng một cách đơn giản để thu hồi quyền truy cập của tường lửa. Sau khi được bật, người dùng cần sử dụng ứng dụng của bên thứ ba như revoke.cash để thu hồi quyền truy cập mà họ đã cấp cho Harpie nếu họ muốn chọn không tham gia.
Mọi thứ được xem xét, Harpie cung cấp một lớp bảo mật trên chuỗi rất cần thiết mà người dùng hiện không thể tìm thấy ở bất kỳ nơi nào khác. Mặc dù ngày nay Harpie không hoàn hảo, nhưng giải pháp của nó là một bước đi đúng hướng rõ ràng để làm cho Web3 an toàn hơn cho người dùng thông thường.
Tiết lộ: Tại thời điểm viết bài, tác giả của bài viết này sở hữu ETH và một số loại tiền điện tử khác.
