Xu hướng khai thác và giao dịch tiền điện tử đã diễn ra sôi động trong những năm 2017 và nở rộ hơn bao giờ hết từ đầu năm 2021 cho tới nay. Chính sự phổ biến ngày càng gia tăng của crypto đã khiến nó trở thành nơi khai thác màu mỡ để tin tặc lộng hành. Điển hình là các vụ tấn công của hacker vào các lỗ hổng, làm rò rỉ thông tin người dùng và lấy tiền từ nhiều dự án với con số lên tới hàng trăm triệu đô.

Vài ngày qua, vụ rò rỉ thông tin người dùng từ Pi Network đã gây không ít hoang mang đối với dư luận, đặc biệt là người dùng đã từng sử dụng mạng lưới này. Điều này đã tạo động lực cho mình lên bài viết này, nhằm gửi tới các thành viên MarginATM một vài góc nhìn về vấn đề bảo mật trong thị trường crypto đầy cơ hội và rủi ro này. Chúng ta cùng bắt đầu nhé!

Pi Network là gì?

Để bắt đầu, mình muốn đảm bảo tất cả các bạn đều biết về dự án Pi Network là gì.

Theo giới thiệu, Pi Network là một loại tiền điện tử chỉ có thể được đào hay khai thác trên điện thoại di động, tương tự như dự án trước đây có tên “Electroneum (ETN)”, tuy nhiên, điểm khác biệt là đào Pi coin không tiêu tốn tài nguyên thiết bị như những ứng dụng đào coin miễn phí khác.

Theo nhiều người quảng bá, đào Pi là miễn phí, tức là bạn không phải đầu tư bất cứ khoản tiền nào và điều này đã đặt ra nghi vấn rằng liệu dự án này có phải là một trò lừa đảo? Nhiều người nói rằng đây thực chất là một trò lừa đảo và không có giá trị, đào đồng coin này chỉ tốn thời gian và có thể bị lộ thông tin cá nhân cho những kẻ đứng sau trục lợi.

Tình tới thời điểm hiện tại, mình không có nhiều đánh giá về việc liệu dự án này có lừa đảo hay vô giá trị hay không. Điều mình quan tâm nhất ngay lúc này, đó là việc thông tin người dùng thực sự đã bị rò rỉ từ mạng lưới Pi Network, điều này đã gây hoang mang không ít người dùng ở Việt Nam trong đó có member MarginATM, vậy nguyên nhân rò rỉ do đâu và nó sẽ ảnh hưởng như thế nào tới lợi ích của người dùng crypto?

Rò rỉ thông tin KYC trên Pi Network của gần 10,000 người Việt Nam, nguyên nhân do đâu?

Thông tin KYC của gần 10,000 người Việt Nam dùng Pi Network bị hack

Theo đó, cách đây vài ngày, trên diễn đàn RaidForums (nơi hacker chuyên trao đổi, mua bán dữ liệu ăn cắp được) đã xuất hiện một tài khoản có tên là 0x1337x0 đang rao bán hơn 17GB dữ liệu thông tin người Việt Nam được cho là người dùng của Pi Network.

Những thông tin rao bán lần này bao gồm: tên, ngày sinh, ảnh đại diện, địa chỉ nhà riêng, địa chỉ email, số điện thoại, số chứng minh thư, ảnh mặt trước chứng minh thư, ảnh mặt sau chứng minh thư và ảnh/video selfie của hàng chục nghìn người Việt Nam.

Ảnh chụp màn hình chưa các tệp dữ liệu được cho là thông tin KYC

Mặc dù chưa rõ thực hư về nguồn gốc dữ liệu nhưng chủ tài khoản, hacker đã đăng tải trên diễn đàn rằng nguồn thông tin này là thông tin KYC được lấy từ Pi Network.

“Tất cả dữ liệu lấy từ Pi Network, hiện chưa có ai mua nên dữ liệu vẫn đang an toàn. Ai có nhu cầu mua thì liên hệ với tôi”.

Ảnh chụp màn hình lời nhắn của hacker rằng dữ liệu lấy từ Pi Network

Người bán đã rao bán lượng thông tin này với giá $9,000 và chỉ chấp nhận thanh toán bằng Bitcoin hoặc Litecoin. Nếu người mua không thanh toán bằng tiền điện tử có thể thông qua một bên trung gian cũng là người dùng trên diễn đàn.

Tại sao chỉ có dữ liệu của người dùng Việt Nam trên Pi Network bị rao bán?

Được biết hiện tại Pi Network đang thu hút lượng lớn người Việt tham gia. Nhiều người đang ra sức "đào" Pi với kỳ vọng một ngày Pi coin sẽ giống như Bitcoin, giúp họ trở thành tỷ phú trong tương lai. Mặc cho các cảnh báo cho rằng đây có thể là trò lừa đảo, hoặc có nguy cơ về bảo mật…, song làn sóng người dùng Việt đổ xô tải ứng dụng Pi Network về điện thoại để “đào” Pi coin vẫn chưa dừng lại.

Trước đó, Bộ Tài Chính Việt Nam cũng đã từng cảnh báo về rủi ro khi tham gia đầu tư tiền điện tử nói chung và Pi Network nói riêng, bạn có thể xem lại tại đây.

Vì vậy, điều đó đã góp phần thúc đẩy lượng hacker ngày càng tăng lên với những thủ đoạn ngày càng tinh vi. Khi càng nhiều người sử dụng thì mảnh đất đó càng trở nên màu mỡ và thu hút sự chú ý của tội phạm.

Nguyên nhân do đâu?

KYC (Know-Your-Customers) thường là quy định của mọi sàn giao dịch để có thể kiểm soát và tránh những hành vi rửa tiền. Tuy nhiên, với thị trường chưa có sự quản lý của bất kỳ cơ quan tổ chức pháp lý nào như crypto, có nhiều nguyên nhân dẫn đến trường hợp như của Pi Network nói trên.

Nguyên nhân đầu tiên đến từ khung pháp lý của Việt Nam hiện tại chưa có quy định rõ ràng về tiền điện tử. Nạn nhân lần này chủ yếu là người Việt Nam thay vì những quốc gia khác, điều này hoàn toàn dễ hiểu vì hiện tại các cơ quan chính quyền Việt Nam vẫn chưa có bất kỳ quy định nào liên quan đến tiền điện tử và kiểm soát thị trường này.

Trước đây đã từng có rất nhiều người Việt Nam rao bán thông tin KYC của các sàn giao dịch với mức giá siêu rẻ để người dùng tham gia các sự kiện airdrop từ nhiều dự án. Để KYC, người dùng có thể sử dụng số điện thoại và email đăng ký.

Ở Việt Nam, sim điện thoại được sản xuất tràn lan, sim không có thông tin rất nhiều vì vậy mỗi người có thể sở hữu nhiều sim cùng lúc tùy thích. Và từ mỗi số điện thoại đó lại tạo ra được một email mới. Như vậy là lại có một bộ KYC cơ bản được ra đời và phục vụ cho các trò gian lận rồi.

Bên cạnh đó, nguyên nhân thứ 3 đến từ chính mạng lưới KYC của dự án Pi Network. Có lẽ câu hỏi đầu tiên khi bạn nghe tin đến vụ hack này là liệu Pi Network có liên quan đến sự việc rò rỉ này hay không?

Nhiều người đã nghi ngờ rằng Pi Network đã bán thông tin người dùng, và cũng có nhiều nguồn thông tin cho rằng các hacker này đã lợi dụng lỗ hổng nào đó của Pi Network để đánh cắp lượng thông tin này.

Có thể nguyên nhân dữ liệu bị hack sẽ thuyết phục hơn, vì Pi Network hiện tại đang hợp tác với một bên thứ 3 là Yoti để thực hiện quá trình KYC người dùng mạng lưới thay vì chính dự án vận hành quá trình KYC.

Tuy nhiên, ngoài các nguyên nhân trên, người dùng cũng có trách nhiệm trong vụ việc này. Đó là do sự chủ quan và thiếu tỉnh táo của những người tham gia crypto. Đã có rất nhiều bài viết cảnh báo có thể Pi Network là một trò lừa đảo vì nó chưa mang lại được giá trị gì cho người dùng hiện tại mà tất cả chỉ lời hứa hẹn về tương lai.

Song người dùng vẫn có lòng tham và hy vọng một ngày những gì mà dự án nói sẽ thành sự thật, và họ có thể sở hữu một khối tài sản khổng lồ. Chính sự mù quáng này của người dùng đã trở thành điểm yếu khiến họ rơi vào cái bẫy của hacker và trở thành đối tượng của các vụ lừa đảo.

Tính tới thời điểm hiện tại, thông tin rao bán đã bị xóa hết trên diễn đàn. Có thể giao dịch mua bán đã thành công hoặc có một thế lực nào đó can thiệp vào khiến hacker phải gỡ bỏ các tệp dữ liệu này xuống.

Chúng ta hoàn toàn không biết được điều gì diễn ra ở sau tấm màn lừa đảo này. Cũng không phải đây là lần đầu một dự án dính phải ý kiến trái chiều về rao bán thông tin người dùng.

Những câu chuyện về rò rỉ thông tin người dùng trong Crypto

Từ trước tới nay, đã có rất nhiều trường hợp liên quan đến vấn đề rò rỉ bảo mật thông tin người dùng crypto. Ngay cả sàn giao dịch lớn như Binance cũng là nạn nhân.

Vào khoảng thời gian năm 2019, đã có thông tin về việc sàn giao dịch tiền điện tử Binance bị hack dữ liệu của hơn 10,000 người dùng. Thời điểm đó, hacker đã tống tiền sàn giao dịch bằng cách yêu cầu đổi 10,000 dữ liệu này thành 3.5 triệu đô bằng Bitcoin tại thời điểm đó.

Sau đó, sàn giao dịch đã treo thưởng cho người giúp tìm được thông tin hacker với số tiền lên đến $290,000, đồng thời cung cấp tài khoản VIP trọn đời cho những người bị lộ thông tin KYC.

Ngoài Binance, các sàn điện tử khác cũng từng trải qua những cáo buộc về rò rỉ thông tin như Huobi Global hay một số sàn ít được biết đến như BIKI, Hetbi, ZDCoin.

Trường hợp khác đến từ ví lạnh Ledger khi tổ chức này bị hacker đánh cắp hết hơn 1 triệu email với các thông tin đăng ký dùng hồi tháng 6/2020, sau đó hacker cũng đã rao bán tệp dữ liệu này trên RaidForums. Theo đại diện Ledger thông báo, lượng người dùng bị thiệt hại từ vụ hack này là hơn 9,500 người.

Và còn rất nhiều vụ hack khác nữa mà mình không thể kể hết khi tài chính phi tập trung DeFi bùng nổ mạnh mẽ từ năm 2021 đến hiện tại.

Bài học về vấn đề bảo mật trong Crypto

Trước vô số rủi ro tiềm tàng về bảo mật như vậy thì bài học mà chúng ta có thể rút ra là gì?

KYC là quy định bắt buộc của hầu hết các sàn giao dịch tiền điện tử, chúng ta không thể tránh khỏi yêu cầu này nếu muốn giao dịch với volume lớn. Do đó, hầu như chúng ta không thể đảm bảo hết được sự an toàn thông tin của mình.

Tuy nhiên chúng ta hoàn toàn có thể hạn chế nó, vậy bằng cách nào?

  • Thứ nhất là hãy lựa chọn sàn giao dịch top đầu vì những sàn như vậy thường có sự uy tín nhiều hơn. Dù vậy, trong thị trường này người dùng cũng không nên đặt hết niềm tin vào bất kỳ sàn giao dịch nào, vì chúng ta không thể biết được liệu sàn có bán thông tin của mình hay không.
  • Thứ 2, tuyệt đối không bao giờ bấm vào link không xác định. Thỉnh thoảng trên các diễn đàn cộng đồng sẽ xuất hiện những đường link không xác định, cùng những gợi ý thu hút người dùng bấm chọn vào link, có thể bằng một cách nào đó, đường dẫn đó sẽ là con đường để hacker xâm nhập vào tài khoản của bạn để lấy tiền và thông tin.
  • Thứ 3, không cung cấp bất kỳ thông tin bảo mật nào cho người lạ, đặc biệt là mật khẩu truy cập tài khoản và các khóa riêng tư, passphrase. Đã có nhiều trường hợp hacker xâm nhập dữ liệu người dùng qua con đường yêu cầu họ điền thông tin vào biểu mẫu mạo danh, thường là thông tin airdrop, quà tặng hoặc đăng ký whitelist tham gia IDO,... Gần đây. người dùng MetaMask cũng đã gặp trường hợp lừa đảo tương tự như vậy và Metamask cũng đích thân cảnh báo người dùng trước trò lừa đảo tinh vi đó, bạn có thể tìm hiểu thêm tại đây.
  • Bài học thứ 4 theo mình thấy sẽ cực hữu ích nếu thông tin KYC của bạn bị rò rỉ đó là sử dụng ví cá nhân để quản lý tài sản thay vì sử dụng ví sàn giao dịch. Bởi vì hacker sử dụng thông tin KYC cũng vì mục đích chính là truy cập vào tài khoản người dùng và lấy tiền. Do đó, nếu tài sản của bạn nằm trong ví cá nhân thì rủi ro mất tài sản vì bị hack dường như là không xảy ra.

Hiện nay, cũng có nhiều ví tiền điện tử bảo mật tốt và phi tập trung, giúp người dùng an tâm hơn với tài sản của mình, như MetaMask, Trust Wallet, Coin98 Wallet.

Tuy nhiên, là một người dùng, mình khuyến khích bạn nên sử dụng Coin98 Wallet để quản lý tài sản thay vì các ví khác. Lý do là vì Coin98 Wallet là ví non-custodial nên mức bảo mật cực cao, ví cũng được tích hợp nhiều tính năng cùng mức phí giao dịch rẻ nên sẽ vô cùng tiện lợi với người dùng. Đồng thời, đây là một sản phẩm chất lượng được phát triển bởi đội ngũ Coin98 Finance tại Việt Nam.

Tổng kết

Như vậy, sau vụ việc từ Pi Network, có lẽ bạn đọc đã ít nhiều rút ra được bài học và kinh nghiệm cho riêng mình khi giao dịch trong thị trường tiền điện tử.

Vấn đề bảo mật trong crypto là vô cùng quan trọng vì nó ảnh hưởng trực tiếp đến túi tiền của người dùng. Do đó, để trở thành người dùng thông thái và hơn hết là bảo vệ tài sản của mình thì bạn đọc phải luôn đề cao cảnh giác và thật tỉnh táo trước những thủ đoạn lừa đảo tinh vi.

Nếu bạn đọc có thêm phương pháp nào về việc nâng cao bảo mật thì hãy bình luận bên dưới bài viết này để chúng ta cùng nhau tham khảo và phòng tránh nhé.

Hẹn gặp lại các bạn ở những bài chia sẻ sau!

Đọc thêm: Tâm lý thị trường trong đầu tư crypto

#luadao #Kinhnghiem #nguoimoi #PiNetwork