Trên kênh truyền thông chính thức thuộc mạng xã hội Twitter, đại diện Metamask công bố công ty mới nâng cấp bảo mật cho sản phẩm ví điện tử.
“Đây là một phần trong cam kết đảm bảo an toàn cho cộng đồng tiền điện tử và khách hàng. Chúng tôi đã phối hợp cùng đơn vị OpenSea và Blockaid để chạy thử nghiệm tính năng cảnh báo mỗi khi người dùng đứng trước nguy cơ lừa đảo”, đại diện Metamask nói.
Thông thường, khi kết nối ví điện tử Metamask với những nền tảng hỗ trợ mạng lưới Blockchain, khách hàng cần ký vào các hợp đồng thông minh (smart contract) nếu muốn thực hiện thao tác mua bán, trao đổi hay chuyển tiền sang các địa chỉ ví khác. Tuy nhiên, trong một số trường hợp, smart contract chứa các điều khoản khiến ví của nhà đầu tư có thể bị xâm nhập. Thậm chí, việc vô tình cấp quyền cho smart contract lạ còn dẫn đến nguy cơ mất toàn bộ tài sản trong ví.
Tìm hiểu thêm: Thực hư thông tin MetaMask sẽ có đợt airdrop vào cuối tháng 3
Theo chia sẻ từ đội ngũ Metamask, tính năng cảnh báo lừa đảo hiện có 2 cấp độ: “có thể không an toàn” và “nguy hiểm”. Ở mức độ “nguy hiểm”, các smart contract khách hàng sắp tương tác đã bị gắn cờ trước đó bởi OpenSea, sàn giao dịch NFT lớn nhất thế giới. Đối với mức độ “có thể không an toàn”, ví Metamask thông báo các đơn vị bảo mật chưa phát hiện bất kỳ hoạt động độc hại nào. Mặc dù vậy, smart contract đó vẫn tiềm ẩn nguy cơ và người dùng hoàn toàn chịu trách nhiệm nếu vẫn muốn truy cập.
Cũng theo Metamask, hiện tính cảnh báo lừa đảo trên ví chỉ vận hành nhờ phân tích của đơn vị bảo mật Blockaid và hệ thống phân loại các hình thức gian lận trên sàn OpenSea. Vì vậy, nhiều nhà đầu tư đánh giá công cụ này có thể bị lạm dụng, dẫn đến tình trạng thiếu công bằng.
“Tôi hiểu Metamask muốn mang lại lợi ích cho người dùng, tuy nhiên, sàn OpenSea đôi lúc tỏ ra thiếu tin cậy. Đội ngũ điều hành ví điện tử trao quyền cho họ, và họ có thể sử dụng nó để gắn cờ những dự án của đối thủ cạnh tranh”, tài khoản twitter @ovrlocked bình luận trong bài đăng của Metamask.
Ngoài ra, một số khách hàng đánh giá tính năng cảnh báo không giải quyết triệt để vấn đề. Đến hiện tại, hầu hết các vụ việc bị mất tài sản thông qua ví Metamask đều xuất phát từ lỗi khách hàng.
Ví dụ vào tháng 2/2023, trang chủ Metamask đưa thông báo về hình thức lừa đảo đơn giản nhưng khiến nhiều người mắc bẫy. Cụ thể, kẻ xấu gửi một email với nội dung ví điện tử sắp bị khóa khiến chủ tài khoản thực hiện KYC (xác minh danh tính), đồng thời, chúng đính kèm cuối email đường dẫn tới trang web lạ.
Giao diện trang web giả mạo được thiết kế giống với trang chủ Metamask. Tại đây, hacker yêu cầu nạn nhân cung cấp cụm 12 từ khóa khôi phục tài khoản (Secret Recovery Phrase). Những người thiếu kinh nghiệm thường để lộ cụm từ khóa này và kẻ xấu sẽ chiếm quyền kiểm soát ví.
Đáng nói, tên miền hoặc email giả mạo của tin tặc thường dễ xác định, khác xa với tên miền doanh nghiệp được đăng ký bởi Metamask. Mặc dù vậy, nhiều khách hàng vẫn bị lừa theo cách này.
“Đội ngũ Metamask nên lắng nghe người dùng hơn. Theo tôi, để gia tăng độ bảo mật, trước mắt công ty cần phát triển tùy chọn xác thực 2 yếu tố khi mở ví hoặc thực hiện giao dịch”, tài khoản Twitter @Almutasemalhaj nói với đại diện Metamask.
Xác thực 2 yếu tố là tính năng thường thấy trên các sàn giao dịch tập trung (CEX). Để giao dịch được hoàn tất, khách hàng cần cung cấp mã xác nhận được gửi về email hoặc số điện thoại đã đăng ký ngay thời điểm lập tài khoản. Hiện ví điện tử Metamask chưa yêu cầu các bước này.
