Tài sản tiền điện tử và Blockchain an toàn: Các mối đe dọa mới và chiến lược phòng ngừa
Tài sản tiền điện tử và công nghệ Blockchain đang tái định hình khái niệm về tự do tài chính, nhưng cuộc cách mạng này cũng mang đến những thách thức an ninh mới. Khác với các cuộc tấn công lỗ hổng kỹ thuật truyền thống, các kẻ lừa đảo hiện nay đang khéo léo biến các giao thức hợp đồng thông minh Blockchain thành công cụ tấn công. Họ lợi dụng tính minh bạch và tính không thể đảo ngược của Blockchain, kết hợp với những cái bẫy kỹ thuật xã hội được thiết kế tinh vi, biến lòng tin của người dùng thành công cụ để đánh cắp tài sản.
Từ việc giả mạo hợp đồng thông minh đến thao túng giao dịch chuỗi chéo, những phương thức tấn công này không chỉ kín đáo khó phát hiện, mà còn mang tính lừa đảo rất cao do vẻ ngoài "hợp pháp" của chúng. Bài viết này sẽ thông qua việc phân tích các trường hợp thực tế, tiết lộ cách mà kẻ lừa đảo chuyển đổi các giao thức thành phương tiện tấn công, và cung cấp giải pháp toàn diện từ bảo vệ kỹ thuật đến phòng ngừa hành vi, giúp người dùng tiến bước an toàn trong thế giới phi tập trung.
Một, giao thức trở thành công cụ lừa đảo như thế nào?
Giao thức Blockchain được thiết kế để đảm bảo an toàn và tin cậy, nhưng những kẻ lừa đảo lại khéo léo lợi dụng các đặc tính của nó, kết hợp với sự sơ suất của người dùng, tạo ra nhiều phương thức tấn công ẩn giấu khác nhau. Dưới đây là một số thủ thuật phổ biến và các chi tiết kỹ thuật của chúng:
(1) Ủy quyền hợp đồng thông minh độc hại
Nguyên lý kỹ thuật:
Trên các blockchain như Ethereum, tiêu chuẩn token ERC-20 cho phép người dùng ủy quyền cho bên thứ ba (thường là hợp đồng thông minh) rút một số lượng token nhất định từ ví của họ thông qua hàm "Approve". Chức năng này được sử dụng rộng rãi trong các giao thức tài chính phi tập trung (DeFi), nơi người dùng cần ủy quyền cho hợp đồng thông minh để thực hiện giao dịch, staking hoặc khai thác thanh khoản. Tuy nhiên, những kẻ lừa đảo đã lợi dụng cơ chế này để thiết kế các hợp đồng độc hại.
Cách hoạt động:
Kẻ lừa đảo tạo ra một ứng dụng phi tập trung (DApp) giả mạo dự án hợp pháp, thường thông qua các trang web lừa đảo hoặc quảng cáo trên mạng xã hội. Người dùng kết nối ví và bị dụ nhấp vào "Approve", bề ngoài là cấp quyền cho một lượng token nhỏ, nhưng thực tế có thể là hạn mức vô hạn (giá trị uint256.max). Khi việc cấp quyền hoàn tất, địa chỉ hợp đồng của kẻ lừa đảo nhận được quyền, có thể bất cứ lúc nào gọi hàm "TransferFrom" để rút toàn bộ token tương ứng từ ví của người dùng.
Trường hợp:
Vào đầu năm 2023, một trang web lừa đảo giả mạo là bản nâng cấp của một DEX đã khiến hàng trăm người dùng mất hàng triệu đô la Tài sản tiền điện tử ổn định và Tài sản tiền điện tử chính. Dữ liệu trên chuỗi cho thấy, các giao dịch này hoàn toàn phù hợp với tiêu chuẩn ERC-20, nạn nhân thậm chí không thể thu hồi bằng các biện pháp pháp lý, vì việc ủy quyền là được ký tự nguyện.
(2) Chữ ký giả mạo
Nguyên lý kỹ thuật:
Giao dịch Blockchain yêu cầu người dùng tạo chữ ký thông qua khóa riêng để chứng minh tính hợp pháp của giao dịch. Ví thường sẽ hiển thị yêu cầu chữ ký, sau khi người dùng xác nhận, giao dịch sẽ được phát đi trên mạng. Kẻ lừa đảo lợi dụng quy trình này để giả mạo yêu cầu chữ ký nhằm đánh cắp tài sản.
**Cách hoạt động: **
Người dùng nhận được một email hoặc tin nhắn tức thì giả mạo thông báo chính thức, chẳng hạn như "Airdrop NFT của bạn đang chờ nhận, vui lòng xác minh ví". Sau khi nhấp vào liên kết, người dùng được dẫn đến một trang web độc hại, yêu cầu kết nối ví và ký một "giao dịch xác minh". Giao dịch này thực chất có thể gọi hàm "Transfer", trực tiếp chuyển tài sản tiền điện tử trong ví đến địa chỉ của kẻ lừa đảo; hoặc là một thao tác "SetApprovalForAll", ủy quyền cho kẻ lừa đảo kiểm soát bộ sưu tập NFT của người dùng.
Trường hợp:
Một cộng đồng dự án NFT nổi tiếng đã từng gặp phải cuộc tấn công lừa đảo bằng chữ ký, nhiều người dùng đã mất đi các NFT trị giá hàng triệu đô la vì đã ký vào giao dịch "nhận airdrop" giả mạo. Kẻ tấn công đã lợi dụng tiêu chuẩn chữ ký EIP-712 để giả mạo các yêu cầu có vẻ an toàn.
(3) Token giả và "tấn công bụi"
Nguyên lý kỹ thuật:
Tính công khai của Blockchain cho phép bất kỳ ai gửi token đến bất kỳ địa chỉ nào, ngay cả khi bên nhận không yêu cầu. Những kẻ lừa đảo đã lợi dụng điều này bằng cách gửi một lượng nhỏ Tài sản tiền điện tử đến nhiều địa chỉ ví khác nhau để theo dõi hoạt động của ví và liên kết nó với cá nhân hoặc công ty sở hữu ví.
Cách thức hoạt động:
Kẻ tấn công trước tiên gửi "bụi" - gửi một lượng nhỏ tài sản tiền điện tử tới các địa chỉ khác nhau, sau đó cố gắng phân tích những địa chỉ nào thuộc về cùng một ví. Tiếp theo, kẻ tấn công sử dụng thông tin này để thực hiện tấn công lừa đảo hoặc đe dọa nạn nhân.
Trong hầu hết các trường hợp, "bụi" được sử dụng trong cuộc tấn công bụi được phát hành dưới dạng airdrop vào ví của người dùng, những mã thông báo này có thể mang tên hoặc siêu dữ liệu hấp dẫn, dụ dỗ người dùng truy cập vào một trang web để tìm hiểu chi tiết. Khi người dùng muốn quy đổi những mã thông báo này, kẻ tấn công có thể truy cập vào ví của người dùng thông qua địa chỉ hợp đồng đi kèm với mã thông báo. Nguy hiểm hơn, cuộc tấn công bụi sẽ thông qua kỹ thuật xã hội, phân tích các giao dịch tiếp theo của người dùng, xác định địa chỉ ví hoạt động của người dùng, từ đó thực hiện các hành vi lừa đảo chính xác hơn.
Trường hợp:
Trên mạng Ethereum đã xảy ra cuộc tấn công "GAS token" bụi, ảnh hưởng đến hàng nghìn ví. Một số người dùng vì tò mò tương tác đã mất ETH và token ERC-20.
Hai, tại sao những trò lừa đảo này lại khó phát hiện?
Những trò lừa đảo này thành công chủ yếu vì chúng ẩn mình trong các cơ chế hợp pháp của Blockchain, khiến người dùng bình thường khó phân biệt được bản chất ác ý của chúng. Các lý do chính bao gồm:
Độ phức tạp của công nghệ: Mã hợp đồng thông minh và yêu cầu ký kết đối với người dùng không chuyên về kỹ thuật có thể khó hiểu. Ví dụ, một yêu cầu "Approve" có thể hiển thị dưới dạng dữ liệu thập lục phân phức tạp, người dùng không thể trực quan xác định ý nghĩa của nó.
Tính hợp pháp trên chuỗi: Tất cả các giao dịch được ghi lại trên Blockchain, có vẻ như minh bạch, nhưng nạn nhân thường chỉ nhận ra hậu quả của việc ủy quyền hoặc ký sau đó, và vào lúc đó tài sản đã không thể lấy lại.
**Kỹ thuật xã hội: ** Kẻ lừa đảo lợi dụng điểm yếu của con người, như lòng tham ("nhận token lớn miễn phí"), nỗi sợ hãi ("tài khoản có vấn đề cần xác minh") hoặc lòng tin (giả mạo thành viên dịch vụ khách hàng chính thức).
Ngụy trang tinh vi: Các trang web lừa đảo có thể sử dụng URL giống hệt với tên miền chính thức, thậm chí tăng độ tin cậy thông qua chứng chỉ HTTPS.
Ba, làm thế nào để bảo vệ ví tài sản tiền điện tử của bạn?
Đối mặt với những trò lừa đảo kết hợp giữa công nghệ và tâm lý này, bảo vệ tài sản cần có nhiều chiến lược đa lớp. Dưới đây là các biện pháp phòng ngừa chi tiết:
Kiểm tra và quản lý quyền ủy quyền
Sử dụng công cụ kiểm tra ủy quyền của trình duyệt Blockchain để kiểm tra hồ sơ ủy quyền của ví.
Thường xuyên thu hồi các quyền truy cập không cần thiết, đặc biệt là quyền truy cập không giới hạn đối với các địa chỉ không rõ.
Trước mỗi lần ủy quyền, hãy đảm bảo DApp đến từ nguồn đáng tin cậy.
Kiểm tra giá trị "Allowance", nếu là "vô hạn" (như 2^256-1), nên ngay lập tức hủy bỏ.
Xác thực liên kết và nguồn
Nhập URL chính thức bằng tay, tránh nhấp vào các liên kết trong mạng xã hội hoặc email.
Đảm bảo trang web sử dụng tên miền và chứng chỉ SSL chính xác (biểu tượng khóa màu xanh).
Cảnh giác với những tên miền có lỗi chính tả hoặc ký tự thừa.
Sử dụng ví lạnh và chữ ký đa chữ ký
Lưu trữ hầu hết tài sản trong ví phần cứng và chỉ kết nối mạng khi cần thiết.
Đối với tài sản lớn, sử dụng công cụ ký nhiều chữ ký, yêu cầu nhiều khóa xác nhận giao dịch, giảm thiểu rủi ro sai sót điểm đơn.
Ngay cả khi ví nóng bị tấn công, tài sản lưu trữ lạnh vẫn an toàn.
Hãy xử lý yêu cầu ký tên một cách cẩn thận
Mỗi lần ký, hãy đọc kỹ chi tiết giao dịch trong cửa sổ bật lên của ví.
Sử dụng chức năng "Giải mã dữ liệu đầu vào" của trình duyệt blockchain để phân tích nội dung chữ ký, hoặc tham khảo ý kiến chuyên gia kỹ thuật.
Tạo ví độc lập cho các hoạt động rủi ro cao, lưu trữ một lượng tài sản nhỏ.
ứng phó với cuộc tấn công bụi
Sau khi nhận được token không rõ nguồn gốc, không tương tác. Đánh dấu nó là "rác" hoặc ẩn đi.
Xác nhận nguồn gốc của token thông qua trình duyệt Blockchain, nếu là gửi hàng loạt, cần hết sức cảnh giác.
Tránh công khai địa chỉ ví, hoặc sử dụng địa chỉ mới cho các hoạt động nhạy cảm.
Kết luận
Việc thực hiện các biện pháp an ninh trên có thể làm giảm đáng kể rủi ro trở thành nạn nhân của các kế hoạch gian lận tinh vi, nhưng an ninh thực sự không chỉ phụ thuộc vào công nghệ. Khi ví phần cứng tạo ra hàng rào vật lý và chữ ký đa chữ ký phân tán rủi ro, thì sự hiểu biết của người dùng về logic ủy quyền và sự thận trọng trong hành vi trên chuỗi mới là pháo đài cuối cùng chống lại các cuộc tấn công. Mỗi lần phân tích dữ liệu trước khi ký, mỗi lần kiểm tra quyền hạn sau khi ủy quyền, đều là một lời tuyên thệ về chủ quyền số của bản thân.
Trong tương lai, bất kể công nghệ có tiến hóa ra sao, rào cản cốt lõi nhất vẫn luôn là: nội hóa nhận thức về an ninh thành thói quen, xây dựng sự cân bằng giữa niềm tin và xác thực. Trong thế giới blockchain mà mã là luật, mỗi cú nhấp chuột, mỗi giao dịch đều được ghi lại vĩnh viễn và không thể thay đổi. Do đó, việc giữ cảnh giác và hành động cẩn thận là điều cực kỳ quan trọng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
7
Chia sẻ
Bình luận
0/400
GasFeeBarbecue
· 07-21 19:03
đồ ngốc门 đặc biệt khó chịu với loại bẫy này
Xem bản gốcTrả lời0
MEVSandwichVictim
· 07-21 05:16
Lại bị chơi cho Suckers rồi
Xem bản gốcTrả lời0
LeekCutter
· 07-18 21:47
đồ ngốc天生就该被 chơi đùa với mọi người
Xem bản gốcTrả lời0
GateUser-2fce706c
· 07-18 21:38
Đã nói từ lâu rằng đường đua Blockchain đầy rẫy nguy hiểm, hãy xem bây giờ là một nơi thu hoạch đồ ngốc.
Xem bản gốcTrả lời0
PensionDestroyer
· 07-18 21:31
Rug Pull là sự thật duy nhất
Xem bản gốcTrả lời0
GasGrillMaster
· 07-18 21:31
Khuyên mọi người không nên chạm vào hợp đồng thông minh, sẽ chịu thiệt thôi.
Xem bản gốcTrả lời0
SignatureVerifier
· 07-18 21:19
nói một cách kỹ thuật... một trường hợp khác của việc thiếu giao thức xác thực smh. khi nào họ mới học cách thực hiện các kiểm toán bảo mật đúng cách?
Blockchain an toàn mối đe dọa mới: hợp đồng thông minh trở thành công cụ lừa đảo chiến lược phòng ngừa được phân tích đầy đủ
Tài sản tiền điện tử và Blockchain an toàn: Các mối đe dọa mới và chiến lược phòng ngừa
Tài sản tiền điện tử và công nghệ Blockchain đang tái định hình khái niệm về tự do tài chính, nhưng cuộc cách mạng này cũng mang đến những thách thức an ninh mới. Khác với các cuộc tấn công lỗ hổng kỹ thuật truyền thống, các kẻ lừa đảo hiện nay đang khéo léo biến các giao thức hợp đồng thông minh Blockchain thành công cụ tấn công. Họ lợi dụng tính minh bạch và tính không thể đảo ngược của Blockchain, kết hợp với những cái bẫy kỹ thuật xã hội được thiết kế tinh vi, biến lòng tin của người dùng thành công cụ để đánh cắp tài sản.
Từ việc giả mạo hợp đồng thông minh đến thao túng giao dịch chuỗi chéo, những phương thức tấn công này không chỉ kín đáo khó phát hiện, mà còn mang tính lừa đảo rất cao do vẻ ngoài "hợp pháp" của chúng. Bài viết này sẽ thông qua việc phân tích các trường hợp thực tế, tiết lộ cách mà kẻ lừa đảo chuyển đổi các giao thức thành phương tiện tấn công, và cung cấp giải pháp toàn diện từ bảo vệ kỹ thuật đến phòng ngừa hành vi, giúp người dùng tiến bước an toàn trong thế giới phi tập trung.
Một, giao thức trở thành công cụ lừa đảo như thế nào?
Giao thức Blockchain được thiết kế để đảm bảo an toàn và tin cậy, nhưng những kẻ lừa đảo lại khéo léo lợi dụng các đặc tính của nó, kết hợp với sự sơ suất của người dùng, tạo ra nhiều phương thức tấn công ẩn giấu khác nhau. Dưới đây là một số thủ thuật phổ biến và các chi tiết kỹ thuật của chúng:
(1) Ủy quyền hợp đồng thông minh độc hại
Nguyên lý kỹ thuật: Trên các blockchain như Ethereum, tiêu chuẩn token ERC-20 cho phép người dùng ủy quyền cho bên thứ ba (thường là hợp đồng thông minh) rút một số lượng token nhất định từ ví của họ thông qua hàm "Approve". Chức năng này được sử dụng rộng rãi trong các giao thức tài chính phi tập trung (DeFi), nơi người dùng cần ủy quyền cho hợp đồng thông minh để thực hiện giao dịch, staking hoặc khai thác thanh khoản. Tuy nhiên, những kẻ lừa đảo đã lợi dụng cơ chế này để thiết kế các hợp đồng độc hại.
Cách hoạt động: Kẻ lừa đảo tạo ra một ứng dụng phi tập trung (DApp) giả mạo dự án hợp pháp, thường thông qua các trang web lừa đảo hoặc quảng cáo trên mạng xã hội. Người dùng kết nối ví và bị dụ nhấp vào "Approve", bề ngoài là cấp quyền cho một lượng token nhỏ, nhưng thực tế có thể là hạn mức vô hạn (giá trị uint256.max). Khi việc cấp quyền hoàn tất, địa chỉ hợp đồng của kẻ lừa đảo nhận được quyền, có thể bất cứ lúc nào gọi hàm "TransferFrom" để rút toàn bộ token tương ứng từ ví của người dùng.
Trường hợp: Vào đầu năm 2023, một trang web lừa đảo giả mạo là bản nâng cấp của một DEX đã khiến hàng trăm người dùng mất hàng triệu đô la Tài sản tiền điện tử ổn định và Tài sản tiền điện tử chính. Dữ liệu trên chuỗi cho thấy, các giao dịch này hoàn toàn phù hợp với tiêu chuẩn ERC-20, nạn nhân thậm chí không thể thu hồi bằng các biện pháp pháp lý, vì việc ủy quyền là được ký tự nguyện.
(2) Chữ ký giả mạo
Nguyên lý kỹ thuật: Giao dịch Blockchain yêu cầu người dùng tạo chữ ký thông qua khóa riêng để chứng minh tính hợp pháp của giao dịch. Ví thường sẽ hiển thị yêu cầu chữ ký, sau khi người dùng xác nhận, giao dịch sẽ được phát đi trên mạng. Kẻ lừa đảo lợi dụng quy trình này để giả mạo yêu cầu chữ ký nhằm đánh cắp tài sản.
**Cách hoạt động: ** Người dùng nhận được một email hoặc tin nhắn tức thì giả mạo thông báo chính thức, chẳng hạn như "Airdrop NFT của bạn đang chờ nhận, vui lòng xác minh ví". Sau khi nhấp vào liên kết, người dùng được dẫn đến một trang web độc hại, yêu cầu kết nối ví và ký một "giao dịch xác minh". Giao dịch này thực chất có thể gọi hàm "Transfer", trực tiếp chuyển tài sản tiền điện tử trong ví đến địa chỉ của kẻ lừa đảo; hoặc là một thao tác "SetApprovalForAll", ủy quyền cho kẻ lừa đảo kiểm soát bộ sưu tập NFT của người dùng.
Trường hợp: Một cộng đồng dự án NFT nổi tiếng đã từng gặp phải cuộc tấn công lừa đảo bằng chữ ký, nhiều người dùng đã mất đi các NFT trị giá hàng triệu đô la vì đã ký vào giao dịch "nhận airdrop" giả mạo. Kẻ tấn công đã lợi dụng tiêu chuẩn chữ ký EIP-712 để giả mạo các yêu cầu có vẻ an toàn.
(3) Token giả và "tấn công bụi"
Nguyên lý kỹ thuật: Tính công khai của Blockchain cho phép bất kỳ ai gửi token đến bất kỳ địa chỉ nào, ngay cả khi bên nhận không yêu cầu. Những kẻ lừa đảo đã lợi dụng điều này bằng cách gửi một lượng nhỏ Tài sản tiền điện tử đến nhiều địa chỉ ví khác nhau để theo dõi hoạt động của ví và liên kết nó với cá nhân hoặc công ty sở hữu ví.
Cách thức hoạt động: Kẻ tấn công trước tiên gửi "bụi" - gửi một lượng nhỏ tài sản tiền điện tử tới các địa chỉ khác nhau, sau đó cố gắng phân tích những địa chỉ nào thuộc về cùng một ví. Tiếp theo, kẻ tấn công sử dụng thông tin này để thực hiện tấn công lừa đảo hoặc đe dọa nạn nhân.
Trong hầu hết các trường hợp, "bụi" được sử dụng trong cuộc tấn công bụi được phát hành dưới dạng airdrop vào ví của người dùng, những mã thông báo này có thể mang tên hoặc siêu dữ liệu hấp dẫn, dụ dỗ người dùng truy cập vào một trang web để tìm hiểu chi tiết. Khi người dùng muốn quy đổi những mã thông báo này, kẻ tấn công có thể truy cập vào ví của người dùng thông qua địa chỉ hợp đồng đi kèm với mã thông báo. Nguy hiểm hơn, cuộc tấn công bụi sẽ thông qua kỹ thuật xã hội, phân tích các giao dịch tiếp theo của người dùng, xác định địa chỉ ví hoạt động của người dùng, từ đó thực hiện các hành vi lừa đảo chính xác hơn.
Trường hợp: Trên mạng Ethereum đã xảy ra cuộc tấn công "GAS token" bụi, ảnh hưởng đến hàng nghìn ví. Một số người dùng vì tò mò tương tác đã mất ETH và token ERC-20.
Hai, tại sao những trò lừa đảo này lại khó phát hiện?
Những trò lừa đảo này thành công chủ yếu vì chúng ẩn mình trong các cơ chế hợp pháp của Blockchain, khiến người dùng bình thường khó phân biệt được bản chất ác ý của chúng. Các lý do chính bao gồm:
Độ phức tạp của công nghệ: Mã hợp đồng thông minh và yêu cầu ký kết đối với người dùng không chuyên về kỹ thuật có thể khó hiểu. Ví dụ, một yêu cầu "Approve" có thể hiển thị dưới dạng dữ liệu thập lục phân phức tạp, người dùng không thể trực quan xác định ý nghĩa của nó.
Tính hợp pháp trên chuỗi: Tất cả các giao dịch được ghi lại trên Blockchain, có vẻ như minh bạch, nhưng nạn nhân thường chỉ nhận ra hậu quả của việc ủy quyền hoặc ký sau đó, và vào lúc đó tài sản đã không thể lấy lại.
**Kỹ thuật xã hội: ** Kẻ lừa đảo lợi dụng điểm yếu của con người, như lòng tham ("nhận token lớn miễn phí"), nỗi sợ hãi ("tài khoản có vấn đề cần xác minh") hoặc lòng tin (giả mạo thành viên dịch vụ khách hàng chính thức).
Ngụy trang tinh vi: Các trang web lừa đảo có thể sử dụng URL giống hệt với tên miền chính thức, thậm chí tăng độ tin cậy thông qua chứng chỉ HTTPS.
Ba, làm thế nào để bảo vệ ví tài sản tiền điện tử của bạn?
Đối mặt với những trò lừa đảo kết hợp giữa công nghệ và tâm lý này, bảo vệ tài sản cần có nhiều chiến lược đa lớp. Dưới đây là các biện pháp phòng ngừa chi tiết:
Kiểm tra và quản lý quyền ủy quyền
Xác thực liên kết và nguồn
Sử dụng ví lạnh và chữ ký đa chữ ký
Hãy xử lý yêu cầu ký tên một cách cẩn thận
ứng phó với cuộc tấn công bụi
Kết luận
Việc thực hiện các biện pháp an ninh trên có thể làm giảm đáng kể rủi ro trở thành nạn nhân của các kế hoạch gian lận tinh vi, nhưng an ninh thực sự không chỉ phụ thuộc vào công nghệ. Khi ví phần cứng tạo ra hàng rào vật lý và chữ ký đa chữ ký phân tán rủi ro, thì sự hiểu biết của người dùng về logic ủy quyền và sự thận trọng trong hành vi trên chuỗi mới là pháo đài cuối cùng chống lại các cuộc tấn công. Mỗi lần phân tích dữ liệu trước khi ký, mỗi lần kiểm tra quyền hạn sau khi ủy quyền, đều là một lời tuyên thệ về chủ quyền số của bản thân.
Trong tương lai, bất kể công nghệ có tiến hóa ra sao, rào cản cốt lõi nhất vẫn luôn là: nội hóa nhận thức về an ninh thành thói quen, xây dựng sự cân bằng giữa niềm tin và xác thực. Trong thế giới blockchain mà mã là luật, mỗi cú nhấp chuột, mỗi giao dịch đều được ghi lại vĩnh viễn và không thể thay đổi. Do đó, việc giữ cảnh giác và hành động cẩn thận là điều cực kỳ quan trọng.