Gần đây lại thấy có người bàn luận về vụ chuyển nhầm 3 triệu USDT. Nói thật, những câu chuyện như này năm nào cũng xảy ra, chỉ là nạn nhân thay đổi mà thôi.

Có người đổ lỗi cho “người nhà thao tác nhầm”, có người bảo là “lỡ tay”. Nhưng nếu bạn thực sự hiểu cách vận hành của ví tiền mã hóa, bạn sẽ nhận ra: Khoảnh khắc mà cụm từ khôi phục xuất hiện trong lịch sử chat WeChat, trò chơi đã kết thúc rồi.

Nhiều người không hiểu rõ cụm từ khôi phục thực chất là gì. Nó không phải “mật khẩu” theo nghĩa thông thường—nó giống như chiếc chìa khóa vạn năng mở cả kho tài sản số của bạn. Ai nắm được cụm từ khôi phục là có thể suy ra toàn bộ private key của ví. Hacker lấy được, chỉ mất vài phút để vét sạch tài sản của bạn, thậm chí xóa luôn cả dấu vết giao dịch.

Cách làm trong vụ đó đúng là ví dụ điển hình cho sai lầm: lưu cụm từ khôi phục trên WeChat, rồi dùng một chiếc điện thoại Android cũ để copy-paste. Điều này chẳng khác nào trải thảm đỏ cho hacker—tin nhắn WeChat được backup lên cloud, thiết bị cũ đầy lỗ hổng, WiFi công cộng nghe lén clipboard… Hacker chẳng cần kỹ thuật cao siêu gì, chỉ cần một đoạn script theo dõi là có thể chặn ngay thông tin nhạy cảm của bạn.

Lời khuyên của tôi rất đơn giản: nếu bạn vẫn còn lưu cụm từ khôi phục bằng ảnh chụp màn hình, hoặc gửi nó qua bất kỳ phần mềm mạng xã hội nào, thì về cơ bản chẳng khác nào viết mật khẩu thẻ ngân hàng lên cột điện ngoài đường. Dù là người thân tin tưởng nhất, cũng không nên để cụm từ khôi phục tiếp xúc với bất kỳ thiết bị kết nối mạng nào. Khắc lên tấm kim loại, cất offline, rồi khóa trong két sắt ngân hàng—đó mới là nơi nó nên ở.

Khi vợ trong vụ việc thao tác, thiết bị còn kết nối với một nguồn…

(Chưa hết, nhưng logic cốt lõi đã rất rõ ràng: tiện lợi và an toàn, trong thế giới crypto mãi mãi là hai mặt đối lập.)