#私钥与助记词被盗 Lại là một câu chuyện quen thuộc lặp lại. Nhìn thấy sự cố Trust Wallet lần này, trong đầu thoáng qua những sàn giao dịch bị hack năm 2017, sóng rò rỉ khóa riêng năm 2018, sự cố cầu Ronin năm 2022... Chu kỳ thay đổi, phương pháp tiến hoá, nhưng bản chất không thay đổi — các khâu tập trung là điểm yếu nhất.

Điều xót nhất của vụ cướp Noel lần này không phải con số 6 triệu đô la lớn cỡ nào, mà nó vạch trần một ảo tưởng: ví tự quản lý = an toàn tuyệt đối. Sai rồi. Khi tiện ích mở rộng trình duyệt bị chỉnh sửa, khi quyền quản lý triển khai của nhà phát triển bị chiếm đoạt, cụm từ gợi ý và mật khẩu của bạn giống như được để trong một căn nhà kính trong suốt. Kẻ tấn công dùng công cụ hợp pháp như PostHog làm che phủ, trực tiếp chỉnh sửa mã nguồn, hoàn thành một cuộc tấn công APT được chuẩn bị kỹ lưỡng. Điều này cho thấy đối phương đã kiểm soát quyền truy cập nội bộ rồi — đây là rủi ro ở một chiều độ khác.

Tôi đã gặp quá nhiều người lật úng trong ngành tiền điện tử, có người vì tham lam, có người vì xui xẻo, nhưng nhóm người đáng tiếc nhất là những người tin sai công cụ. Từ năm 2017, đã có người nhắc đi nhắc lại: đừng để tiền trên sàn giao dịch, tự quản lý khóa riêng. Hơn mười năm trôi qua, lý do không thay đổi, nhưng mọi người vẫn lặp lại cùng một sai lầm — chỉ cần công cụ nổi tiếng, người dùng nhiều, thì vô thức nới lỏng cảnh báo.

Lời khuyên bây giờ rất thẳng thắn: ngay lập tức ngắt kết nối để kiểm tra, xuất khóa riêng, đổi ví và chuyển tiền. Nhưng tôi muốn nói về thứ sâu hơn — mỗi sự cố bảo mật lại là một lần sàng lọc. Những người trải qua những sự cố này mới thực sự hiểu trách nhiệm tự quản lý là gì. Những người sống sót qua cuộc lựa chọn tự nhiên này, thường không phải vận may, mà là đủ thận trọng.

Lịch sử không lặp lại, nhưng luôn có sự tương đối. Hãy nhớ bài học lần này.