Phần mềm diệt virus báo sai dẫn đến việc hỏng ví tiền mã hóa, nên xử lý như thế nào?

Trong môi trường internet hiện nay, các mối đe dọa về an ninh xuất hiện liên tục, việc cài đặt phần mềm diệt virus có thể giúp người dùng nâng cao tính bảo mật của hệ thống. Tuy nhiên, phần mềm diệt virus chỉ có thể giảm thiểu rủi ro và không thể đảm bảo an toàn tuyệt đối. Cuộc chiến chống lại các mối đe dọa là một quá trình động, việc cài đặt phần mềm diệt virus chỉ là bước đầu tiên để nâng cao bảo mật. Đồng thời, chính phần mềm diệt virus cũng có thể gặp phải tình huống báo sai, gây ra rủi ro bổ sung.

Gần đây, một số người dùng đã phản hồi rằng sau khi sử dụng phần mềm diệt virus, một số tiện ích mở rộng trình duyệt (đặc biệt là tiện ích mở rộng Ví tiền mã hóa) bị báo cáo nhầm là phần mềm độc hại, dẫn đến việc các tệp JavaScript của tiện ích mở rộng bị cách ly hoặc xóa, cuối cùng làm hỏng Ví tiền và không thể sử dụng bình thường.

Đối với người dùng Web3, tình huống này đặc biệt nghiêm trọng, vì ví tiền mã hóa thường lưu trữ khóa riêng, nếu xử lý không đúng cách, có thể dẫn đến việc mất dữ liệu ví và thậm chí không thể khôi phục tài sản. Do đó, việc hiểu cách khôi phục chính xác dữ liệu mở rộng bị báo cáo nhầm là vô cùng quan trọng.

Làm thế nào để xử lý?

Nếu phát hiện phần mềm diệt virus báo sai dẫn đến tiện ích mở rộng trình duyệt bị hư hại, khuyến nghị thực hiện phục hồi theo các bước sau:

1. Khôi phục tệp từ khu vực cách ly, không gỡ cài đặt tiện ích mở rộng

Nếu phát hiện một phần mềm hoặc tiện ích mở rộng không hoạt động, hãy kiểm tra ngay "khu cách ly" ( Quarantine ) hoặc "lịch sử" ( History ) của phần mềm diệt virus để tìm các tệp bị báo nhầm, tuyệt đối không xóa các tệp trong khu cách ly.

• Nếu tài liệu vẫn trong khu vực cách ly, chọn "Khôi phục" (Restore) và thêm tài liệu hoặc tiện ích mở rộng đó vào danh sách tin cậy để tránh báo cáo sai lần nữa.
• Nếu tệp đã bị xóa, hãy kiểm tra xem có bản sao lưu tự động nào hoặc sử dụng công cụ phục hồi dữ liệu để khôi phục.
• Nhớ rằng: đừng gỡ cài đặt tiện ích! Ngay cả khi tiện ích đã bị hỏng, vẫn có thể có các tệp liên quan đến khóa riêng mã hóa trong máy địa phương, vẫn có khả năng khôi phục.

2. Sao lưu và tìm kiếm dữ liệu mở rộng cục bộ

Dữ liệu mở rộng thường được lưu trữ trên ổ đĩa cục bộ, ngay cả khi không thể mở rộng, vẫn có thể tìm thấy dữ liệu liên quan để khôi phục (ID mở rộng lấy ví dụ từ MetaMask: nkbihfbeogaeaoehlefnkodbefgpgknn):

• Tham khảo đường dẫn Windows: C:\Users\USER_NAME\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Đường dẫn Mac tham khảo: ~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/nkbihfbeogaeaoehlefnkodbefgpgknn

Cần lưu ý rằng, nếu Chrome sử dụng cấu hình nhiều tài khoản, trong đường dẫn có thể trở thành Default Profile 1/Profile 2, cần kiểm tra thư mục Profile cụ thể, điều chỉnh đường dẫn theo tình hình thực tế. Đề nghị sao lưu toàn bộ thư mục mở rộng mục tiêu ngay lập tức để có thể phục hồi khi xảy ra sự cố.

3. Phương pháp phục hồi thô bạo: ghi đè thư mục mở rộng cục bộ

Nếu báo cáo sai dẫn đến hỏng hóc mở rộng, phương pháp trực tiếp nhất là trên máy tính mới hoặc trong môi trường trình duyệt mới, sao chép trực tiếp dữ liệu mở rộng đã sao lưu vào thư mục mở rộng tương ứng với đường dẫn cục bộ, sau đó mở lại chương trình mở rộng.

4. Phương pháp phục hồi nâng cao: Giải mã dữ liệu khóa riêng bằng tay

Nếu mở rộng vẫn không thể mở hoặc dữ liệu bị thiếu, bạn có thể thử phương pháp phục hồi nâng cao hơn, tức là giải mã dữ liệu khóa riêng một cách thủ công để phục hồi. Lấy MetaMask làm ví dụ:

• Tìm kiếm ID mở rộng MetaMask trên máy tính cục bộ, tìm thư mục như sau: C:\Users[User]\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nkbihfbeogaeaoehlefnkodbefgpgknn
• Thư mục này có thể chứa các tệp ldb/log, các tệp này lưu trữ dữ liệu khóa riêng đã được mã hóa. Bạn có thể sử dụng công cụ giải mã Vault chính thức của MetaMask để giải mã. Sao chép nội dung mã hóa trong tệp ldb/log

Nếu tiện ích mở rộng MetaMask vẫn có thể mở một số trang (ví dụ: chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html), bạn có thể thử chạy đoạn mã sau để lấy dữ liệu khóa riêng mã hóa:

javascript chrome.storage.local.get('dữ liệu', kết quả => { var vault = result.data.KeyringController.vault; console.log(vault); });

Sau đó, sao chép dữ liệu vault vào công cụ giải mã MetaMask Vault để giải mã.

5. Viết công cụ phục hồi tùy chỉnh

Nếu các phương pháp trên không thể khôi phục dữ liệu ví tiền, người dùng có thể tự viết kịch bản để trích xuất dữ liệu lưu trữ mở rộng từ tệp cơ sở dữ liệu cục bộ, sau đó tiến hành mã hóa. Dưới đây là nguyên lý và cách thực hiện của các công cụ khôi phục ví tiền khác nhau dựa trên mẫu PhantomKeyRetriever:

Ví tiền plugin thường lưu trữ dữ liệu nhạy cảm trong cơ sở dữ liệu hoặc tệp của hệ thống cục bộ. Ví tiền mở rộng trình duyệt (như Phantom, MetaMask, v.v.) sử dụng API lưu trữ mà trình duyệt cung cấp để lưu trữ dữ liệu đã mã hóa trong khu vực lưu trữ cục bộ của trình duyệt, thường là trong các hệ thống cơ sở dữ liệu như LevelDB hoặc IndexedDB. Bất kể loại ví tiền nào, một nguyên tắc quan trọng là dữ liệu luôn được lưu trữ dưới dạng mã hóa, đảm bảo rằng ngay cả khi dữ liệu bị sao chép, cũng không thể truy cập nếu không có mật khẩu đúng.

Hầu hết các ví tiền mã hóa sử dụng cấu trúc mã hóa nhiều lớp để tăng cường tính bảo mật. Đầu tiên, mật khẩu chính của người dùng được sử dụng để mã hóa một khóa trung gian (thường được gọi là "khóa mã hóa" hoặc "khóa giải mã"). Sau đó, khóa trung gian này được sử dụng để mã hóa khóa riêng thực tế hoặc cụm từ nhớ. Thiết kế này đảm bảo rằng ngay cả khi mã nguồn của ứng dụng ví bị can thiệp, kẻ tấn công cũng cần phải biết mật khẩu của người dùng để có được khóa riêng. Thiết kế nhiều lớp này cũng cho phép ứng dụng ví chỉ giải mã khóa trung gian sau khi người dùng đăng nhập, mà không cần phải nhập lại mật khẩu chính cho mỗi lần thao tác.

Quy trình viết công cụ phục hồi Ví tiền thường bao gồm:

• Định vị và trích xuất dữ liệu mã hóa (đọc dữ liệu từ LevelDB/IndexedDB).
• Phân tích cấu trúc dữ liệu, nhận diện mã hóa khóa riêng/từ ghi nhớ.
• Yêu cầu người dùng nhập mật khẩu ví tiền, tính toán khóa giải mã thông qua KDF (như PBKDF2 hoặc Scrypt).
• Giải mã khóa giữa, sau đó giải mã khóa riêng / cụm từ ghi nhớ.

Quá trình này cần phải hiểu chính xác về giải pháp mã hóa và định dạng lưu trữ dữ liệu của Ví tiền, điều này thường yêu cầu phải thông qua kỹ thuật đảo ngược hoặc phân tích mã nguồn mở của Ví tiền.

Đối với công cụ PhantomKeyRetriever, đây là một kịch bản được thiết kế đặc biệt để trích xuất cụm từ khôi phục hoặc khóa riêng của ví Phantom từ dữ liệu trình duyệt Chrome, nguyên lý cốt lõi như sau:

• Đọc cơ sở dữ liệu LevelDB của Chrome, sao chép dữ liệu liên quan vào thư mục tạm thời.
• Duyệt qua cơ sở dữ liệu, tìm kiếm thông tin khóa mã hóa và hạt giống ví được lưu trữ trong ví Phantom.
• Người dùng nhập mật khẩu Phantom, kịch bản sử dụng PBKDF2/Scrypt để tính toán khóa giải mã.
• Giải mã dữ liệu kho bảo hiểm ví tiền, trích xuất từ BIP39 cụm từ ghi nhớ hoặc khóa riêng Base58.

Trong quá trình giải mã hai lớp này, kịch bản hỗ trợ hai hàm phát sinh khóa là PBKDF2 và Scrypt, và sử dụng thư viện NaCl's SecretBox để giải mã an toàn. Cuối cùng, tùy thuộc vào loại dữ liệu đã giải mã, kịch bản sẽ tạo ra cụm từ ghi nhớ theo tiêu chuẩn BIP39 hoặc trích xuất khóa riêng mã hóa Base58.

Cần lưu ý rằng, các trình duyệt khác hỗ trợ ví tiền mở rộng (như Edge, Firefox) cũng có nguyên lý tương tự, ở đây không nhắc lại.

Làm thế nào để phòng ngừa?

Để giảm thiểu rủi ro báo động sai, người dùng có thể thực hiện các biện pháp sau:

• Sao lưu định kỳ các tệp quan trọng và dữ liệu mở rộng trình duyệt để có thể khôi phục nhanh chóng khi xảy ra báo động giả.
• Thêm quy tắc tin cậy thủ công trong phần mềm diệt virus, đối với phần mềm hoặc tiện ích quan trọng (như MetaMask), có thể thêm nó vào danh sách tin cậy để tránh báo cáo sai.
• Sử dụng kênh chính thức để tải phần mềm, tránh cài đặt ứng dụng không chính thức hoặc phiên bản đã chỉnh sửa để giảm khả năng bị phần mềm diệt virus đánh dấu là rủi ro tiềm ẩn.

Tóm tắt

Cuộc chiến chống lại các mối đe dọa luôn thay đổi, vì vậy các chính sách an ninh cũng cần được điều chỉnh liên tục. Việc cài đặt phần mềm diệt virus chắc chắn là quan trọng, nhưng cuối cùng, người dùng mới là hàng rào bảo vệ cuối cùng cho tài sản của mình. Khi gặp phải báo động giả, người dùng nên xử lý một cách bình tĩnh, tránh việc xóa các tệp quan trọng một cách trực tiếp, và áp dụng các phương pháp phục hồi thích hợp. Chỉ khi nắm vững kiến thức an ninh đúng đắn, người dùng mới có thể bảo vệ dữ liệu của mình một cách thực sự.