Trong bối cảnh lo ngại về an ninh ví tiền điện tử đang gia tăng trên toàn ngành, công ty bảo mật blockchain hàng đầu SlowMist vừa công bố kết quả đánh giá mới nhất đối với ví Web3 của OKX. Báo cáo này mang đến một tín hiệu đáng mừng cho người dùng khi khẳng định phiên bản ví OKX được kiểm toán “không cho thấy hành vi truyền khóa riêng tư hoặc cụm từ hạt giống đến các máy chủ bên ngoài”, đồng thời “không phát hiện rủi ro rò rỉ dữ liệu nhạy cảm” trong quá trình phân tích.
Tuy nhiên, SlowMist cũng nhấn mạnh rằng malware kiểu BOM và các thiết bị bị xâm nhập vẫn là những lỗ hổng bảo mật nghiêm trọng từ phía người dùng, đặt ra áp lực lớn lên an toàn tài sản số.
Không rò rỉ khóa riêng tư trong OKX Wallet
Theo SlowMist, đội ngũ bảo mật của họ đã sử dụng kết hợp các công cụ tự động và đánh giá thủ công “từ góc độ của kẻ tấn công” để kiểm tra mã nguồn và lưu lượng truy cập của OKX Wallet. Phương pháp này tương tự như cách họ đã áp dụng trong một cuộc kiểm toán toàn diện của Ví Binance, được Binance công bố trên nền tảng X vào đầu tháng 2 năm 2026. Trong đánh giá đó, SlowMist cũng đã “thực hiện kiểm toán bảo mật chuyên sâu thông qua phân tích thủ công và các công cụ tự động”, với mục tiêu đảm bảo “mức độ bảo mật cao nhất” cho người dùng quản lý tài sản kỹ thuật số.
Kết quả kiểm toán khẳng định tính toàn vẹn của thiết kế tự quản lý của OKX Wallet. Theo tài liệu bảo mật riêng của OKX, hệ thống cơ bản của ví được thiết kế để “tất cả thông tin liên quan đến cụm từ hạt giống và khóa riêng tư của người dùng đều được mã hóa và lưu trữ cục bộ trên thiết bị của người dùng”. Điều này củng cố mô hình tự quản lý (self-custodial) của ví, nơi người dùng hoàn toàn nắm giữ quyền kiểm soát khóa riêng tư của mình.
OKX và chiến lược tự quản lý kết hợp kiểm toán
Star Xu khẳng định các sự cố ví gần đây chủ yếu do thiết bị người dùng bị xâm nhập, không phải lỗi từ ví Web3 của OKX. Khóa riêng tư chỉ lưu trên thiết bị, nên bảo mật cá nhân là yếu tố then chốt.
OKX cũng tăng cường an toàn bằng kiểm toán từ các bên uy tín như CertiK, Hacken và SlowMist, kết hợp với chương trình bug bounty để xây dựng hệ thống phòng thủ nhiều lớp.
Bài học từ vụ việc ứng dụng BOM và nguy cơ phần mềm độc hại
Việc kiểm tra kỹ lưỡng của SlowMist diễn ra sau một cuộc điều tra chung vào tháng 2 năm 2025, khi SlowMist và OKX Web3 Security cùng tiết lộ rằng một ứng dụng giả mạo có tên BOM đã “bí mật truy cập khóa riêng tư và cụm từ hạt giống của người dùng”, cuối cùng đánh cắp “hơn 1,82 triệu USD tiền điện tử” từ các nạn nhân trên cả nền tảng Android và iOS. SlowMist đã theo dõi một địa chỉ hacker chính hút tiền từ hơn 13.000 ví, di chuyển các tài sản như Tether (USDT), Ethereum (ETH), Wrapped Bitcoin (WBTC) và Dogecoin (DOGE) trên các chuỗi BNB Chain, Ethereum, Polygon, Arbitrum và Base.
Trong một báo cáo riêng, SlowMist cũng cảnh báo rằng rò rỉ khóa riêng tư, lừa đảo (phishing) và các kế hoạch gian lận vẫn là những điểm yếu chính trong bảo mật tiền điện tử. Đội ngũ MistTrack của công ty đã ghi nhận 467 trường hợp bị đánh cắp tài sản và đóng băng khoảng 20,66 triệu USD chỉ trong một quý gần đây. Những số liệu này càng cho thấy mức độ phổ biến và nghiêm trọng của các mối đe dọa từ phía người dùng.
Malware và áp lực liên tục lên bảo mật ví
SlowMist đã cảnh báo rằng ngay cả những ví được thiết kế tốt cũng có thể trở nên dễ bị tổn thương khi người dùng cài đặt các ứng dụng Trojanized (ứng dụng có chứa mã độc) hoặc cấp quá nhiều quyền truy cập, cho phép kẻ tấn công “quét và thu thập các tệp phương tiện” cũng như đánh cắp cụm từ hạt giống hoặc bản sao lưu khóa. OKX và SlowMist đã cùng kêu gọi người dùng tránh lưu trữ cụm từ hạt giống thông qua ảnh chụp màn hình, ảnh chụp hoặc các dịch vụ đám mây. Thay vào đó, họ khuyến nghị người dùng nên dựa vào các phương pháp ngoại tuyến an toàn hơn như sao lưu trên giấy hoặc ví cứng (hardware wallets).
Trong bối cảnh này, đánh giá mới nhất về OKX Wallet được xem là một tín hiệu đáng tin cậy hơn là một sự đảm bảo tuyệt đối. Nó nhấn mạnh rằng các cuộc kiểm toán cơ sở hạ tầng và thiết kế tự quản lý cần phải được kết hợp với các biện pháp an ninh vận hành cơ bản từ phía người dùng. Như phân tích rộng hơn của SlowMist đã chỉ ra, ví giả mạo, thiết bị bị xâm nhập và kỹ thuật xã hội (social engineering) vẫn là những cách hiệu quả nhất để kẻ tấn công biến ngay cả những kiến trúc ví mạnh nhất thành những mắt xích yếu có thể bị khai thác.
Xem thêm: Binance cảnh báo chuỗi khai thác iOS nguy hiểm đe dọa bảo mật dữ liệu ví tiền mã hóa
Kết luận
Kết quả kiểm toán của SlowMist về OKX Wallet là một thông tin tích cực, khẳng định sự an toàn của thiết kế cốt lõi của ví khỏi nguy cơ rò rỉ khóa riêng tư. Tuy nhiên, nó cũng một lần nữa cảnh báo về tầm quan trọng của ý thức bảo mật từ phía người dùng. Trong thế giới tiền điện tử đầy rẫy những mối đe dọa phức tạp, việc người dùng tự trang bị kiến thức và áp dụng các biện pháp bảo mật cá nhân nghiêm ngặt sẽ là yếu tố quyết định để bảo vệ tài sản số của mình. Các cuộc kiểm toán liên tục của bên thứ ba, kết hợp với giáo dục người dùng, sẽ tiếp tục là trụ cột trong cuộc chiến chống lại tội phạm mạng trong lĩnh vực blockchain.
Nguồn: Cryptonews
Tuyên bố miễn trừ trách nhiệm
Căn cứ Nghị quyết số 05/2025/NQ-CP ngày 9/9/2025 của Chính phủ, toàn bộ thông tin trên Emacrypto.com chỉ mang tính chất tham khảo, không phải là khuyến nghị tài chính hay tư vấn đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ và chịu trách nhiệm với quyết định của mình.
