Một vài bạn hỏi mình sau vụ FTX rằng không biết nên chứa crypto chỗ nào cho an tâm. Trước sau vẫn chỉ 1 quy tắc duy nhất: “nếu bạn phải tin vào 1 ai đó, hoặc 1 tổ chức nào đó, thì độ tin cậy giảm đi rất rất nhiều“. Hãy chỉ tin vào toán học và logic.
Cách an toàn nhất vẫn là dùng ví lạnh (Trezor, Ledger, paper wallet, an toàn hơn nữa là ColdCard – xem hình – loại ví true air gap không cần kết nối máy tính), hoặc kiểu dùng Electrum (chỉ hỗ trợ bitcoin) chạy trên 1 máy tính hoàn toàn offline, chạy TailsOS (hệ điều hành riêng chuyên dùng để bảo mật, tránh việc bị theo dõi). Còn các cách khác như:
- Trên các sàn giao dịch: phải tin chủ sàn => vứt
- “Binance to lắm, không sao đâu“: FTX cũng to. Mt Gox ngày trước cũng to.
- Ví nóng: phải tin thiết bị đang cài ví (điện thoại, máy tính). Rất nhiều người chủ quan “tao là power user, dùng máy tính 30 năm nay rồi, chỉ mấy đứa noob hay click đường link xxx mới dính chứ tao sợ gì“. Cái này nếu bạn chỉ có vài trăm USD thì chắc chả sao, nhưng nếu có số tiền lớn, chỉ cần trả lời câu hỏi “liệu bạn có dám đặt cược toàn bộ portfolio vài tỉ của bạn rằng máy tính, điện thoại của bạn sẽ không bao giờ bị hacked, dính malware, trojan… hay không?“
Ngoài ra, hãy xem thử ví của bạn có đáng tin không:
- Không mã nguồn mở (closed source): phải tin developer không cài backdoor => vứt. Rất nhiều ví nổi tiếng (SafePal, Trust, Exodus…) là closed source.
- Mã mở 1 phần (partially open source): 1 vài ví upload vài đoạn code lên github rồi kêu là “tao open source đấy“, nhưng như bài trước mình đã nói, cả 1 công đoạn pha sữa chỉ tiệt trùng nếu mọi bước đều tiệt trùng, 1 dự án open source chỉ đáng tin nếu mọi đoạn code đều open. Nếu chỉ open source 1 phần, chả có ý nghĩa gì, không ai biết những đoạn khác viết gì => vứt
- Mã mở dỏm (non reproducible): 1 vài ví khác up full code của họ lên, nhưng làm sao bạn biết đoạn code họ up lên chính là đoạn code họ sử dụng? Bạn phải compile được đoạn code đó, rồi so sánh hash xem có giống với executable của app (ví) hay không. Đại đa số ví “open source” thực ra chỉ upload cái code từ 3 năm trước, không ai biết bây giờ code thực sự viết gì => vứt
- “Ví này, sàn này đã được audit kiểm toán đàng hoàng“: phải tin công ty audit => vứt
- “Ví này phổ biến lắm, hàng trăm nghìn người dùng, có sao đâu“. Bitconnect, FTX cũng cả triệu người dùng, và cũng “ko sao đâu” cho đến trước khi nó scam.
Trang web này có tổng hợp các loại ví nóng trên thị trường, để kiểm tra xem có open source/reproducible hay không. Tất nhiên nếu bạn không rành về code, bạn lại phải “tin vào trang web này”, nhưng động lực để trang web này scam bạn sẽ ít hơn nhiều chủ ví scam bạn.
“Thôi phức tạp quá, rút hết ra gửi ngân hàng cho lành“: phải tin ngân hàng, chính phủ Việt Nam => vứt