BẢN TIN VÔ ĐỀ!

Gửi đến những người anh em Rubimily, những đồng nghiệp khai thác Rubi trên toàn cầu, đây sẽ là bài viết với tiêu đề "VÔ ĐỀ". Chúng tôi không đặt tiêu đề cho bài viết, vì tôi mong muốn bạn tập trung hoàn toàn vào nội dung chi tiết!.

Chúng tôi biết rằng các thợ mỏ ở khắp nơi đang có rất nhiều câu hỏi hoặc thậm chí là phàn nàn và cần chúng tôi có câu trả lời cho những băn khoăn đó. Dưới đây những câu hỏi phổ biến nhất mà gần đây chúng tôi ghi nhận được.

? Phiên bản KYC 1.6 mà nhóm phát triển thông báo phát hành cuối tháng 6 tại sao chưa phát hành?
? Tại sao các đơn KYC gần đây bị kéo dài, bao giờ có thể hoàn thành
? Bao giờ Migration mở trở lại?
? Có phải RUBI Network đã bị hacker xâm nhập và lấy đi dữ liệu người dùng?

Vì vậy trong bài viết VÔ ĐỀ này có 3 phần nội dung quan trọng, tôi cần bạn theo dõi đến cuối vì lợi ích của bạn.

Phần 1 - Trả lời những câu hỏi nghi vấn phía trên
Phần 2 - Hướng dẫn nâng cao bảo mật tài khoản và thông báo nếu tài khoản bạn bị tấn công.
Phần 3 - Những cam kết hành động và đồng hành của nhóm phát triển

PHẦN 1: PHẢN HỒI VỀ NHỮNG CÂU HỎI CHUNG.

? Vì sao KYC 1.6 bị lùi lịch phát hành!

Mặc dù nhóm phát triển đã thông báo dự kiến cuối tháng 6 sẽ có thể phát hành phiên bản KYC 1.6 , là bản nâng cấp cho phép thợ mỏ trở thành người xác thực, qua đó nâng cao được năng suất KYC toàn cầu. Nhưng đến nay chúng tôi buộc phải thông báo rằng kế hoạch này đã bị trễ hơn dự kiến.

Nguyên nhân trì hoãn KYC 1.6 đến từ việc nhóm phát triển điều chuyển nguồn lực, ưu tiên xử lý các sự cố trong tháng 3 và 4.

Như đã đề cập trong các bản tin trước đó, Rubi Network đã đối mặt với vụ trộm lớn từ những kẻ tấn công kiểu Phishing và một vụ khai thác lỗ hổng giao dịch. Mặc dù nhóm phát triển đã kịp thời phản ứng, nhưng 2 cuộc tấn công đó cũng để lại một số hậu quả dẫn đến chuỗi testnet dừng xác thực và nhóm bắt buộc phải ưu tiên nguồn lực xử lý cho vấn đề mới phát sinh cũng như xây dựng cơ chế phòng vệ cho vấn đề tương tự. Và trong thời gian tới mạng lưới sẽ sớm có một bản Fork Chain và khởi động lại Testnet.

? Tại sao các đơn KYC bị kéo dài thời gian duyệt.

Trong thời gian xử lý các vấn đề nêu trên, nhóm phát triển đã giới hạn quyền truy cập của nhóm nhân viên thực hiện xác minh KYC, đồng thời tạm dừng gửi thêm lời mời. Nhóm phát triển làm điều này là để đảm bảo những kẻ tấn công không có thêm những tài khoản được KYC nào mới. Chúng tôi cho rằng danh sách người dùng Rubi đã bị "câu" thông tin tài khoảng vẫn đang có nhiều tài khoản chưa thực hiện KYC.

Chúng tôi sẽ sớm đưa hoạt động KYC trở lại sau khi hoàn tất rà soát những tài khoản đang có nguy cơ bị tấn công, và để làm điều này chúng tôi cần người dùng phối hợp kiểm tra, báo cáo và cải thiện bảo mật cá nhân ( Vui lòng xem Phần 2 trong bài viết này )

? Bao giờ Migration được mở trở lại?

Thời điểm mở lại Migration cũng phụ thuộc vào việc triển khai giao thức ngăn chặn việc đánh cắp tài sản khai thác, chúng tôi đang làm việc tích cực để Migration sớm mở lại.

Hiện tại chúng tôi không chắc chắn về danh sách nạn nhân có trong danh sách thông tin mà những kẻ Phishing đã câu được. Với số lượng User hàng triệu người dùng trên toàn cầu, chúng tôi ước đoán danh sách nạn nhân có thể lên đến con số hàng chục nghìn. Nếu Migration được mở lại mà không có biện pháp ngăn chặn hiệu quả, chắc chắn việc trộm cắp RBL lại tiếp tục diễn ra mà chủ nhân tài khoản không hay biết.

Chúng tôi cần thêm các lớp đệm bảo mật vào giao thức di chuyển tài sản nhằm đảm bảo chỉ có chủ nhân thực sự của tài khoản mới có thể di chuyển được tài sản.

? Có phải Rubi Network bị xâm nhập và kẻ tấn công lấy đi dữ liệu.

Câu trả lời một cách rõ ràng và ngắn gọn là "KHÔNG", nhưng để tôi làm rõ cách kẻ tấn công kiểu Phishing lấy cắp dữ liệu của bạn, và điều này thường đến từ thói quen của đa số người dùng.

Hãy để tôi mô tả chính xác về lỗ hổng bảo mật mang yếu tố chủ quan này!

Người dùng tham gia kiếm tiền online thường tham gia cùng lúc nhiều dự án, họ thường tận dụng mọi cơ hội và mọi dự án để kiếm nhiều loại token từ bất kỳ dự án nào họ biết, và người dùng của Rubi Network cũng vậy.

Khi một người tham gia nhiều dự án, để tiện ghi nhớ, anh ta thường sử dụng cùng một thông tin ( email, username, pass ... ) cho tất cả các dự án mà anh ta tham gia. Thói quen này tạo ra sơ hở bảo mật cá nhân nghiêm trọng mà những kẻ tấn công kiểu Phishing tận dụng để khai thác.

Những kẻ tấn công kiểu Phishing nắm bắt sơ hở từ người dùng và chúng thường tạo ra các trang web giả để dẫn dụ người dùng cung cấp thông tin đăng nhập. Chúng cũng có thể tạo ra một trang web giả mạo một sự kiện Airdrop sau đó yêu cầu người dùng đăng ký một tài khoản tham gia Airdrop. Thông qua việc đăng ký của người dùng đã vô tình cung cấp thông tin đăng nhập cho chúng. Những kẻ tấn công sau đó sử dụng thông tin chúng câu được để quay lại các dự án thật để kiểm tra sự tồn tại của người dùng trên các dự án đó.

Và từ hàng vạn thông tin chúng đã câu được, chúng có xác xuất truy cập thành công, sau đó chúng sẽ đánh dấu danh sách nạn nhân để thực hiện lấy cắp tài sản khi có thể.

Cụ thể thảm kịch này đã xảy ra trong dự án Rubi Network vào tháng 3, sau khi tra soát chuỗi các giao dịch của những kẻ trộm, chúng tôi phát hiện ra hàng nghìn tài khoản đã bị kẻ trộm ghé thăm và lấy đi số RBL đã khai thác nhưng chưa kịp chuyển về ví chính. Những kẻ trộm đã nhanh chóng tạo thêm ví trong tài khoản rồi di chuyển số khai thác về ví này.

Như vậy chúng chỉ lấy trộm từ khu vực khai thác và từ tài khoản đã hoàn tất KYC, đây cũng chính là lý do mà nhóm phát triển đã chặn lại hành vi trộm cắp bằng cách tạm thời khoá dịch vụ di chuyển cũng như tạm thời trì hoãn KYC.

PHẦN 2: CẬP NHẬT BẢO MẬT & BÁO CÁO "TROJAN WALLET"

Cho đến nay chúng tôi đã đánh dấu hàng trăm ví thuộc vể kẻ trộm, hoặc những ví có liên quan đến hoạt động "tẩu tán" số tài sản bị đánh cắp. Chúng tôi cũng đã xây dựng cơ chế phù hợp để mạng lưới thêm quyền từ chối xác minh các giao dịch từ ví đã bị đánh dấu. 

Các mạng lưới khác hầu như không có giải pháp nào đối với các hoạt động vi phạm, nên blockchain trở thành miền đất hứa cho những kẻ trộm. Rubi Network có thể chính là mạng lưới đầu tiên thêm những rào cản này vào giao thức, nhóm phát triển tin rằng việc thêm các quy tắc đánh dấu ví này là cần thiết để hạn chế các cuộc tấn công tương tự trong tương lai.

Rubi Network là một "mạng lưới phi tập trung lợi ích", bởi quy tắc "100% nguồn cung được phân phối" cho cộng đồng thợ mỏ, vì vậy chúng tôi kêu gọi sự đồng thuận, chung tay từ phía cộng đồng để lên án các hành vi tấn công vào lợi ích công cộng. Chúng tôi cũng như kêu gọi cộng đồng thợ mỏ cùng nhau tự nâng cao kiến thức tự bảo mật, cũng như báo cáo nếu tài khoản của bạn đang bị truy cập trái phép.

Dưới đây là 2 hành động bạn cần xem xét thực hiện ngay lúc này.

Hành động 1: KIỂM TRA TÀI KHOẢN & THAY ĐỔI MẬT KHẨU.

• Thay đổi mật khẩu để đảm bảo bạn luôn là người duy nhất truy cập tài khoản:
Chúng tôi đề nghị bạn thay đổi mật khẩu truy cập tài khoản thường xuyên mỗi 2 tuần một lần, và sử dụng mật khẩu mạnh có yếu tố riêng tư của bạn bạn để mật khẩu dễ nhớ với bạn nhưng khó đoán với người lạ.

• Kiểm tra các dấu hiệu khả nghi cho thấy có kẻ lạ đang cố gắng truy cập:
Hiện tại mối ngày Rubi Network cung cấp cho người dùng 6 lượt đang nhập, nếu bạn thử login tài khoản trên thiết bị khác bạn nhận được thông báo "số lượt truy cập bị vượt quá" thì rất có thể có kẻ đang cố gắng truy cập tài khoản của bạn nhưng không thành công. Trong tình huống này bạn cần đổi mật khẩu mạnh mẽ hơn, tránh các mật khẩu yếu và dễ đoán.

Hành động 2: BÁO CÁO "TROJAN WALLET"

• Nếu bạn phát hiện ra tài khoản của bạn có thêm những ví mới mà không do bạn tạo ra, thì rất có thể đây là "Trojan wallet" do kẻ trộm tạo sẵn để khi Migration được mở chúng sẽ di chuyển phần khai thác về ví lạ này để đánh cắp công sức khai thác của bạn.

• Tệ hơn nữa là bạn phát hiện ra "Trojan wallet" và chúng đã đánh cắp tài sản của bạn rồi chuyển đi nơi khác, việc bạn cần làm là hãy báo cáo và yêu cầu khoá ví, sau đó chúng tôi cũng sẽ tiếp tục quan sát dựa trên sự di chuyển tài sản để sàng lọc và đánh dấu ví của những kẻ trộm.

Đây là LINK chính thức đến Google Form, nơi bạn gửi báo cáo khoá ví. (hãy mở Link trên trình duyệt web chrome hoặc safari)

https://docs.google.com/forms/d/e/1FAIpQLSdEVgi_vTjQcCkaGh2PbGPvuSj_eNIm18ARKmsa_TKzIHsHqw/viewform

Chú ý khi sử dụng form:
Đây là Google form, để tránh báo cáo spam, chúng tôi yêu cầu bạn sử dụng trình duyệt chrome và đăng nhập google trước hoàn tất báo cáo.

Chỉ truy cập URL này từ đường dẫn qua một trong các tên miền chính thức Rubi.click , Rubi.Global , Rubi.news , Rubi.social mà không bao giờ truy cập form này từ bất kỳ nguồn nào khác.

PHẦN 3: CAM KẾT TỪ NHÓM PHÁT TRIỂN

Cộng đồng Rubi Network đã đạt tới 5 triệu user, và điều này là không thể làm giả, bởi Rubimily là cộng đồng thợ mỏ lớn trải khắp toàn cầu và đang tiếp tục phát triển với tinh thần mạng lưới phi tập trung, đem lại lợi ích đại đồng cho tất cả thành viên.

Nhóm phát triển cam kết đồng hành cùng dự án cho đến khi các giao thức phi tập trung được triển khai đầy đủ, cho đến khi mọi người dùng có thể tham gia vận hành mạng lưới bằng cơ chế DAO Governance.

Chúng tôi cũng cam kết bảo vệ giá trị người dùng thực trên mạng lưới bằng cách liên tục cải tiến và xây dựng cơ chế KYC và xác minh tài sản trước khi di chuyển một cách đáng tin cậy.

Cơ chế KYC sẽ đảm bảo người dùng thực chắc chắn sẽ thuận lợi hoàn tất KYC, quy trình KYC cũng luôn được nâng cấp để thêm vào các giải pháp tìm kiếm sàng lọc nhằm loại bỏ những người dùng gian lận.

Nếu bạn là một người dùng chân thực, bạn sẽ luôn luôn được chào đón tại cộng đồng Rubimily.

RUBI TEAM