Tổng quan về wallet và các biện pháp bảo mật

Nếu bạn đã từng dùng blockchain thì chắc cũng nhận ra rồi là lý do vì sao ví blockchain được chia thành nhiều loại khác nhau thực ra chỉ xoay quanh cách quản lý private key mà thôi.

Có loại ví thì user tự giữ private key (như ví self-custody kiểu MetaMask, Phantom, hay Trust Wallet).

Có loại thì chia sẻ quyền kiểm soát, như ví MPC hoặc ví có cơ chế social recovery.

Cũng có loại hoàn toàn smart contract-based, kiểu ví Safe hay những smart wallet trên Sui/Aptos chẳng hạn.

Các loại ví blockchain – Wallet Type

3. Centralized Wallet

3.1. Centralized Wallet Architecture

Ví được sử dụng bởi các sàn giao dịch thường được gọi là ví tập trung (centralized wallets). Lý do là vì private key của các ví này thường được quản lý trên các máy chủ tập trung, và mỗi sàn sẽ có cách quản lý private key khác nhau.

Một số phương pháp lưu trữ private key phổ biến:

  1. Cách đơn giản nhất là mã hóa private key bằng thuật toán DES rồi lưu vào cơ sở dữ liệu hoặc file như wallet.data.
  2. Cách dễ thứ hai là dùng môi trường KMS (Key Management System) để lưu trữ private key đã được mã hóa.

Dù là lưu file hay dùng KMS thì private key vẫn phải được giải mã trước khi ký giao dịch. Đây chính là điểm rủi ro lớn nhất vì private key có thể bị lộ ngay tại thời điểm giải mã, dẫn đến khả năng bị đánh cắp.

  1. Môi trường TEE (Trusted Execution Environment): TEE là một môi trường thực thi an toàn, nhưng private key vẫn được mã hóa và lưu trong database hoặc file nội bộ của môi trường đó.

Mỗi lần ký, hệ thống phải giải mã private key trong môi trường TEE để ký giao dịch. Nguy cơ lộ key vẫn rất cao, và người nội bộ vẫn có thể ghi log trước thời điểm ký để lấy private key.

  1. Cách chuyên nghiệp và an toàn nhất là sử dụng CloudHSM hoặc signature device with multi-node backup

Dù sử dụng cơ sở dữ liệu, file dữ liệu, hệ thống KMS, môi trường TEE hay CloudHSM, thì mức độ bảo mật cũng chỉ là tương đối. Bất kể giải pháp nào được sử dụng kể cả CloudHSM hay máy ký chuyên dụng, việc phòng ngừa bị trộm ví từ trong nội bộ vẫn luôn là thách thức lớn nhất.

Nên các ví sàn tiêu chuẩn bắt buộc phải triển khai một hệ thống kiểm soát rủi ro ở cấp độ liên kết (link-level risk control) nơi mọi giao dịch phải được kiểm tra kỹ lưỡng trước khi được gửi đến thiết bị ký.

Ví dụ như các Consumer Exchange Wallet: Binance, Coinbase

Giới thiệu về Decentralized Wallet (HD Wallet)

Private key của ví phi tập trung (decentralized wallet) được lưu trữ trực tiếp trên thiết bị của người dùng, và không ai có thể truy cập được ngoại trừ chính người dùng.

Hầu hết các ví phi tập trung hiện nay đều là ví deterministic (xác định) và có cấu trúc phân cấp (hierarchical).

Cơ chế hoạt động thường như sau:

1.Trước tiên, ví sẽ tạo ra một cụm từ ghi nhớ (mnemonic phrase). 2. Từ cụm từ này, hệ thống sinh ra private key chính (master private key).

  1. Từ master key này tiếp tục sinh ra các private key con và public key con,

  2. Sau đó, các key con này được dùng để tạo địa chỉ ví (address).

Private key trong ví phi tập trung thường được mã hóa và lưu trữ cục bộ trên thiết bị của người dùng. Nên khi người dùng cần ký giao dịch, họ sẽ nhập mật khẩu để giải mã private key, rồi mới tiến hành ký.

Một số ví phi tập trung phổ biến hiện nay gồm có ..

How to set up a secure multi-sig wallet