Tác giả: Onkar Singh, CoinTelegraph; Người dịch: Wuzhu, Golden Finance
Ví lạnh đa chữ ký (multisig) thường được coi là một trong những cách an toàn nhất để lưu trữ tài sản kỹ thuật số, cung cấp thêm khả năng bảo vệ chống trộm cắp. Tuy nhiên, ngay cả các biện pháp bảo mật tiên tiến này cũng không phải là giải pháp hoàn hảo, như đã chứng minh trong vụ tấn công Bybit vào tháng 2 năm 2025.
Trước khi đi sâu vào tính bảo mật, trước tiên chúng ta hãy phân tích ví lạnh đa chữ ký là gì.
Ví lạnh là phương pháp lưu trữ tiền điện tử được lưu trữ ngoại tuyến và không kết nối với internet. Thiết lập này khiến tin tặc khó có thể truy cập tiền từ xa hơn nhiều. Ví dụ bao gồm:
Ví phần cứng (ví dụ: Ledger, Trezor)
Ví giấy
Máy tính biệt lập (thiết bị không bao giờ được kết nối với internet).
Ví lạnh giúp giảm nguy cơ tấn công mạng (như lừa đảo hoặc phần mềm độc hại) bằng cách lưu trữ khóa riêng tư ngoại tuyến. Nhưng đa chữ ký là gì?
Chúng ta hãy cùng tìm hiểu nhé.
Công nghệ đa chữ ký yêu cầu nhiều khóa riêng để phê duyệt giao dịch, trong khi ví chữ ký đơn chỉ yêu cầu một khóa. Hãy nghĩ về nó như một tài khoản ngân hàng chung, trong đó bất kỳ khoản rút tiền nào cũng cần có sự chấp thuận của hai hoặc nhiều người ký tên.
Các thiết lập đa chữ ký phổ biến bao gồm:
Đa chữ ký 2 trong 3: Bất kỳ 2 trong 3 khóa nào cũng phải chấp thuận giao dịch.
Chữ ký đa dạng 3 trong 5: yêu cầu bất kỳ 3 trong 5 khóa.
Chữ ký đa năng 5/7: Bất kỳ 5 trong số 7 khóa đều phải ký.
Lớp bảo mật bổ sung này có nghĩa là ngay cả khi khóa bị xâm phạm, kẻ tấn công cũng không thể tự ý chuyển tiền.
Sàn giao dịch tiền điện tử: ngăn chặn gian lận nội bộ và rút tiền trái phép.
Các nhà đầu tư tổ chức: Các quỹ đầu cơ và công ty quản lý tài sản gia đình bảo vệ số lượng lớn tiền điện tử.
Tổ chức tự trị phi tập trung (DAO): Một nhóm quản lý quỹ chung thông qua quản trị đa chữ ký.
Ví lạnh đa chữ ký yêu cầu nhiều khóa riêng từ các bên đáng tin cậy để phê duyệt và ủy quyền giao dịch, tăng cường bảo mật bằng cách ngăn chặn các điểm lỗi đơn lẻ.
Để hiểu cách ví lạnh đa chữ ký hoạt động, hãy tưởng tượng một két sắt ngân hàng cần hai hoặc nhiều chìa khóa để mở. Không một cá nhân nào có thể truy cập nội dung một mình — phải có sự tham gia của nhiều bên đáng tin cậy.
Ví lạnh đa chữ ký áp dụng khái niệm này vào tài sản kỹ thuật số, tăng cường bảo mật bằng cách yêu cầu nhiều khóa riêng để ủy quyền giao dịch.
Cách thức hoạt động trong thế giới tiền điện tử như sau:
Phân phối khóa:Chủ sở hữu ví tạo nhiều khóa riêng tư và phân phối chúng cho các bên hoặc thiết bị đáng tin cậy. Ví dụ, trong thiết lập ví lạnh đa chữ ký 3 trong số 5, khóa có thể được phân phối cho các vai trò khác nhau để tăng cường bảo mật và trách nhiệm giải trình. Ví dụ, Khóa 1 có thể được giao cho CEO với tư cách là người ra quyết định chính, trong khi Khóa 2 được giao cho CFO để giám sát tài chính. Giám đốc pháp lý giữ Khóa 3 để đảm bảo tuân thủ quy định, trong khi Khóa 4 được lưu trữ dưới dạng bản sao lưu ngoài cơ sở ở một vị trí an toàn và biệt lập. Cuối cùng, Phím 5 có thể được giao cho Giám đốc An ninh, người chịu trách nhiệm về các giao thức bảo mật mạng.
Yêu cầu giao dịch:Khi ai đó muốn rút tiền từ ví, trước tiên họ phải tạo đề xuất giao dịch — giống như việc viết séc cần nhiều chữ ký để xử lý.
Quy trình phê duyệt:Sau đó, đề xuất được gửi đến những người có thẩm quyền ký tên. Trong thiết lập 3 trong 5, ít nhất ba trong số năm người giữ chìa khóa phải chấp thuận yêu cầu, giống như ba nhân viên ngân hàng khác nhau cần phải làm việc cùng nhau để mở khóa két sắt. Quá trình này ngăn chặn bất kỳ cá nhân nào thực hiện chuyển tiền trái phép, ngay cả khi một trong những người giữ chìa khóa bị xâm phạm hoặc có hành vi ác ý.
Phát sóng giao dịch: Khi đã thu thập đủ số lượng chữ ký cần thiết, giao dịch sẽ được phát sóng tới mạng blockchain. Chỉ khi đó, khoản thanh toán mới được hoàn tất và ghi vào sổ cái công khai. Nếu không đạt được số lượng phê duyệt tối thiểu, giao dịch vẫn chưa hoàn tất—giống như một ngân hàng từ chối xử lý séc không có chữ ký theo yêu cầu.
Mặc dù ví đa chữ ký có nhiều ưu điểm về bảo mật, nhưng chúng không hoàn toàn miễn nhiễm với các cuộc tấn công. Tin tặc thường khai thác điểm yếu trong quá trình triển khai, hành vi của con người hoặc dịch vụ của bên thứ ba.
Chúng ta hãy cùng tìm hiểu thêm qua một số ví dụ:
Vào tháng 2 năm 2025, tin tặc đã tấn công vào quy trình đa chữ ký, khiến sàn giao dịch Bybit mất 1,5 tỷ đô la Ethereum.
Quy trình tấn công như sau:
Bybit sử dụng ví lạnh đa chữ ký 3 trong số 5, nghĩa là cần có bất kỳ ba chữ ký được ủy quyền nào để chuyển tiền.
Kẻ tấn công đã xâm phạm cơ sở hạ tầng của nhà cung cấp ví bên thứ ba (SafeWallet).
Họ đã hack vào các thiết bị dành cho nhà phát triển của SafeWallet, chèn mã độc và thay đổi quy trình đa chữ ký.
Nhóm bảo mật của Bybit đã phê duyệt các giao dịch có vẻ hợp pháp, nhưng trên thực tế, số tiền đã được chuyển hướng đến các địa chỉ do tin tặc kiểm soát.
Cuộc tấn công nêu bật những rủi ro khi dựa vào nhà cung cấp bên thứ ba để bảo mật ví. Ngay cả khi khóa riêng của bạn an toàn, dịch vụ bị xâm phạm vẫn có thể khiến tiền của bạn gặp rủi ro.
Ví đa chữ ký yêu cầu phải được phê duyệt thủ công và tin tặc có thể thao túng mọi người.
Ví dụ, vào năm 2022, tin tặc đã nhắm mục tiêu vào các nhân viên cấp cao của một quỹ tiền điện tử bằng cách sử dụng email lừa đảo. Sau khi kẻ tấn công truy cập được vào thiết bị làm việc, chúng sẽ sử dụng phần mềm độc hại để ghi lại thông tin khóa riêng tư. Vì đa chữ ký chỉ yêu cầu sự chấp thuận của 2 trong 3 nên kẻ tấn công có thể vượt qua được bảo mật.
Một hệ thống đa chữ ký chỉ tốt khi có nhiều người tham gia. Nếu nhân viên có ý đồ xấu tham gia vào nhóm thiết lập 2 trong 3 hoặc 3 trong 5, họ có thể thông đồng với tin tặc để ký các giao dịch gian lận.
Ví dụ, vào năm 2019, một giám đốc điều hành sàn giao dịch đã thông đồng với kẻ tấn công để chấp thuận rút 200 triệu đô la trái phép. Sự cố này dẫn đến động thái chuyển sang phương pháp ký kết phi tập trung hơn.
Một số ví đa chữ ký tích hợp hợp đồng thông minh để tự động hóa các giao dịch; tuy nhiên, nếu hợp đồng thông minh có lỗi mã hóa, kẻ tấn công có thể khai thác lỗi đó.
Ví dụ, vào năm 2017, một lỗi trong Ví đa chữ ký Parity đã khiến tin tặc đóng băng hơn 150 triệu đô la giá trị ETH, khiến số tiền này không thể sử dụng được.
Để làm cho ví lạnh đa chữ ký an toàn hơn, hãy sử dụng ngưỡng chữ ký cao hơn, triển khai xác thực danh tính nhiều lớp và lưu trữ khóa ở những vị trí an toàn, phân tán về mặt địa lý.
Như đã đề cập ở trên, ví lạnh đa chữ ký vẫn là một trong những giải pháp bảo mật tốt nhất, nhưng bạn phải thực hiện các biện pháp phòng ngừa bổ sung để giảm thiểu rủi ro, bao gồm:
Sử dụng ngưỡng cao hơn (ví dụ: 4 trên 7 thay vì 2 trên 3): Yêu cầu nhiều chữ ký hơn = kẻ tấn công khó bẻ khóa đủ số lượng khóa.
Triển khai xác thực nhiều lớp: Kết hợp mật khẩu, sinh trắc học và mô-đun bảo mật phần cứng (HSM) để truy cập khóa.
Chia sẻ bí mật của Shamir: Chia khóa riêng thành nhiều phần cần được tái tạo để sử dụng khóa gốc.
Thiết bị ký riêng biệt: Sử dụng thiết bị ngoại tuyến để ký giao dịch nhằm ngăn chặn các cuộc tấn công hack từ xa.
Phân bổ khóa theo vị trí địa lý: Lưu trữ khóa ở nhiều vị trí khác nhau hoặc với người quản lý riêng để tránh tình trạng khóa ở một điểm dễ hỏng.
Chiến lược luân chuyển chìa khóa: Thường xuyên thay đổi người giữ chìa khóa và tạo lại chìa khóa để giảm nguy cơ trộm cắp.
Kiểm tra bảo mật thường xuyên: Thuê chuyên gia bên thứ ba để xem xét cài đặt ví của bạn và phát hiện lỗ hổng.
Người đồng ký độc lập: Có sự tham gia của một công ty bảo mật bên ngoài hoặc một bên thứ ba đáng tin cậy làm một trong những người ký để ngăn chặn thông đồng nội bộ.
Nhật ký truy cập và cảnh báo: Sử dụng hệ thống ghi nhật ký để theo dõi việc sử dụng khóa và nhận cảnh báo về hoạt động đáng ngờ.
Tính toán đa bên (MPC): Một giao thức mật mã sử dụng khóa riêng không bao giờ được lắp ráp đầy đủ, giúp tăng thêm một lớp bảo mật.
Đối với những người muốn bảo vệ tài sản tiền điện tử của mình khỏi bị trộm cắp và gian lận, ví lạnh đa chữ ký vẫn là một trong những lựa chọn tốt nhất. Tuy nhiên, không nên bỏ qua tính phức tạp và lỗ hổng tiềm ẩn của chúng, đặc biệt là trong trường hợp tấn công chuỗi cung ứng.
Đúng vậy, ví lạnh đa chữ ký vẫn là một trong những lựa chọn tốt nhất và an toàn nhất để lưu trữ số lượng lớn tiền điện tử. Tuy nhiên, chúng không phải là không thể sai.
Vụ tấn công Bybit vào tháng 2 năm 2025 là một lời cảnh tỉnh: ngay cả ví lạnh đa chữ ký tinh vi cũng có thể bị xâm phạm thông qua các cuộc tấn công chuỗi cung ứng, trong đó kẻ tấn công khai thác lỗ hổng trong hệ thống hoặc phần cứng được sử dụng để tạo hoặc lưu trữ khóa riêng.
Cuộc tấn công này nhấn mạnh tầm quan trọng không chỉ dựa vào thiết lập kỹ thuật của ví đa chữ ký mà còn phải xem xét hệ sinh thái bảo mật rộng hơn, bao gồm bảo mật vật lý của thiết bị và tính toàn vẹn của quy trình quản lý khóa.
Vì vậy, mặc dù ví lạnh đa chữ ký mang lại khả năng bảo vệ mạnh mẽ nhưng chúng cũng đi kèm những thách thức riêng. Hệ thống đa chữ ký rất phức tạp để thiết lập và quản lý, và nguy cơ mất khóa cũng như khả năng bị tấn công vật lý có thể gây ra khó khăn, đặc biệt là đối với người dùng thiếu kinh nghiệm. Ngoài ra, quá trình phê duyệt giao dịch chậm cũng có thể gây bất tiện khi thời gian là yếu tố quan trọng.
Cuối cùng, quyết định xem ví lạnh đa chữ ký có phải là lựa chọn phù hợp để bảo mật tài sản kỹ thuật số của bạn hay không phụ thuộc vào việc cân nhắc những ưu điểm so với những hạn chế của nó. Nếu bạn quản lý một lượng lớn tài sản tiền điện tử và có thể xử lý được mức độ phức tạp, ví đa chữ ký sẽ cung cấp mức độ bảo mật cao mà khó có thể so sánh được với ví truyền thống. Mặt khác, nếu bạn không sẵn sàng đầu tư vào cơ sở hạ tầng cần thiết hoặc không thể quản lý nhiều khóa một cách an toàn, giải pháp ví đơn giản hơn có thể phù hợp hơn.
Điều quan trọng cần nhớ là không có biện pháp bảo mật nào là hoàn toàn không có rủi ro. Như đã thấy trong các vụ tấn công gần đây, môi trường bảo mật rộng hơn đóng vai trò quan trọng trong việc bảo vệ tài sản của bạn. Để ví lạnh đa chữ ký thực sự hiệu quả, người giữ khóa phải luôn cảnh giác, duy trì các biện pháp an ninh mạng mạnh mẽ và thường xuyên đánh giá các rủi ro tiềm ẩn.
OpenAI đang xây dựng tính năng thanh toán bên trong ChatGPT để người dùng có thể hoàn tất giao dịch mua mà không cần rời khỏi ứng dụng. OpenAI có thể kiếm được một khoản hoa hồng nhỏ cho mỗi giao dịch được thực hiện thông qua nền tảng.
WeatherlyChatGPT cho biết: Ngân hàng Shinhan đã bổ sung tính năng theo dõi và công cụ giáo dục tiền điện tử vào ứng dụng SOL, trở thành ngân hàng Hàn Quốc đầu tiên cung cấp các dịch vụ như vậy. Động thái này cho thấy sự chấp nhận ngày càng tăng đối với tiền điện tử trong lĩnh vực ngân hàng truyền thống, với kế hoạch sớm mở rộng sang lĩnh vực mua bán tiền điện tử và quản lý ví.
WeatherlyMột công ty công nghệ tài chính Úc, Block Earner, đã ra mắt dịch vụ thế chấp đầu tiên tại quốc gia này chấp nhận Bitcoin làm tài sản đảm bảo. Điều này trở nên khả thi sau khi tòa án phán quyết sản phẩm này không cần giấy phép tài chính, cho phép mọi người sử dụng tiền điện tử để mua nhà mà không cần bán lại.
AnaisScale AI đã cắt giảm 700 việc làm, bao gồm 200 nhân viên toàn thời gian và 500 nhân viên hợp đồng, như một phần của đợt tái cấu trúc lớn. Công ty đang thu hẹp trọng tâm vào mã hóa, ngôn ngữ và dữ liệu âm thanh sau khi sự tăng trưởng nhanh chóng gây ra sự chồng chéo và nhầm lẫn.
WeatherlyTokenize Xchange sẽ ngừng hoạt động tại Singapore vào ngày 30 tháng 9 năm 2025 sau khi không xin được giấy phép từ Cơ quan Tiền tệ Singapore. Công ty dự định chuyển đến Malaysia và UAE, và toàn bộ 15 nhân viên địa phương sẽ mất việc.
WeatherlyStrategy hiện nắm giữ hơn 600.000 Bitcoin, trị giá gần 71 tỷ đô la, trở thành một trong những quỹ đầu tư doanh nghiệp lớn nhất tại Hoa Kỳ. Chủ tịch của Strategy, Michael Saylor, đã bóng gió về một đợt mua Bitcoin quy mô lớn khác bằng một bài đăng bí ẩn trực tuyến.
AnaisMicrosoft có thể sẽ tuân thủ các quy định AI tự nguyện của EU, trong khi Meta từ chối ký, cho rằng quy định này quá mơ hồ và nghiêm ngặt. Quy định của EU yêu cầu các nhà phát triển AI chia sẻ thông tin chi tiết về dữ liệu, tuân thủ các quy tắc bản quyền và quản lý rủi ro trước khi áp dụng đầy đủ vào tháng 8 năm 2025.
AnaisMột nha sĩ ở Colorado đang bị xét xử vì tội giết vợ bằng cách đầu độc bà bằng xyanua và các hóa chất có trong thuốc nhỏ mắt. Các công tố viên cho biết sau đó ông ta đã yêu cầu con gái mình dựng một video giả mạo để trông như thể người vợ đã tự tử.
WeatherlyMột nhóm tiền điện tử Nhật Bản đã yêu cầu chính phủ áp dụng mức thuế cố định 20% đối với lợi nhuận giao dịch tiền điện tử. Họ cho rằng hệ thống thuế hiện tại quá cao và cản trở mọi người đầu tư.
WeatherlyChủ tịch SEC cho biết Ethereum không được coi là chứng khoán, điều này đã khuyến khích các công ty tăng lượng nắm giữ Ethereum. Quan điểm rõ ràng về mặt pháp lý này đã giúp đẩy giá Ethereum lên cao và thu hút thêm sự quan tâm từ các nhà đầu tư và doanh nghiệp.
Anais