Năm 2025, Web3 sẽ bước vào giai đoạn mới của "sử dụng quy mô lớn hơn và tần suất cao hơn", và ví điện tử sẽ nhanh chóng phát triển từ "công cụ lưu trữ tiền điện tử" thành điểm truy cập trên chuỗi và hệ điều hành giao dịch. Công ty nghiên cứu thị trường Fortune Business Insights dự đoán rằng thị trường ví tiền điện tử sẽ đạt khoảng 12,2 tỷ đô la vào năm 2025 và có thể tăng lên 98,57 tỷ đô la vào năm 2034. Sự mở rộng về phía người dùng cũng rất đáng kể: a16z crypto ước tính trong báo cáo "Tình trạng tiền điện tử năm 2025" rằng có khoảng 40-70 triệu người dùng tiền điện tử hoạt động, trong khi số lượng người nắm giữ tài sản tiền điện tử "nắm giữ tiền điện tử nhưng không nhất thiết phải hoạt động trên chuỗi" là khoảng 716 triệu; một báo cáo của Crypto.com Research cũng đưa ra con số rằng số lượng người nắm giữ tiền điện tử toàn cầu đã tăng từ 681 triệu lên 708 triệu trong nửa đầu năm 2025. Sự gia tăng về quy mô và mức độ thâm nhập cũng làm gia tăng các rủi ro về bảo mật. Vấn đề không chỉ còn là liệu các hợp đồng có lỗ hổng bảo mật hay không, mà còn là liệu các rủi ro có thể được ngăn chặn tại các điểm quan trọng của người dùng, chẳng hạn như nhấp vào liên kết, kết nối ví, ký ủy quyền và chuyển tiền. "Bề mặt tấn công" trong thế giới blockchain thường mở rộng ra ngoài các lỗ hổng hợp đồng, thường liên quan đến lừa đảo trực tuyến (phishing) với rào cản thấp, tên miền giả mạo, mạo danh dịch vụ khách hàng và gian lận ủy quyền – tất cả đều là rủi ro trước giao dịch. Ví dụ, định nghĩa của Chainalysis về "công cụ rút tiền điện tử" (công cụ rút tiền từ ví/công cụ ủy quyền lừa đảo) chỉ ra rằng các công cụ này không đánh cắp mật khẩu tài khoản, mà thay vào đó dụ dỗ người dùng kết nối ví của họ và phê duyệt các giao dịch độc hại, từ đó trực tiếp chuyển tài sản. Dữ liệu công khai cũng cho thấy tổn thất liên quan đến "công cụ rút tiền từ ví" đã lên tới gần 500 triệu đô la vào năm 2024. Do đó, việc cải thiện bảo mật của ví Web3 sẽ không còn chỉ tập trung vào việc liệu các hợp đồng có lỗ hổng bảo mật hay không, mà sẽ cần chú trọng hơn nữa đến cách chủ động ngăn chặn rủi ro tại các điểm quan trọng trong hành vi người dùng, tức là "bảo mật trước giao dịch". Trong bối cảnh ngành này, "bảo mật" ngày càng khó giải quyết chỉ bằng một khẩu hiệu đơn thuần; Thay vào đó, nó giống như một tập hợp các khả năng quản trị cần được chứng minh liên tục: **Khả năng xác minh, khả năng truy vết và công khai kịp thời** đang trở thành những tiêu chí quan trọng đối với người dùng khi lựa chọn ví. Từ "Tuyên bố bảo mật" đến "Danh sách khả năng bảo mật dễ hiểu": Trong một thời gian dài, các dự án ví thảo luận về bảo mật thường sử dụng các cụm từ như "Chúng tôi đã tiến hành kiểm toán", "Chúng tôi có sách trắng" và "Chúng tôi coi trọng việc kiểm soát rủi ro". Tuy nhiên, với sự công nghiệp hóa của gian lận và lừa đảo trực tuyến, những "tuyên bố bảo mật" này đang mất đi tính thuyết phục. Thời điểm người dùng thực sự chịu tổn thất thường xảy ra trong các tương tác cực kỳ ngắn như nhấp vào liên kết, kết nối ví và ký xác nhận. Chainalysis mô tả "kẻ rút tiền điện tử" là một con đường điển hình: kẻ tấn công mạo danh các trang hợp pháp, hướng dẫn người dùng hoàn thành xác thực, sau đó tài sản được chuyển đi; nghiên cứu của họ thậm chí còn đề cập đến các trường hợp giả mạo các trang Magic Eden để thực hiện các giao dịch độc hại nhắm mục tiêu vào người dùng Ordinals. Dữ liệu công khai cũng đang thúc đẩy câu chuyện của ngành hướng tới "khả năng dễ hiểu". Tuần lễ An ninh (Security Week), trích dẫn số liệu thống kê từ Scam Sniffer, cho biết năm 2024, thiệt hại do các vụ rút tiền ví gây ra lên tới gần 500 triệu đô la, với hơn 332.000 nạn nhân – những sự cố này không yêu cầu kẻ tấn công phải đột nhập vào các hệ thống phức tạp, mà chủ yếu dựa vào việc người dùng "không hiểu rõ rủi ro" trong quá trình tương tác. Mặt khác, Chainalysis cũng ước tính trong báo cáo năm 2025 rằng doanh thu từ gian lận trên chuỗi năm 2024 ít nhất là 9,9 tỷ đô la, và con số này có thể được điều chỉnh tăng lên khi có thêm nhiều địa chỉ được xác định. Khi rủi ro chủ yếu bắt nguồn từ "những lỗ hổng về khả năng đọc hiểu ở phía người dùng", các nhà cung cấp ví phải chuyển vấn đề bảo mật từ kỹ thuật phía máy chủ sang giao diện người dùng. Kết quả là, ngày càng nhiều ví trong ngành đang bắt đầu "thương mại hóa" các khả năng bảo mật của họ: thay vì chỉ đơn giản nói với bạn "chúng tôi an toàn", họ chia nhỏ các hành động bảo vệ thành một danh sách mà người dùng có thể hiểu – những token nào sẽ được đánh dấu là rủi ro cao, giao dịch nào sẽ kích hoạt cảnh báo, địa chỉ hoặc DApp nào sẽ bị chặn và tại sao. Bản chất của sự thay đổi này là viết lại vấn đề bảo mật từ "câu chuyện xác nhận đủ điều kiện" thành "câu chuyện tương tác": cho phép người dùng nhận được thông tin hữu ích trước khi ký, thay vì phải xem xét bản PDF kiểm toán sau đó. Theo xu hướng này, trang Trung tâm Bảo mật mới được ra mắt và nâng cấp của OKX Wallet là một ví dụ điển hình về "cách diễn đạt dựa trên danh sách". Trang này nêu rõ các khả năng bảo mật dành cho người dùng dưới dạng ba "tuyến phòng thủ": Phát hiện rủi ro Token, Giám sát Giao dịch và Sàng lọc Địa chỉ, giải thích chức năng của chúng trong một câu duy nhất, chẳng hạn như "đánh dấu các token có rủi ro cao để giảm thiểu nguy cơ bị tấn công bởi các bẫy và các bên độc hại", "giám sát chuỗi chéo theo thời gian thực để xác định hoạt động đáng ngờ trên chuỗi" và "chặn tương tác với các DApp và địa chỉ độc hại". Ưu điểm của cách tiếp cận này là ngay cả khi người dùng không hiểu thuật ngữ bảo mật, họ vẫn có thể nhanh chóng hiểu được hành động hiện tại của mình - tôi có nên nhấp chuột, ký hoặc chuyển khoản ngay bây giờ không?
Nhấp vào đây để xem: Báo cáo kiểm toán trang đích bảo mật của Ví OKX: https://web3.okx.com/zh-hans/security
Quan trọng hơn, "dễ hiểu" không đồng nghĩa với "tự phục vụ".
Thông tin kiểm toán“Có thể xác minh công khai”: Chuyển đổi các chứng thực của bên thứ ba từ“Liên kết”thành“Chuỗi bằng chứng có thể xác minh”
Kikyo
Alex
Hui Xin