
EIP-6963 Tổng quan: Giải pháp tiềm năng cho xung đột ví đa nền tảng
Tuyển chọn TechFlowTuyển chọn TechFlow

EIP-6963 Tổng quan: Giải pháp tiềm năng cho xung đột ví đa nền tảng
EIP-6963 nhằm tăng cường khả năng tương tác giữa các nhà cung cấp ví khác nhau, giảm rào cản gia nhập cho các nhà cung cấp mới và cải thiện trải nghiệm người dùng trên mạng Ethereum.
Viết bởi: Mundus Security
Biên dịch: TechFlow

Gần đây, EIP-6963 được đề xuất nhằm giải quyết vấn đề xung đột khi người dùng cố gắng sử dụng nhiều nhà cung cấp ví trong cùng một trình duyệt web. Những xung đột này có thể làm giảm trải nghiệm người dùng, cản trở việc kiểm soát giao diện Ethereum của họ và làm phức tạp quá trình tương tác với các dApp.
Giới thiệu vấn đề
Hiện tại, các nhà cung cấp ví dưới dạng tiện ích mở rộng trình duyệt phải chèn nhà cung cấp Ethereum của họ (theo chuẩn EIP-1193) vào đối tượng window.ethereum của trình duyệt. Cơ chế này gây ra vấn đề cho người dùng đã cài đặt nhiều tiện ích mở rộng. Các tiện ích mở rộng được tải vào trang web theo thứ tự không thể đoán trước và không ổn định, khiến người dùng không thể tự chọn ví nào sẽ chiếm giữ đối tượng window.ethereum. Thông thường, ví được tải cuối cùng sẽ là cái hiện lên cửa sổ điều khiển.
EIP-6963: Giải pháp được đề xuất
Để giải quyết vấn đề này, EIP-6963 đề xuất một cơ chế thay thế để phát hiện nhà cung cấp EIP-1193 thay vì dựa vào window.ethereum. Đề xuất này giới thiệu một tập hợp các sự kiện cửa sổ (window events), cho phép thiết lập giao thức truyền thông hai chiều giữa các thư viện Ethereum và các script được chèn vào bởi tiện ích mở rộng ví. Giải pháp này tối ưu hóa khả năng tương tác giữa nhiều nhà cung cấp ví, giảm rào cản gia nhập cho các nhà cung cấp mới và cải thiện trải nghiệm người dùng trên mạng Ethereum.
Đề xuất này mô tả một giao diện thông tin nhà cung cấp được chuẩn hóa (EIP6963ProviderInfo), rất quan trọng để điền vào cửa sổ chọn ví. Nó cũng nhấn mạnh tầm quan trọng của giao diện công bố nhà cung cấp (EIP6963ProviderDetail), giúp giữ nguyên giao diện nhà cung cấp EIP-1193 nhằm đảm bảo tính tương thích ngược.
Các thuộc tính chính trong giao diện thông tin nhà cung cấp bao gồm:
-
walletId: Định danh toàn cục duy nhất cho nhà cung cấp ví (ví dụ: io.dopewallet.extension hoặc awesomewallet).
-
uuid: Định danh cục bộ duy nhất cho nhà cung cấp ví tuân thủ UUID v4.0.
-
name: Tên hiển thị dễ đọc cho người dùng của nhà cung cấp ví (ví dụ: DopeWalletExtension hoặc Awesome).
-
icon: URI trỏ đến hình ảnh, nên là hình vuông với độ phân giải tối thiểu 96x96px. Nên dùng định dạng PNG, WebP hoặc định dạng vector như SVG. Nhóm đề xuất cực lực phản đối việc sử dụng các định dạng nén mất dữ liệu như JPG/JPEG.
Về kích hoạt sự kiện, cả thư viện Ethereum lẫn nhà cung cấp ví đều sử dụng hàm window.dispatchEvent để phát ra sự kiện và window.addEventListener để lắng nghe sự kiện. Khi thư viện Ethereum khởi tạo, nó sẽ phát ra sự kiện “eip6963:requestProvider”, còn nhà cung cấp ví sẽ phát ra sự kiện “eip6963:announceProvider” kèm theo chi tiết giao diện nhà cung cấp và thông tin của nó.
Tác động của EIP-6963
Theo ước tính lạc quan, việc chấp nhận và triển khai EIP-6963 có thể mất khoảng ba đến sáu tháng. Sự phát triển này có thể mang lại những câu chuyện ví mới vào cuối năm, tiềm năng phá vỡ sự thống trị của các nhà cung cấp hàng đầu như Metamask và tạo ra môi trường cạnh tranh hơn giữa các nhà cung cấp.
Các ví như Coin98, Coinbase Wallet, Trust Wallet, Phantom, Taho, Rabby, Frame, XDEFI, Rainbow, Zerion, Spot, Frontier, MEW, Dawn Wallet, Blockwallet, Bitski, SafePal, BitKeep và MathWallet được kỳ vọng sẽ hưởng lợi từ sự phát triển này.
Ưu điểm và nhược điểm:
EIP-6963 đặt ra một số vấn đề an ninh cần cân nhắc.
Ưu điểm:
-
Không có điểm lỗi đơn lẻ: Bằng cách cho phép nhiều nhà cung cấp ví, chúng ta loại bỏ được điểm lỗi đơn lẻ. Điều này có lợi về mặt an ninh, vì nếu một nhà cung cấp bị tấn công hay gặp sự cố kỹ thuật, người dùng vẫn có lựa chọn thay thế.
-
Giảm sự phụ thuộc vào một nhà cung cấp duy nhất: Hiện tại, cộng đồng Ethereum phụ thuộc nặng nề vào một nhà cung cấp duy nhất là MetaMask. Điều này tiềm ẩn rủi ro, vì nếu MetaMask bị tấn công, phần lớn người dùng Ethereum sẽ bị ảnh hưởng. Việc hỗ trợ nhiều ví giúp phân tán rủi ro.
-
Tăng quyền kiểm soát cho người dùng: Khả năng chọn giữa nhiều nhà cung cấp ví giúp người dùng có quyền kiểm soát an ninh cao hơn. Người dùng có thể chọn nhà cung cấp phù hợp với sở thích an ninh và mức độ tin tưởng cá nhân của họ.
Nhược điểm:
-
Mở rộng bề mặt tấn công: Việc triển khai EIP-6963 làm tăng bề mặt tấn công do số lượng nhà cung cấp ví có thể bị kẻ xấu nhắm tới tăng lên. Mỗi nhà cung cấp cần tuân thủ các tiêu chuẩn an ninh cao để giảm thiểu rủi ro này.
-
Rủi ro tiềm tàng từ việc lợi dụng hình ảnh SVG: EIP-6963 đề xuất dùng hình ảnh SVG làm biểu tượng cho nhà cung cấp ví. Tuy nhiên, SVG có thể chứa mã JavaScript, dẫn đến rủi ro chèn kịch bản xuyên trang (XSS). Mặc dù EIP quy định hình ảnh SVG phải được hiển thị bằng thẻ <img> để ngăn thực thi JavaScript, nhưng khuyến nghị này chỉ có thể được xác minh bởi bên thứ ba hoặc từng nhóm kiểm toán riêng lẻ.
-
Tác động của việc thay thế window.ethereum: Mặc dù EIP không trực tiếp phá vỡ ứng dụng hiện tại bằng cách thay thế window.ethereum, nhưng nó gợi ý nên làm vậy sau khi người dùng chọn ví. Gợi ý này chỉ có thể được xác minh riêng lẻ trong mỗi lần triển khai bởi bên thứ ba hoặc kiểm toán viên.
Kết luận
EIP-6963 nhằm nâng cao khả năng tương tác giữa các nhà cung cấp ví, giảm rào cản gia nhập cho các nhà cung cấp mới và cải thiện trải nghiệm người dùng trên mạng Ethereum. Đồng thời, ảnh hưởng đến an ninh là vấn đề phức tạp.
Người dùng, nhà cung cấp ví và các nhà phát triển thư viện Ethereum cần tuân thủ các phương pháp tốt nhất để đảm bảo hệ sinh thái Ethereum luôn an toàn.
Bằng cách triển khai đề xuất này, hệ sinh thái Ethereum có thể tiến tới một môi trường thân thiện hơn với người dùng và cạnh tranh hơn, mang lại lợi ích cho cả nhà cung cấp ví lẫn người dùng của họ.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














