
Khi đa ký trở thành điểm lỗi đơn lẻ, người dùng ví Safe phải đi về đâu?
Tuyển chọn TechFlowTuyển chọn TechFlow

Khi đa ký trở thành điểm lỗi đơn lẻ, người dùng ví Safe phải đi về đâu?
Khi đa ký không còn an toàn.
Ngày 21 tháng 2 năm 2025, sàn giao dịch tiền mã hóa Bybit đã bị tin tặc tấn công, khiến khoảng 1,5 tỷ USD tài sản bị đánh cắp. Sự cố này không chỉ phá vỡ kỷ lục về số tiền bị mất trong lịch sử tiền mã hóa, mà điều gây chấn động cả ngành là: cuộc tấn công này đã vượt qua cơ chế bảo mật đa ký (multi-sig) được coi là tiêu chuẩn trong ngành.
Phân tích sau sự việc cho thấy, tin tặc đã xâm nhập vào thiết bị của nhà phát triển Safe, thay đổi mã JavaScript phía frontend trên máy chủ Safe{Wallet}. Khi người sở hữu đa ký của Bybit đăng nhập, giao diện hiển thị giao dịch bình thường, nhưng thực tế họ đang ký một nội dung hoàn toàn khác, dẫn đến việc tài sản bị đánh cắp.
Sự kiện này đã làm dấy lên những suy ngẫm sâu sắc: Liệu ví đa ký có thực sự là vấn đề? Hay cách chúng ta sử dụng nó mới là nguyên nhân?
Điểm mù an ninh: Điểm lỗi đơn lẻ vô hình
Sau sự cố Bybit, một câu hỏi nổi lên: Liệu Safe có thực sự an toàn?
Phải thừa nhận rằng, bản thân hợp đồng Safe là an toàn. Nó hoàn toàn mã nguồn mở, đã được nhiều công ty an ninh kiểm định, và chưa từng xuất hiện lỗ hổng nghiêm trọng nào trong suốt quá trình vận hành. Nhưng an toàn không chỉ đơn thuần là vấn đề mã hợp đồng.
Thực tế, rủi ro an ninh liên quan đến một chuỗi tin cậy rất dài. Khi sử dụng ví Safe, người ký phụ thuộc vào nhiều yếu tố: thiết bị ký, hệ điều hành, trình duyệt, tiện ích ví, giao diện UI của Safe, nút RPC, trình khám phá blockchain, ví phần cứng và phần mềm đi kèm. Chuỗi này quá dài, và tin tặc thường chỉ cần xuyên thủng một mắt xích để thu lợi khổng lồ.
Trong vụ việc Bybit, kẻ tấn công đã chọn một khâu tưởng chừng vô hại: frontend web. Tin tặc tấn công máy chủ Safe{Wallet} và thay thế mã JavaScript. Người dùng tưởng rằng mình đang ký giao dịch bình thường, nhưng thực tế lại ký vào một nâng cấp độc hại (thay đổi CALL thành DELEGATE_CALL).
Phân tích sâu hơn, chúng tôi nhận thấy gốc rễ của các lỗ hổng an ninh kiểu này nằm ở "điểm giao nhau trong chuỗi tin cậy". Ví đa ký lẽ ra phải tạo ra một chuỗi an ninh do nhiều người cùng xác minh, mỗi khâu đều do một cá thể độc lập kiểm soát. Trong lý tưởng, mỗi người ký nên sử dụng công cụ và phương pháp riêng biệt để xác minh giao dịch. Nhưng trên thực tế, các bên ký thường chia sẻ chung một giao diện web, cùng một nhóm nút RPC, cùng loại ví phần cứng và quy trình xác minh tương tự nhau.
Điều này phơi bày một lỗ hổng an ninh then chốt: khi tất cả người ký đều phụ thuộc vào cùng một giao diện web, kẻ tấn công chỉ cần kiểm soát điểm chung duy nhất này là có thể lừa tất cả. Điều đáng chú ý là đây không phải vấn đề riêng của Safe, mà là điểm mù phổ biến nhưng thường bị bỏ qua trong thực tiễn sử dụng ví đa ký.
Những điểm chia sẻ này chính là điểm yếu trong chuỗi an ninh. Tin tặc chỉ cần phá vỡ một điểm giao nhau là có thể ảnh hưởng đến tất cả mọi người.
Bài học sâu sắc này cho thấy: an ninh không phải là một công cụ, mà là một hệ thống thực hành bài bản. Việc sở hữu công cụ đa ký hàng đầu không đảm bảo an toàn tuyệt đối; mấu chốt nằm ở cách bạn sử dụng chúng để xây dựng một quy trình an ninh toàn diện.
Với các tổ chức và sàn giao dịch, nhận thức này càng trở nên cấp bách. Số liệu năm 2024 cho thấy, tổn thất do trộm cắp tiền mã hóa tăng 67%, đạt mức 494 triệu USD, trong khi số địa chỉ nạn nhân chỉ tăng 3,7%. Tin tặc đã chuyển rõ ràng sang chiến lược “tấn công chính xác” vào các mục tiêu giá trị cao, với khoản mất lớn nhất lên tới 55,48 triệu USD. Khi quy mô tài sản của bạn đạt mức tổ chức, bạn sẽ trở thành mục tiêu hàng đầu của tin tặc, và bất kỳ sự thỏa hiệp an ninh nào cũng có thể dẫn đến thảm họa.
Tổn thất của Bybit chính là bài học sâu sắc nhất, cảnh tỉnh cả ngành: an ninh đa ký thực sự đòi hỏi nhiều đường dẫn xác minh độc lập, chứ không chỉ đơn thuần là nhiều người ký. Nếu tất cả đều dựa vào cùng một nguồn thông tin, thì dù có bao nhiêu người ký cũng không mang lại an toàn thực sự.
Nói cách khác, Safe có thể rất an toàn, nhưng前提是 bạn sử dụng đúng cách và hiểu rõ từng khâu trong toàn bộ chuỗi an ninh. Điều này đặc biệt quan trọng với người dùng có giá trị cao.
MPC + Safe: Tổ hợp an ninh mạnh mẽ hơn?
Nếu sự kiện tin tặc khiến Bybit mất 1,5 tỷ USD dạy ta điều gì, thì đó là việc ta phải suy ngẫm lại bản chất của an ninh: an ninh của ví đa ký không nằm ở số lượng người ký, mà ở tính độc lập của các đường dẫn xác minh.
Khi tất cả đều nhìn vào cùng một giao diện web, một điểm lỗi đơn lẻ hoàn hảo được tạo ra. Tin tặc chỉ cần xuyên thủng điểm này là có thể lừa tất cả. Đó chính là bản chất của sự cố Bybit.
Vậy, làm thế nào để vừa giữ ưu điểm phân tán quyền hạn của đa ký, vừa tăng cường tính độc lập của đường dẫn xác minh?
Sự kết hợp MPC và Safe có thể là câu trả lời. Tổ hợp này không chỉ kế thừa ưu điểm của cả hai, mà còn có thể kiến tạo một khuôn mẫu an ninh hoàn toàn mới, giải quyết tận gốc vấn đề "điểm tin cậy chung" trong thực tiễn đa ký hiện tại.
Thiết kế an ninh MPC+Safe của Cobo Portal dựa trên hai nguyên tắc cốt lõi:
Tách rời chuỗi xác minh
Trong các giải pháp đa ký truyền thống, tất cả người ký chia sẻ chung giao diện, nút RPC và logic phân tích, tạo thành "điểm tin cậy tập trung" đầy rủi ro. Một giải pháp an toàn hơn cần phá vỡ mô hình này, xây dựng hệ thống xác minh tách biệt:
-
Cơ sở hạ tầng ký tách biệt (như MPC hoặc HSM)
-
Mạng nút RPC tự quản lý (không phụ thuộc vào nút do Safe cung cấp)
-
Dịch vụ phân tích nội dung giao dịch độc lập (đảm bảo mỗi người ký nhìn thấy nội dung thật sự)
-
Giao diện phê duyệt chuyên dụng, hoàn toàn tách biệt khỏi giao diện web chính
Giải pháp "phê duyệt đồng bộ Safe{Wallet}" do Cobo ra mắt được phát triển dựa trên triết lý này, có thể hoạt động như một người ký trong ví đa ký Safe, nhưng hoàn toàn độc lập với các người ký khác.
Cơ chế hoạt động như sau: Cobo Portal lấy giao dịch chờ ký từ dịch vụ Safe, kiểm tra thông qua hệ thống kiểm soát rủi ro độc lập, sau đó sử dụng ví MPC hoặc ví HSM được quản lý toàn phần để ký, rồi đẩy chữ ký trở lại hệ thống.
Lấy ví dụ sự cố Bybit: ngay cả khi hacker chiếm quyền giao diện Safe, hệ thống xác minh độc lập của Cobo vẫn hiển thị nội dung giao dịch thật và cảnh báo rủi ro.
Nguyên tắc quyền hạn tối thiểu
Là một sản phẩm an ninh của Cobo, mô-đun phân tách quyền hạn Cobo Safe thực hiện một tư tưởng đơn giản nhưng mạnh mẽ: ví lạnh không bao giờ cần toàn quyền.
Lấy ví dụ sàn giao dịch, nhiệm vụ chính của ví lạnh là chuyển tiền vào ví nóng. Tuy nhiên mỗi lần ví nóng cần tiền, quản trị viên phải sử dụng toàn quyền kiểm soát của ví lạnh để chuyển, điều này làm tăng rủi ro không cần thiết.
Giải pháp Cobo rất trực tiếp: cho phép tạo một vai trò "nhân viên vận hành hạn chế" đặc biệt, chỉ có một quyền duy nhất: chuyển các loại tiền đã được liệt kê trước vào địa chỉ ví nóng đã định sẵn. Hoạt động hàng ngày chỉ cần thực hiện qua địa chỉ có quyền hạn thấp này, không cần thường xuyên sử dụng ví Safe chính. Người dùng còn có thể tự cấu hình danh sách trắng/đen cho Safe, bao gồm giới hạn hợp đồng mục tiêu được gọi, tăng cường kiểm soát quyền hạn.
Điều này có nghĩa là, ngay cả khi tin tặc kiểm soát hoàn toàn tài khoản nhân viên này, điều duy nhất họ có thể làm là chuyển tiền vào ví nóng của chính sàn giao dịch — không có quyền sửa cài đặt ví, không chuyển đến địa chỉ khác, không sử dụng các loại tiền ngoài danh sách trắng.
Nếu dùng Cobo Portal, tai nạn mất 1,5 tỷ USD có còn xảy ra?
Một khi hiểu được cách hành động của kẻ tấn công, ta có thể thiết kế hàng rào phòng thủ hiệu quả. Hãy mô phỏng lại hành trình của kẻ tấn công để xem lớp bảo vệ của Cobo Portal sẽ hoạt động thế nào trong kịch bản tấn công Bybit.
Tái hiện tình huống
Bước 1: Frontend Safe bị chèn mã JavaScript độc hại
-
Trong giải pháp đa ký Safe: tất cả người ký dùng chung giao diện bị tấn công, nhìn thấy nội dung giao dịch giả mạo;
-
Trong giải pháp phê duyệt đồng bộ Safe{Wallet} của Cobo: mặc dù giao diện Safe bị tấn công, ứng dụng phê duyệt độc lập của Cobo không bị ảnh hưởng, hiển thị nội dung giao dịch thật.
Bước 2: Gửi yêu cầu ký giao dịch giả mạo
-
Trong giải pháp đa ký Safe: người ký nhìn thấy "chuyển tiền vào ví nóng", nhưng thực tế đang ủy quyền nâng cấp;
-
Trong giải pháp phê duyệt đồng bộ Safe{Wallet} của Cobo: chuỗi xác minh độc lập phân tích ra giao dịch thật sự là thao tác Delegate Call, ứng dụng hiển thị cảnh báo rủi ro.
Bước 3: Thu thập chữ ký để thực hiện tấn công
-
Trong giải pháp đa ký Safe: sau khi thu đủ chữ ký, quyền kiểm soát hợp đồng rơi vào tay kẻ tấn công;
-
Trong giải pháp phê duyệt đồng bộ Safe{Wallet} của Cobo: hiển thị nội dung thật và cảnh báo, giúp người ký nhận diện hành vi tấn công.
Bước 4: Vượt qua hàng rào đa ký
-
Trong giải pháp đa ký Safe: sau khi có quyền kiểm soát hợp đồng, kẻ tấn công có thể chuyển toàn bộ tài sản;
-
Kết hợp dùng giải pháp Cobo Safe: ngay cả khi mọi hàng rào trước đó bị phá vỡ, việc phân tách quyền hạn của Cobo Safe đảm bảo kẻ tấn công chỉ có thể thực hiện thao tác đã được ủy quyền trước (ví dụ chuyển vào ví nóng trong danh sách trắng).
Dưới lớp bảo vệ xác minh độc lập của Cobo Portal, kẻ tấn công vào Bybit sẽ bị chặn lại ở nhiều bước. Cần nhấn mạnh rằng, mặc dù giải pháp phê duyệt đồng bộ Safe{Wallet} và Cobo Safe là hai sản phẩm riêng biệt, nhưng kết hợp sử dụng cả hai sẽ mang lại mức độ an ninh cao hơn. Ngay cả khi hàng rào xác minh độc lập bị vượt qua, hệ thống phân tách quyền hạn vẫn có thể hiệu quả giới hạn phạm vi tổn thất. Với chiến lược phòng thủ sâu này, tổn thất 1,5 tỷ USD hoàn toàn có thể tránh được.
An ninh giống như bảo hiểm. Con người luôn chỉ nhận ra tầm quan trọng của nó sau thảm họa.
Thật không may, ngành này đã phải trả học phí bằng con số khổng lồ, nhưng điều đó cũng tạo cơ hội để chúng ta suy nghĩ lại về an ninh tiền mã hóa: an ninh là một trò chơi bất đối xứng. Kẻ tấn công chỉ cần tìm thấy một lỗ hổng, trong khi người phòng thủ phải bảo vệ mọi điểm. Khi hàng tỷ USD tài sản nằm đó, các tin tặc hàng đầu thậm chí các tác nhân tấn công cấp quốc gia với nguồn lực vô hạn sẽ dành hàng tháng, hàng năm để nghiên cứu hệ thống của bạn, tìm kiếm điểm yếu duy nhất đó.
Đây chính là lý do Cobo phát triển giải pháp phê duyệt đồng bộ Safe{Wallet}. Chúng tôi muốn giải quyết một vấn đề cốt lõi: Làm sao loại bỏ điểm lỗi đơn lẻ? Câu trả lời là tái cấu trúc toàn bộ quy trình xác minh, đạt được nhiều lớp bảo vệ. Với các tổ chức quản lý tài sản lớn, an ninh không bao giờ đối lập với hiệu suất, mà là điều kiện tiên quyết. Không có an ninh, hiệu suất chẳng có ý nghĩa gì.
Bản thân Cobo luôn sử dụng hệ thống này. Sau khi các sự cố an ninh xảy ra liên tiếp, chúng tôi nhận ra rằng những thực hành an ninh này không nên chỉ thuộc về riêng chúng tôi, mà nên mang lại lợi ích cho nhiều người dùng hơn. Vì vậy, chúng tôi đã thương mại hóa nó và ra mắt chương trình dùng thử miễn phí 30 ngày. Hy vọng nó không chỉ bảo vệ tài sản của bạn, mà còn nhờ phản hồi từ bạn để không ngừng tối ưu và nâng cấp, giúp hệ thống an ninh hoàn thiện hơn.
An ninh không phải là khoản đầu tư một lần, mà là quá trình tiến hóa liên tục. Khi mối đe dọa không ngừng nâng cấp, biện pháp bảo vệ cũng phải liên tục cập nhật. Chỉ có sự tập trung và kiên trì mới thực sự đối phó được môi trường rủi ro luôn thay đổi.
Nếu bạn đang quản lý tài sản tiền mã hóa lớn, hay là người dùng giá trị cao, hãy dùng thử giải pháp phê duyệt đồng bộ Safe{Wallet} của Cobo và chia sẻ trải nghiệm với chúng tôi. Trong ngành tiền mã hóa, an ninh luôn là điều quan trọng nhất.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














