Era Wallet đã khắc phục lỗ hổng ký mù gây thiệt hại hàng tỷ USD cho DeFi

• Blind signing vẫn là một trong những rủi ro lớn nhất của DeFi hiện nay vì người dùng thường chấp nhận các giao dịch smart contract mà họ không thể đọc được nội dung.
• Sự cố bị hack của Bybit đã cho thấy khoá riêng có thể được bảo vệ, nhưng chỉ cần một lần phê duyệt độc hại vẫn có thể làm thất thoát tài sản.
• ERA Wallet cho ra mắt ERA Lens™, một công cụ phân tích giao dịch ngay trên thiết bị, giúp chuyển đổi dữ liệu phức tạp thành thông tin đơn giản, dễ hiểu trước khi người dùng ký giao dịch.

Vào ngày 12/05/2024, Ethereum Foundation cùng Nhóm Làm Việc Ethereum gồm các nhà phát triển ví và các công ty bảo mật đã giới thiệu Clear Signing — tiêu chuẩn mở giúp hiển thị các giao dịch Ethereum một cách dễ đọc trước khi chấp thuận. Thông báo cho rằng blind signing là một lỗ hổng mang tính cấu trúc, đã dẫn đến việc người dùng mất hàng tỷ USD, bao gồm cả vụ hack Bybit.

Blind signing thường bị coi là vấn đề về trải nghiệm sử dụng ví, vấn đề về kiến thức của người dùng, hoặc chỉ là chuyện thông báo cảnh báo. Nếu người dùng không hiểu rõ giao dịch mình sắp thực hiện, màn hình xác nhận cuối cùng sẽ trở thành một lớp bảo mật rất yếu.

Lấy vụ việc của Bybit làm ví dụ, các phân tích bảo mật chỉ ra rằng có tình huống mà người ký nghĩ rằng họ chỉ đang thực hiện một chuyển khoản bình thường, nhưng thực chất giao dịch lại chuyển quyền kiểm soát ví proxy sang hợp đồng do hacker kiểm soát.

Đối với người dùng DeFi, kịch bản này diễn ra hàng ngày:

• Một ví yêu cầu xác nhận giao dịch;
• Thiết bị cứng chỉ hiện lên một đoạn mã hash, dữ liệu mã hoá hoặc thông tin mà chỉ lập trình viên mới hiểu;
• Ứng dụng nhìn rất quen thuộc, quy trình có vẻ bình thường, nên người dùng cứ thế ký duyệt.

Blind signing bắt đầu khi khoá cá nhân đã được lưu trữ an toàn, nhưng người dùng lại phê duyệt một chỉ dẫn mà họ không thể đọc hiểu.

Blind signing nghĩa là việc chấp nhận một giao dịch mà không biết rõ toàn bộ ý định giao dịch đó dưới dạng dễ hiểu. Khi ví hoặc dApp không hỗ trợ clear signing, người dùng chỉ thấy các đoạn hash hoặc dữ liệu mã hoá phức tạp, không thể kiểm tra được nội dung thật sự mình đang đồng ý.

Với các giao dịch chuyển tiền đơn giản, người dùng thường muốn thấy địa chỉ nhận và số tiền. Tuy nhiên, giao dịch DeFi thì phức tạp hơn nhiều. Việc phê duyệt smart contract có thể bao gồm nhiều yếu tố: gọi hàm, quyền truy cập token, giới hạn chi tiêu, địa chỉ nhận, đường hoán đổi, hành động cho vay, staking, hoặc nâng cấp hợp đồng.

Rủi ro xuất hiện khi giao diện ví thể hiện một kiểu nhưng dữ liệu thực tế lại khác. Giao diện ứng dụng, tiện ích trình duyệt hoặc điện thoại có thể tóm tắt giao dịch rất rõ ràng, nhưng thiết bị ký lại nhận một bộ dữ liệu mà người dùng không thể hiểu. Khi ký xong, blockchain sẽ thực hiện chính xác lệnh mà họ vừa phê duyệt, dù đó có thể là lệnh độc hại.

Lưu trữ lạnh giúp bảo vệ khoá cá nhân không bị đánh cắp, nhưng việc hiển thị rõ nội dung giao dịch lại là một vấn đề bảo mật khác.

Ví cứng trở nên phổ biến vì chúng giữ khoá cá nhân tách biệt với thiết bị có kết nối Internet. Điều này giúp hạn chế rủi ro như phần mềm độc hại, website lừa đảo, tấn công trình duyệt hay laptop bị xâm nhập, tránh trường hợp lộ seed phrase hoặc ký giao dịch từ ví nóng.

Nhưng DeFi lại mang đến rủi ro khác. Người dùng thường xuyên tương tác với smart contract: phê duyệt quyền truy cập token, chuyển tài sản qua bridge, swap qua router, gửi vào các vault, staking, lending, vay, nhận thưởng, kết nối nhiều giao thức khác nhau… Mỗi thao tác đều có thể chứa những đoạn dữ liệu phức tạp.

Một ví cứng có thể giữ khoá ở trạng thái offline, nhưng vẫn đưa ra yêu cầu ký giao dịch mà người dùng không đọc nổi. Nghĩa là môi trường ký vẫn an toàn, nhưng người dùng lại bị ‘mù’ quyết định.

Đó là lý do clear signing trở nên cực kỳ quan trọng trong bảo mật. Clear signing sẽ chuyển dữ liệu giao dịch thành các thông tin dễ đọc như chức năng, số lượng, địa chỉ nhận, loại token và tên giao thức liên quan.

Tuy nhiên, thách thức nằm ở việc bao phủ toả rộng. Clear signing cần được tất cả ví hỗ trợ, các dApp phải cung cấp dữ liệu, còn nhà phát triển thì tạo metadata cho các hàm của smart contract và gửi lên kho dữ liệu để ví có thể hiểu giao dịch dưới dạng tiếng Việt đơn giản.

DeFi liên tục xuất hiện giao thức, router, app mới. Nhiều người dùng còn chuyển sang dùng dApp bên ngoài hệ sinh thái ví tích hợp. Lúc này, việc hiển thị giao dịch rõ ràng lại tuỳ thuộc vào từng bước có hỗ trợ chuẩn clear signing hay không.

Các thiết bị ví cứng không có màn hình lại phát sinh thêm rủi ro. Khi thiết bị ký không có màn hình riêng, người dùng cần xác nhận giao dịch trên smartphone hoặc máy tính. Dẫn đến việc thiết bị cầm khoá riêng đã tách biệt, nhưng lại phải dựa vào màn hình điện thoại hoặc máy tính – vốn vẫn có thể bị dính mã độc hoặc lừa đảo.

Vụ hack Bybit cho thấy vì sao sự khác biệt này lại nguy hiểm. Theo Dfns, giao diện độc hại đã hiển thị một lệnh chuyển khoản bình thường nhưng lại gửi dữ liệu giao dịch khác cho thiết bị ký. Người ký không bị mất khoá riêng, chỉ đơn giản là đã phê duyệt nhầm lệnh nguy hiểm.

Đây chính là vấn đề của blind signing: nếu màn hình cuối cùng không thể cho người dùng biết nội dung giao dịch thật sự, thì họ không thể đưa ra quyết định an toàn.

ERA Wallet đã áp dụng chuẩn mới và đảm bảo rằng thiết bị ký phải hiển thị rõ ràng cho người dùng biết nội dung mình chuẩn bị ký trước khi xác nhận giao dịch.

Cơ chế trọng tâm chính là ERA Lens™ – công cụ phân tích dữ liệu giao dịch được tích hợp trên thiết bị. ERA Lens sẽ biến dữ liệu phức tạp của smart contract thành thông tin dễ hiểu: cho biết hàm hành động, số lượng token, địa chỉ nhận. Nếu gặp giao dịch không thể phân tích hoặc không khớp với giao diện đã biết, ERA Lens tự động chặn quy trình ký và cảnh báo để người dùng kiểm tra lại thủ công.

Người sáng lập ERA Wallet, anh Alexey Devyatkin, đã chia sẻ về ý tưởng sản phẩm như sau:

“ERA Lens là một công cụ hoạt động hoàn toàn offline. Thiết bị giống như một ‘đảo bảo mật’ cho cá nhân bạn. Vì không cần kết nối Internet, sẽ không ai có thể thay đổi dữ liệu trên thiết bị. Nếu thiết bị không nhận diện được giao dịch, đó là dấu hiệu mạnh để bạn kiểm tra lại và tránh ký nhầm vào giao dịch độc hại.”

ERA Wallet cũng áp dụng mô hình ký giao dịch bằng mã QR một chiều (air-gapped). Thiết bị này ký giao dịch mà không cần Bluetooth, Wi-Fi hay cáp nối, dựa trên giao thức mở EIP-4527. ERA cho biết cách này giúp người dùng xác minh chính xác dữ liệu mà thiết bị gửi đi, thay vì phải phụ thuộc vào API đóng hay các cầu nối độc quyền.

Bản thân EIP-4527 mô tả một giao thức truyền dữ liệu bằng mã QR giữa các ví và thiết bị ký offline. Chuẩn này cho rằng truyền qua QR đảm bảo độ minh bạch vì người dùng có thể tự giải mã dữ liệu nhờ các công cụ hỗ trợ. Ngoài ra, chuẩn cũng chỉ ra rằng việc kết nối qua USB hay Bluetooth tiềm ẩn nhiều rủi ro bảo mật hơn so với mã QR.

Điều này mang lại cho ERA hai lớp bảo mật riêng biệt:

• Thứ nhất là bảo mật vật lý và kiến trúc: thiết bị ký giao dịch offline thông qua giao tiếp bằng mã QR.
• Thứ hai là bảo mật kiểm tra nội dung: ERA Lens kiểm tra và hiển thị thông tin chi tiết giao dịch để người dùng xem trước khi xác nhận.

Đối với người dùng DeFi, cả hai yếu tố này đều rất quan trọng. Giao tiếp một chiều (air-gap) giúp giảm rủi ro từ việc kết nối mạng, còn việc có thể trực tiếp kiểm tra nội dung trên thiết bị giúp đưa ra quyết định duyệt giao dịch chính xác hơn.

ERA thay thế phương án sao lưu seed phrase trên giấy truyền thống bằng thẻ khôi phục NFC có mã hóa. Thẻ này lưu trữ dữ liệu backup seed phrase dưới dạng mã hóa, bảo vệ bằng mã PIN với giới hạn số lần thử, đồng thời được trang bị chip bền bỉ, bảo vệ dữ liệu hơn 50 năm. Thẻ cũng được giới thiệu là chống bụi, chống nước, hỗ trợ cả backup đơn và backup chia sẻ nhiều phần.

Thực tế, quản lý seed phrase vẫn là thói quen yếu nhất của nhiều người dùng crypto. Giấy dễ bị mất, bị chụp lén, sao chép, hư hỏng hay cất giữ không đảm bảo an toàn. Cách tiếp cận của ERA giữ yếu tố vật lý để phục hồi, nhưng loại bỏ hoàn toàn việc ghi seed phrase ra giấy.

Thiết bị cũng hỗ trợ tối đa 10 ví độc lập, mỗi ví có seed phrase và passphrase riêng biệt (nếu muốn). Nhờ đó, người dùng chủ động tách biệt tài sản dài hạn, hoạt động DeFi, ví thử nghiệm, quỹ doanh nghiệp và các giao dịch có rủi ro cao.

Thế hệ ví cứng đầu tiên chủ yếu tập trung vào lưu trữ an toàn. Tuy nhiên, sự phát triển của DeFi đã làm thay đổi hoàn toàn các kiểu rủi ro, giờ đây câu hỏi được quan tâm nhiều nhất lại là chất lượng xác nhận giao dịch.

Thông báo Clear Signing của Ethereum Foundation là minh chứng rõ ràng. Việc đọc hiểu nội dung giao dịch đang trở thành yêu cầu tối thiểu đối với tự quản lý tài sản, nhất là khi người dùng tiếp xúc với smart contract, router, cầu nối, nền tảng staking, thị trường lending và giao dịch đa chữ ký.

ERA Wallet tin rằng, giai đoạn tiếp theo của tự lưu trữ tài sản sẽ đặt sự minh bạch giao dịch lên hàng đầu. Bảo vệ khóa cá nhân là cần thiết, nhưng phê duyệt giao dịch thì càng phải có ngữ cảnh rõ ràng.

Với người dùng DeFi, đây rất có thể sẽ là câu hỏi quan trọng nhất trước khi ký bất kỳ giao dịch nào: Liệu tôi có thật sự đọc và hiểu được mình sắp xác nhận điều gì hay không?