12/05/2023 21:05 read

138

Công nghệ mới có thể làm cho ví tiền điện tử và ví Web3 trở nên thuận tiện hơn

Các nhà phát triển đang nghiên cứu các cách để loại bỏ các từ gốc và thậm chí cả khóa riêng tư, trong khi vẫn kiểm soát được người dùng.

Nền tảng của hệ sinh thái Web3 là ví tiền, ứng dụng hoặc tiện ích mở rộng trình duyệt cho phép người dùng xác minh danh tính web của họ và ủy quyền giao dịch. Nhưng việc sử dụng ví luôn liên quan đến một đường cong học tập dốc. Người dùng mới phải học cách sao chép các từ gốc của họ và lưu trữ chúng ở nơi an toàn, tạo mật khẩu mạnh để mã hóa tệp kho khóa của họ, sao chép địa chỉ chính xác khi gửi tiền và những thứ khác mà họ có thể không bao giờ phải học khi sử dụng ứng dụng Web2.

Nếu người dùng mới muốn làm cho việc giới thiệu dễ tiếp cận hơn, một tùy chọn là sử dụng nhà cung cấp ví lưu ký, chẳng hạn như nền tảng giao dịch tập trung. Nhưng những người dùng tiền điện tử có kinh nghiệm hầu như sẽ luôn cảnh báo họ về điều này vì một lý do chính đáng. Thế giới đã chứng kiến các nền tảng giao dịch tập trung như Mt. Gox, QuadrigaX và FTX phá sản do bị hack hoặc lừa đảo trắng trợn, khiến một số khách hàng mất hết tiền do sử dụng ví lưu ký.

Do rủi ro này, nhiều người dùng tiền điện tử vẫn coi ví không lưu ký được hỗ trợ bởi một bộ từ gốc là cách an toàn duy nhất để người dùng bảo vệ danh tính Web3 của họ.

Nhưng người dùng luôn phải lựa chọn giữa bảo mật và tiện lợi? Hoặc có cách nào để kết hợp tính bảo mật của ví không lưu ký với sự tiện lợi của nền tảng giao dịch không?

Một số công ty Web3 đang cố gắng tạo ví dễ sử dụng nhưng cũng không yêu cầu người dùng đặt tất cả niềm tin vào một người giám sát tập trung. Các công ty như Magic, Dfns, Kresus, Web3Auth, Immutable và những công ty khác tin rằng ví có thể dễ sử dụng như một tài khoản email và đủ an toàn để được tin cậy nhằm bảo vệ danh tính và tiền của người dùng. Các công ty này đang sử dụng các loại cơ sở hạ tầng ví mới khác nhau để biến ý tưởng này thành hiện thực.

Dưới đây là tóm tắt về một số giải pháp được các nhà phát triển ví sử dụng:

Ma thuật

Một hệ thống mới là bộ công cụ phát triển phần mềm Magic (SDK), do Magic Labs sản xuất. Đây là một bộ công cụ dành cho nhà phát triển và cơ sở hạ tầng ví cho phép các nhà phát triển tạo ví không hạt giống cho người dùng.

Thay vì lưu trữ khóa riêng tư trên thiết bị người dùng, một bản sao mã hóa được lưu giữ trên Mô-đun bảo mật phần cứng (HSM) của Amazon Web Services. Quá trình mã hóa được thực hiện bằng Khóa chính không thể thoát khỏi HSM. Tất cả việc ký được thực hiện trong HSM, ngăn khóa người dùng được phát ra internet.

Ví ma thuật không sử dụng mật khẩu. Thay vào đó, khi người dùng đăng ký ví ma thuật lần đầu tiên, họ sẽ gửi địa chỉ email của mình tới người chuyển tiếp ma thuật. Sau đó, người chuyển tiếp sẽ gửi Token sử dụng một lần cho người dùng qua email của họ. Token này sẽ chỉ hoạt động nếu được sử dụng bởi thiết bị đã gửi yêu cầu và chỉ trong một khoảng thời gian giới hạn.

Token được sử dụng để xác thực với Amazon Web Services khi người dùng nhấp vào liên kết trong email. Các khóa riêng tư và khóa chung của tài khoản ví blockchain sau đó được tạo trên thiết bị người dùng và được gửi đến HSM. Magic Labs cho biết họ không thể thấy khóa cá nhân đã tạo vì khóa này không bao giờ được chuyển tới máy chủ của họ.

Khi người dùng ngừng sử dụng ví và đóng trình duyệt, họ có thể mở lại ví của mình bằng cách lặp lại quy trình. Họ gửi lại địa chỉ email của mình cho Magic và nhận được Token mới, sử dụng một lần. Lần này, sau khi xác thực, họ lấy lại quyền truy cập vào ví của mình.

Magic Labs đã tạo một bản trình diễn cho thấy hệ thống hoạt động như thế nào. Nó dường như cho phép mọi người tạo ví mà không cần tải xuống tiện ích mở rộng trình duyệt hoặc sao chép các từ giống. Nó cũng cho phép người dùng đóng trình duyệt của họ và quay lại ví của họ sau đó, đăng nhập lại vào cùng một tài khoản Web3.

Bản trình diễn hiện chỉ hoạt động trên các mạng thử nghiệm như Goerli, Sepolia và Mumbai.

Ví dựa trên Magic

Một số ví khác nhau đã được phát hành hoặc hiện đang được phát triển sử dụng Magic. Một ví dụ đáng chú ý là ví Kresus, một ứng dụng dành cho thiết bị di động cho phép người dùng lưu trữ và giữ Bitcoin (BTC), Ether (ETH), Solana (SOL), Polygon (MATIC) và Token từ các mạng này. Nó cũng cho phép người dùng gửi tiền điện tử bằng tên miền .kresus thay vì địa chỉ tiền điện tử.

Kresus đã được phát hành trong Apple App Store vào ngày 11 tháng 5. Nhóm đã nói với Cointelegraph rằng phiên bản Android sẽ ra mắt sau năm 2023.

Hộ chiếu bất biến là một ví dụ khác. Nó là một giao diện lập trình ứng dụng (API) được xây dựng bởi nhà phát triển trò chơi Web3 Immutable. Khi các trò chơi tham gia tích hợp trang web của họ với Passport, nó cho phép người chơi tạo ví trực tiếp thông qua trang web trò chơi.

Immutable nói với Cointelegraph rằng ví Passport kết nối với mạng Immutable X, một giao thức Ethereum lớp 2, cho phép người chơi lưu trữ tất cả các bộ sưu tập trò chơi Immutable của họ trong một tài khoản, bất kể họ đã đăng ký trò chơi nào ban đầu.

Hộ chiếu đã triển khai gần đây, Immutable làm phương thức đăng nhập mặc định cho cổng dành cho nhà phát triển của mình và họ dự định sử dụng nó cho ít nhất một trang đăng nhập trò chơi vào mùa hè năm 2023, nhóm cho biết.

Mối lo ngại về bảo mật với Phép thuật

Magic SDK có chứa một lỗ hổng bảo mật đã biết mà các nhà phát triển đã thực hiện các bước để giảm thiểu. Vì nó dựa vào Token email để xác thực người dùng nên kẻ tấn công có thể có quyền truy cập vào HSM của người dùng bằng cách xâm nhập vào tài khoản email của họ rồi yêu cầu xác thực từ chính thiết bị của kẻ tấn công. Sau khi có quyền truy cập vào HSM, họ có thể ủy quyền bất kỳ giao dịch nào từ tài khoản người dùng.

Vì lý do này, cả Immutable Passport và Kresus đều có kế hoạch sử dụng xác thực hai yếu tố (2FA) như một lớp bảo mật bổ sung trong trường hợp tài khoản email của người dùng bị xâm phạm.

Ví dựa trên Magic không có mật khẩu, vì vậy chúng không thể bị hack thông qua phương pháp đánh cắp và bẻ khóa mật khẩu thông thường.

Web3Auth

Một nhà phát triển cơ sở hạ tầng ví mới khác thường sử dụng là Web3Auth.

Web3Auth là một mạng quản lý khóa dựa trên tính toán nhiều bên (MPC) để giúp các khóa riêng tư có thể phục hồi được. Khi người dùng đăng ký tài khoản bằng Web3Auth, họ sẽ tạo khóa riêng tư như bình thường. Sau đó, khóa này được chia thành ba phần.

Chia sẻ đầu tiên được lưu trữ trên thiết bị của họ, chia sẻ thứ hai được mạng Web3Auth lưu trữ thông qua nhà cung cấp dịch vụ đăng nhập và chia sẻ thứ ba là chia sẻ dự phòng nên được lưu trữ trên một thiết bị riêng biệt hoặc ngoại tuyến. Chia sẻ thứ ba cũng có thể được tạo từ các câu hỏi bảo mật nếu người dùng thích.

Do cách tính toán nhiều bên hoạt động, người dùng có thể tạo khóa riêng và xác nhận giao dịch chỉ với hai trong số ba cổ phần. Điều này có nghĩa là người dùng vẫn có thể khôi phục ví của họ nếu thiết bị của họ bị rơi hoặc mất khóa dự phòng. Đồng thời, nhà cung cấp đăng nhập không thể thực hiện các giao dịch mà không có sự cho phép của người dùng do nhà cung cấp chỉ có một chia sẻ.

Nhà cung cấp cũng không thể kiểm duyệt giao dịch. Nếu nhà cung cấp từ chối cung cấp cho người dùng chia sẻ thứ hai của họ sau khi họ đã xác thực chính xác, thì người dùng có thể tạo khóa riêng của họ bằng cách kết hợp chia sẻ được lưu trữ trên thiết bị của họ cộng với chia sẻ dự phòng.

Trên Web3Auth, chia sẻ của nhà cung cấp đăng nhập được chia thành chín phân đoạn khác nhau và được phân phối trên mạng lưu trữ Nodes, với năm phân đoạn cần thiết để tái tạo lại chia sẻ của nhà cung cấp. Điều này ngăn nhà cung cấp thông tin đăng nhập lưu trữ cổ phần của mình trên cơ sở hạ tầng của chính họ.

Ví Web3Auth

Web3Auth đã được tích hợp vào một số ví bán lẻ, bao gồm Ví Binance và phiên bản beta kín của Ví Trust. Trong phiên bản mở rộng của Binance Wallet, người dùng có thể tạo tài khoản ví bằng thông tin đăng nhập Google của họ. Trong phiên bản Trust Wallet, Google, Apple, Discord và Telegram là các tùy chọn nhà cung cấp dịch vụ đăng nhập, theo một video chính thức từ tài khoản Twitter của Web3Auth.

Trong cả hai trường hợp, người dùng vẫn cần sao chép các từ gốc. Tuy nhiên, tài khoản có thể được khôi phục ngay cả khi những từ này bị mất, miễn là người dùng vẫn có quyền truy cập vào cả thiết bị và tài khoản nhà cung cấp thông tin đăng nhập của họ.

Nói chuyện với Cointelegraph, Giám đốc điều hành Web3Auth Zhen Yu Yong lập luận rằng việc chuyển đổi sang sử dụng nhiều chia sẻ khóa trong Web3 tương tự như sự phát triển của 2FA trên các trang web Web2, nêu rõ:

Tên người dùng và mật khẩu vào đầu những năm 2000 hoặc cuối những năm 1990 cực kỳ dễ bị mất. Trước đó, chúng tôi nghĩ rằng các ứng dụng tài chính sẽ không bao giờ được xây dựng trên internet.

Với tên người dùng và mật khẩu, cuối cùng chúng tôi đã tiến tới xác thực hai yếu tố, Yong tiếp tục. Tôi nghĩ rằng quá trình chuyển đổi tương tự mà chúng tôi đang cố gắng thúc đẩy ở đây […] Thay vì sử dụng một cụm từ hạt giống một yếu tố, chúng tôi đang chia nhỏ điều này thành nhiều yếu tố khác nhau […] và thực hiện sao cho tất cả các điểm tiếp cận của bạn , vì vậy tất cả vẫn tự giam giữ.

Dfns

Dfns, được phát âm là phòng thủ, là mạng quản lý khóa MPC cho phép các tổ chức, nhà phát triển và người dùng cuối tạo ví không mật khẩu và không hạt giống. Nó giữ từng khóa riêng của blockchain khi nhiều phân đoạn lan truyền giữa các Node trên toàn mạng Dfns.

Để cho phép giao dịch, Nodes Dfns phải cùng nhau tạo chữ ký bằng cách sử dụng từng phân đoạn.

Không giống như Web3Auth, Dfns không giữ một phần khóa riêng của blockchain trên thiết bị người dùng hoặc làm bản sao lưu. Tất cả các phân đoạn được lưu giữ trên mạng.

Dfns Nodes sử dụng giao thức có tên là WebAuthn để xác minh rằng người dùng đã ủy quyền giao dịch. Giao thức này được tạo bởi World Wide Web Consortium để cho phép người dùng đăng nhập vào các trang web mà không cần mật khẩu. Trên Dfns, Nodes chỉ được lập trình để ký một giao dịch với phân đoạn của chúng nếu người dùng cuối đã xác thực bằng giao thức này.

Khi người dùng đăng ký một trang web bằng WebAuthn, trang web sẽ tạo một khóa riêng trên thiết bị người dùng. Khóa riêng này không được sử dụng trong bất kỳ blockchain nào. Nó chỉ tồn tại để cho phép người dùng đăng nhập vào trang web.

Người dùng được nhắc bảo vệ khóa bằng mã pin hoặc khóa sinh trắc học khi khóa được tạo. Trên PC Windows, khóa này có thể được tạo thông qua Windows Hello, là một phần của hệ điều hành hoặc thông qua một thiết bị riêng biệt như điện thoại di động hoặc Yubikey. Trên thiết bị di động, khóa được tạo bằng tính năng bảo mật tích hợp trong thiết bị.

Ví dụ về lời nhắc đăng ký WebAuthn. Nguồn: WebAuthn.io

Trên trang web triển khai đăng ký WebAuthn, người dùng không cần địa chỉ email hoặc mật khẩu để đăng ký. Thay vào đó, thiết bị sử dụng hệ thống bảo mật riêng để nhận dạng người dùng.

Khi nhóm phát triển ví tạo ví bằng Dfns, họ có thể chuyển phương thức xác thực này cho người dùng cuối. Trong tình huống này, ví được coi là không lưu ký vì nhà cung cấp ví không có thiết bị người dùng, mã pin hoặc dữ liệu sinh trắc học và do đó không thể ủy quyền giao dịch.

Người dùng cuối cũng có thể thêm thiết bị vào ví nếu thiết bị đầu tiên bị rớt.

Các nhà phát triển ví cũng có thể tạo ví lưu ký bằng cách sử dụng Dfns. Trong tình huống này, nhà phát triển ví phải xác thực với mạng bằng WebAuthn. Họ có thể sử dụng bất kỳ phương pháp nào để xác thực người dùng với chính họ, bao gồm cả tên người dùng và mật khẩu.

Ví sử dụng Dfns

Nói chuyện với Cointelegraph, người sáng lập Dfns, Clarisse Hagège, tuyên bố rằng nhiều khách hàng của nền tảng là các tổ chức và nhóm phát triển trong thị trường doanh nghiệp với doanh nghiệp.

Tuy nhiên, nhóm đã bắt đầu thu hút nhiều nhà cung cấp ví doanh nghiệp đến người tiêu dùng hơn trong thời gian gần đây. Cô cho biết ứng dụng tiết kiệm tiền điện tử bán lẻ SavingBlocks sử dụng Dfns và công ty đang đàm phán với một số nền tảng giao dịch phi tập trung để giúp tạo ví cho khách hàng của họ.

Hagège lập luận rằng để việc áp dụng hàng loạt tiền điện tử diễn ra, người dùng thậm chí không nên biết rằng có một khóa riêng blockchain khi họ thực hiện giao dịch.

Những gì chúng tôi đang nhắm mục tiêu là hàng trăm nghìn nhà phát triển sẽ xây dựng các tình huống sử dụng nhắm mục tiêu đến việc áp dụng hàng loạt blockchain, nhắm mục tiêu đến những người không muốn biết rằng họ có khóa riêng tư, cô ấy giải thích. Chúng tôi có một mạng máy chủ vận hành việc tạo khóa đó […] và điều quan trọng không thực sự là sở hữu khóa riêng hoặc chia sẻ khóa, mà là sở hữu quyền truy cập vào API.

Liệu công nghệ ví mới có được đại chúng chấp nhận không?

Liệu những công nghệ ví mới này có dẫn đến việc áp dụng hàng loạt hay thậm chí được người dùng hiện tại chấp nhận hay không vẫn còn phải chờ xem. bất chấp việc đơn giản, nhưng chúng vẫn có thể quá phức tạp đối với những người dùng muốn giữ tiền điện tử của họ trong một nền tảng giao dịch. Mặt khác, những người dùng không tin vào khóa của bạn, không phải câu thần chú về tiền điện tử của bạn có thể nghi ngờ về việc tin tưởng mạng MPC hoặc mô-đun bảo mật phần cứng do Amazon sở hữu để ủy quyền giao dịch cho họ.

Tuy nhiên, một số người dùng có thể quyết định rằng lợi thế của MPC hoặc liên kết ma thuật là quá tốt để bỏ qua. Chỉ có thời gian mới trả lời được.

Trong thời gian chờ đợi, những công nghệ mới này có thể sẽ gây ra cuộc thảo luận về cách đảm bảo người dùng luôn kiểm soát được tiền của họ hoặc ý nghĩa thực sự của việc tự quản lý.

Theo CoinTelegraph

Chia sẻ bài viết này với bạn bè qua Facebook / Zalo / Telegram: