Tại Consensus 2026, Charles Hoskinson của Cardano cho biết rằng “người dùng có lẽ không bao giờ nên có khóa riêng tư của họ”, và nói thêm rằng “cần có một hệ thống nào đó lưu giữ khóa riêng tư của người dùng”.
Ông lập luận rằng các chip bảo mật đã được tích hợp sẵn trong iPhone, điện thoại Android và thiết bị Samsung hoạt động tốt hơn so với các chip trong thiết bị Ledger và Trezor, và hầu hết người dùng tiền điện tử đã mang theo phần cứng ký điện tử tốt hơn trong túi của họ mà không hề nhận ra điều đó.
Quản lý khóa riêng tư luôn là một trở ngại cho việc chấp nhận Bitcoin trong cộng đồng bán lẻ kể từ những ngày đầu tiên. Người dùng thường gặp khó khăn với Seed Phrase gồm 12 hoặc 24 từ của họ, thường quên mất, chụp ảnh lại, lưu trữ trong ghi chú đám mây hoặc làm mất hoàn toàn.
Ví phần cứng đã giải quyết được vấn đề trích xuất dữ liệu, vì Ledger hoặc Trezor tạo và lưu trữ các khóa ở dạng văn bản thuần, không bao giờ rời khỏi thiết bị, đồng thời tạo ra một rào cản mà người dùng phổ thông luôn từ chối.
Ngày 7 tháng 5, FIDO báo cáo rằng hiện có 5 tỷ mã khóa xác thực đang hoạt động trên toàn cầu, với 75% người tiêu dùng đã kích hoạt ít nhất một mã. Người dùng hiện đã chấp nhận thông tin xác thực được liên kết với thiết bị và mở khóa bằng sinh trắc học như một phần bình thường của quá trình xác thực.
Ví thông minh của Coinbase hiện thực hóa điều này bằng cách cho phép người dùng đăng ký mà không cần cụm từ khôi phục, sử dụng mật khẩu Apple hoặc Google, và tạo ra một thông tin xác thực không thể xuất khẩu được liên kết với phần cứng bảo mật. Nhận diện khuôn mặt hoặc mã PIN trở thành giao diện duy nhất mà người dùng cần.
Hoskinson nói đúng rằng các điện thoại phổ thông đều chứa phần cứng bảo mật nghiêm ngặt. Secure Enclave của Apple là một hệ thống con chuyên dụng được cách ly khỏi bộ xử lý chính, và hãng cho biết nó bảo vệ dữ liệu nhạy cảm ngay cả khi kẻ tấn công xâm nhập được vào nhân xử lý ứng dụng.
Hệ thống Keystore của Android hỗ trợ các khóa được hỗ trợ bởi phần cứng, có thể không xuất khẩu và liên kết với Môi trường Thực thi Tin cậy hoặc phần tử bảo mật, trong khi các triển khai StrongBox bổ sung thêm CPU chuyên dụng và các yêu cầu cách ly nghiêm ngặt hơn.
Hệ thống Knox của Samsung cung cấp khả năng bảo vệ khóa dựa trên phần cứng thông qua TrustZone, với DualDAR bổ sung thêm các lớp mã hóa cho dữ liệu hồ sơ công việc được quản lý.
Hoskinson mô tả cấu hình hoạt động của Knox là “một hệ điều hành riêng biệt, các mạch điện riêng biệt trong phần cứng.”
| Người mẫu | Nơi chìa khóa tọa lạc | Có thể trích xuất chìa khóa không? | Liệu phần mềm độc hại vẫn có thể đánh lừa quá trình ký điện tử? | Cách thức xác minh thông tin giao dịch | Use Case tốt nhất |
|---|---|---|---|---|---|
| Ví Seed Phrase | Được tạo ra từ một cụm từ khôi phục gồm 12 hoặc 24 từ, thường được lưu trữ trong phần mềm hoặc được người dùng ghi lại. | Có, hoàn toàn có thể — bí mật có thể bị lộ thông qua việc lưu trữ kém, ảnh chụp màn hình, sao lưu đám mây, lừa đảo trực tuyến hoặc xâm nhập thiết bị. | Đúng vậy — nếu ứng dụng ví điện tử hoặc thiết bị bị xâm nhập, kẻ tấn công có thể lừa người dùng hoặc đánh cắp hoàn toàn thông tin bí mật. | Thông thường thông qua giao diện ứng dụng ví trên cùng thiết bị. | Quy trình đăng ký dễ dàng, số dư nhỏ, người dùng quen thuộc với việc sao lưu thủ công. |
| Ví điện tử tích hợp phần cứng trên điện thoại | Bên trong phần cứng bảo mật của điện thoại, chẳng hạn như Apple Secure Enclave, Android Keystore/TEE/StrongBox hoặc các biện pháp bảo vệ được hỗ trợ bởi Samsung Knox. | Thông thường là không — khóa có thể vẫn không thể xuất khẩu và gắn liền với phần cứng của thiết bị. | Đúng vậy — khóa có thể vẫn được bảo vệ, nhưng một ứng dụng hoặc hệ điều hành bị xâm nhập vẫn có thể cố gắng khiến thiết bị ký một thứ gì đó độc hại. | Thông qua giao diện người dùng điện thoại, sinh trắc học, mã PIN và các lời nhắc mở ví; bảo mật phụ thuộc rất nhiều vào trải nghiệm người dùng được phê duyệt và xác minh ý định. | Thanh toán hàng ngày, tự quản lý tài khoản thường xuyên, người dùng phổ thông, quy trình đăng ký không cần seed/mật khẩu. |
| Ví phần cứng chuyên dụng | Bên trong một thiết bị ký điện tử riêng biệt như Ledger hoặc Trezor. | Thông thường là không — các khóa được thiết kế để lưu lại trên thiết bị chứ không phải dưới dạng văn bản thuần. | Khó hơn nhiều, nhưng không phải là không thể — chìa khóa được cách ly tốt hơn, mặc dù kẻ tấn công vẫn có thể cố gắng lừa người dùng chấp thuận một giao dịch xấu. | Trên màn hình hiển thị đáng tin cậy/màn hình bảo mật riêng của ví, được tách biệt hoàn toàn về mặt vật lý khỏi điện thoại hoặc máy tính. | Số dư lớn hơn, lưu trữ dài hạn, người dùng muốn khả năng cách ly mạnh mẽ hơn và mô hình mối đe dọa rõ ràng hơn. |
Ví chuyên dụng có một lợi thế nhất định.
Phần cứng bảo mật dựa trên điện thoại và các thiết bị ký chuyên dụng hoạt động trên các mô hình mối đe dọa khác nhau.
Bộ phận bảo mật của Ledger điều khiển một màn hình bảo mật trên chính thiết bị, cho phép người dùng xác minh chi tiết giao dịch ngay cả khi điện thoại hoặc máy tính xách tay được kết nối đang bị tấn công.
Màn hình hiển thị đáng tin cậy của Trezor cho thấy giao dịch đang được ký kết, bất kể máy chủ hiển thị gì. Các mẫu Safe 3, Safe 5 và Safe 7 mới hơn của Trezor cũng bao gồm các phần tử bảo mật, vì vậy lời chỉ trích rằng ví phần cứng thiếu silicon bảo mật giờ đã lỗi thời.
Nhược điểm mà Hoskinson chỉ ra là khả năng truy cập, vì Ledger và Trezor yêu cầu một thiết bị riêng biệt, một ứng dụng đi kèm và một quy trình ký kết làm gián đoạn giao dịch.
Đối với khối lượng giao dịch hàng ngày và việc tự quản lý tài khoản thông thường, điện thoại là thiết bị ký chính khả thi. Đối với số dư lớn hơn hoặc người dùng muốn có mô hình bảo mật mạnh nhất hiện có, các thiết bị chuyên dụng với màn hình cách ly sẽ giữ cho màn hình ký được tách biệt về mặt vật lý khỏi máy tính bị xâm nhập, đảm bảo rằng phần mềm độc hại của máy chủ không thể tiếp cận màn hình.
Việc tích hợp trí tuệ nhân tạo (AI) vào thanh toán tạo thêm một lớp phức tạp cho hệ thống. Các tác nhân AI cần có quyền hạn thanh toán để hoạt động hiệu quả, nhưng việc cấp cho tác nhân quyền truy cập vào khóa riêng tư chính là điều mà hầu hết người dùng sẽ không chấp nhận một cách tự nguyện.
Kiến trúc khả thi là ủy quyền có giới hạn, bao gồm một người đại diện được ủy quyền chi tiêu trong các giới hạn đã được thiết lập trước, trong một khoảng thời gian nhất định, mà không có quyền truy cập vào thông tin xác thực kiểm soát ví điện tử tổng thể.
Tài liệu về Quyền Chi Tiêu của Base đã nêu rõ việc mua hàng của tác nhân AI là Use Case cốt lõi cho các ủy quyền định kỳ, có phạm vi giới hạn. Việc tích hợp AgentCore Payments của Coinbase và công cụ thanh toán cho tác nhân stablecoin của AWS cũng triển khai mô hình tương tự, trong đó các tác nhân thực hiện giao dịch dưới sự kiểm soát ngân sách với nhật ký kiểm toán đầy đủ, mà không cần truy cập trực tiếp vào khóa riêng.
Đề xuất cải tiến Ethereum (EIP)-4337 của Ethereum đã hỗ trợ hơn 26 triệu ví thông minh và 170 triệu UserOperation, trong khi Đề xuất cải tiến Ethereum (EIP)-7702 của Pectra mở rộng khả năng lập trình hành vi ví cho các tài khoản thuộc sở hữu bên ngoài, cho phép xử lý theo lô, tài trợ phí gas , logic phục hồi và các điều khiển tùy chỉnh.
Cơ sở hạ tầng cho các ví điện tử tương thích với tác nhân và dựa trên quyền hạn đã tồn tại ở quy mô đáng kể.
Chìa khóa của bạn, nhưng bạn chẳng bao giờ nhìn thấy chúng.
"Không phải chìa khóa của bạn, không phải tiền của bạn" luôn là một quan điểm mang tính triết học cũng như kỹ thuật, và nó giả định rằng người dùng nên trực tiếp xử lý các bí mật mã hóa.
Tuy nhiên, quan điểm này có thể không tồn tại được khi tiếp xúc với việc phân phối sản phẩm ra thị trường đại chúng. Phiên bản bền vững hơn của việc tự quản lý dữ liệu có vẻ như là xác thực dựa trên sinh trắc học và tạo ra một khóa không thể xuất khẩu trong phần cứng bảo mật, mà không cần nhìn thấy vật liệu khóa thô.
Người dùng có thể kiểm soát giới hạn chi tiêu, khóa phiên, quyền được ủy quyền, logic phục hồi và quy trình phê duyệt dễ hiểu.
Cơ chế xác thực ý định an toàn của Apple cho phép phần cứng xác nhận vật lý ý định của người dùng theo cách mà ngay cả phần mềm root hoặc kernel cũng không thể giả mạo. Android Keystore hỗ trợ các yêu cầu xác thực cho từng thao tác.
Những khả năng đó chuyển trọng tâm vấn đề quyền giám hộ từ "bạn có thể giữ bí mật không" sang "bạn có thể xác minh những gì bạn muốn cho phép không".
Hạn chế lớn nhất trong lập luận của Hoskinson là một ứng dụng hoặc hệ điều hành bị xâm phạm có thể không trích xuất được khóa phần cứng trong khi vẫn có thể sử dụng nó trên thiết bị.
Tính không thể trích xuất khóa và tính bảo mật giao dịch là hai đảm bảo riêng biệt, và lịch sử gần đây cho thấy sự khác biệt đó có thể dẫn đến hậu quả thảm khốc như thế nào.
Phân tích của CertiK về vụ việc Bybit cho thấy tin tặc đã lừa người ký ủy quyền cho một giao dịch độc hại. Cuộc tấn công đã thành công ngay cả khi khóa riêng tư chưa bao giờ rời khỏi phần cứng.
Theo báo cáo của Chainalysis, các vụ lừa đảo mạo danh đã tăng hơn 1.400% trong năm 2025, và các vụ lừa đảo sử dụng trí tuệ nhân tạo mang lại lợi nhuận gấp 4,5 lần so với các vụ lừa đảo truyền thống.
Mô hình tự quản lý dữ liệu tích hợp trên điện thoại sẽ che giấu khóa riêng tư khỏi người dùng, đồng thời biến ý định giao dịch, trải nghiệm người dùng khi phê duyệt và giới hạn chi tiêu trở thành bề mặt bảo mật chính.
Hai quỹ đạo
Nếu ví điện tử giải quyết tốt vấn đề trải nghiệm người dùng (UX) về ý định sử dụng, đủ để tạo dựng lòng tin của người tiêu dùng thông qua giới hạn chi tiêu tiêu chuẩn hóa, ủy quyền có thể thu hồi và các lời nhắc phê duyệt rõ ràng, thì việc tự quản lý tài sản chủ yếu bằng điện thoại có thể chiếm từ 70% đến 85% số người dùng bán lẻ mới vào năm 2028.
Việc đăng ký không cần cụm từ hạt giống trở thành mặc định, Account Abstraction chuyển từ tính năng nâng cao sang kỳ vọng cơ bản, và Seed Phrase trở thành tùy chọn cấu hình cho người dùng muốn sử dụng.
Nếu các sự cố ký kết trên thiết bị di động, lừa đảo trực tuyến, quy trình phê duyệt bị xâm phạm hoặc cơ chế khôi phục khó hiểu tiếp tục gây ra những tổn thất lớn, thì việc tự quản lý tài sản qua điện thoại sẽ chỉ chiếm từ 20% đến 35% thị trường bán lẻ.
Người dùng bị mất tiền do bị tấn công thao túng ví điện thoại thường mô tả đó là một vụ hack và quay lại các sàn giao dịch.
Điều đáng lo ngại tiềm ẩn trong cả hai hướng đi là sự phụ thuộc vào nền tảng. Nếu việc tự quản lý tài sản chuyển sang phần cứng tích hợp trong điện thoại, thì Apple, Google, Samsung và các nhà cung cấp SDK ví điện tử lớn sẽ trở thành những trung tâm quyền lực đáng kể trong kiến trúc bảo mật của tiền điện tử.
Về mặt kỹ thuật, mô hình này vẫn Non-Custodial , nhưng bảo mật ví điện tử phụ thuộc nhiều hơn vào API của hệ điều hành, chính sách truy cập vùng bảo mật và quy tắc phân phối ứng dụng.
