Phổ bảo mật Ví Lightning

Tác giả: Jack Ronaldi

Nguồn: https://vls.tech/posts/lightning-security-spectrum/

Nói tóm lại là như vậy.

Thuật ngữ "không lưu giữ" không thể được sử dụng để mô tả chế độ bảo mật của ví Lightning. Vì việc ký ví yêu cầu kết nối internet, câu hỏi thực sự là: điều gì sẽ xảy ra nếu nút được kết nối bị xâm phạm ? Hầu hết các ví Lightning đều là ví được kết nối (ví nóng). Nếu chỉ dùng để chi tiêu tiền, thì không có vấn đề gì, nhưng rủi ro tăng nhanh chóng theo số tiền. Cấp độ 3 (Hoàn cảnh nâng cao) có thể giảm xác suất bị xâm phạm. Cấp độ 4 (VLS) giới hạn phạm vi ảnh hưởng bằng cách thực thi các quy tắc chi tiêu nhất định bên ngoài nút, vì vậy ngay cả khi nút bị xâm phạm, tiền cũng không thể bị đánh cắp. Nếu bạn là nhà phát triển, người vận hành nút hoặc máy chủ đang nắm giữ lượng lớn tiền trong Lightning Channel, trong đó là rất đáng kể.

(Ghi chú của người dịch: Ý tưởng của tác giả là chia một nút Lightning đầy đủ chức năng thành hai mô-đun: một là "nút" chịu trách nhiệm về mạng, giao tiếp và quản lý các kênh Lightning, và mô-đun còn lại là "người ký" chịu trách nhiệm ký khi trạng thái kênh chuyển đổi (nhận hoặc thanh toán); hai mô-đun này có thể được hợp nhất hoặc tách biệt trong các triển khai ví Lightning khác nhau.)

Một cái nhìn thoáng qua về phạm vi an toàn

• Cấp độ 1: Không cần xác minh chữ ký . Vô nghĩa, đừng phát triển nó.
• Cấp độ 1: Ví nóng được quản lý hoàn toàn . Nhà cung cấp dịch vụ giữ khóa riêng của bạn.
• Cấp độ 2: Ví nóng không lưu giữ khóa . Bạn sở hữu khóa; khóa chỉ được lưu trữ bởi nhà cung cấp thiết bị mạng.
• Cấp độ 3: Nút được nâng cao . Sử dụng các vùng bảo mật và Mô-đun Chữ ký Phần cứng (HSM) để cách ly mạnh mẽ hơn.
• Cấp độ 4: Trình ký kênh Lightning được xác thực (VLS) . Một trình ký độc lập thực thi các điều khoản chi tiêu.
• Cấp độ 5: VLS + Chữ ký Ngưỡng (Tương lai)

Một sự phân biệt hữu ích

• Cấp độ 3 : Làm cho nút khó bị xâm nhập hơn.
• Cấp độ 4 : Làm cho việc xâm phạm nút trở nên ít nguy hiểm hơn (nút không thể đánh cắp tiền bằng cách sử dụng các hành động không được phép theo điều khoản chi tiêu).

Hãy hỏi nhà phát triển hoặc nhà cung cấp dịch vụ ví điện tử của bạn.

• Nếu nút bị xâm nhập, liệu nó có thể lấy được chữ ký điện tử để đánh cắp tiền không?
• Việc ký kết các điều khoản chi tiêu có được thực hiện bên ngoài nút, bởi một mô-đun riêng biệt không?
• Trong trường hợp xấu nhất, thiệt hại sẽ lớn đến mức nào? Có cách nào để ngăn chặn tình trạng mất máu?
• Kiểm tra trạng thái hiện tại của ví của bạn.

Nếu chính bộ tạo chữ ký bị xâm phạm, thì mọi biện pháp đều sẽ không hiệu quả. Do đó, mục tiêu của chúng tôi là làm cho việc xâm phạm bộ tạo chữ ký trở nên khó khăn hơn cả việc xâm phạm nút.

Những lời hứa và vấn đề của Lightning Network

Bạn đã nghiên cứu kỹ lưỡng và lựa chọn ví Lightning "không lưu giữ khóa riêng" vì bạn tin chắc rằng "không có khóa riêng, không có tiền". Bạn bảo vệ cẩn thận khóa gốc của mình, trong khi vẫn giữ quyền kiểm soát private key.

Một buổi sáng nọ, bạn thức dậy và phát hiện kênh Lightning của mình đã bị đóng, và số satoshi của bạn đã được chuyển đến một địa chỉ mà bạn không nhận ra. Nhật ký phần mềm cho thấy nút của bạn đã cho phép tất cả các hoạt động. Chỉ trong nháy mắt, Bitcoin của bạn đã biến mất. Ví Lightning của bạn đã lấy đi chiếc ghế của bạn.

Mạng Lightning Network hứa hẹn sẽ duy trì các nguyên tắc bảo mật và tự quản lý của Bitcoin cho các khoản thanh toán tức thời. Tuy nhiên, dường như đã có điều gì đó không ổn.

"Không được quản lý" không phải là một mô hình bảo mật.

Ở lớp nền tảng Bitcoin, "không lưu giữ khóa riêng" rõ ràng gắn liền với tính bảo mật: private key được lưu trữ trên các thiết bị ngoại tuyến (lưu trữ lạnh) và chỉ được ký khi bạn chọn. Ví Lightning thay đổi hạn chế này. Thanh toán, Hợp đồng Khóa Thời gian Băm (HTLC) và cập nhật kênh đều có giới hạn thời gian phản hồi, vì vậy khóa ký phải được kết nối với internet—trên điện thoại của bạn, với nhà cung cấp dịch vụ hoặc ở đâu đó giữa hai nơi này. Trong ví Lightning, "Tôi giữ private key" không nhất thiết có nghĩa là "tiền của tôi an toàn".

• Tất nhiên, điều khoản "không lưu giữ" vẫn cần thiết . Điều đó có nghĩa là nhà cung cấp dịch vụ không thể tùy ý chuyển tiền của bạn.
• Nhưng chỉ đơn giản là "không được quản lý" thì chưa đủ . Vì việc ký kết diễn ra trực tuyến, bạn cần có chế độ phục hồi sau sự cố. Giả sử kẻ tấn công giành quyền kiểm soát nút Lightning của bạn, điều gì có thể ngăn chúng lấy được chữ ký của bạn và đánh cắp tiền của bạn?

(Ghi chú của người dịch: Lý do kẻ tấn công có thể đánh cắp tiền mà không cần đánh private key hoặc kiểm soát nút là vì việc thay đổi trạng thái của chính Kênh Lightning yêu cầu chữ ký, tức là ứng dụng nút và sự ủy quyền của người ký; nếu người ký không xác minh nội dung của ứng dụng, thì đương nhiên, chỉ cần kiểm soát nút là đủ để chuyển toàn bộ tiền của nạn nhân trong kênh.)

Điều quan trọng là:

Nếu nút Lightning của bạn bị chiếm quyền kiểm soát, kẻ tấn công có thể làm gì tiếp theo?

Trước tiên, chúng ta hãy cùng xem xét các loại ví Lightning phổ biến.

Phổ bảo mật Ví Lightning

Phổ này được rút ra từ một bài kiểm tra đơn giản: kẻ tấn công khó có thể đánh cắp tiền của nạn nhân đến mức nào ?

Khi chúng ta chuyển sang phạm vi công nghệ khác, chúng ta phải hy sinh sự đơn giản để đổi lấy nút tấn công nhỏ hơn và khả năng phục hồi sau thảm họa mạnh mẽ hơn.

Không có chữ ký được xác minh (chế độ lỗi)

Cơ chế hoạt động như sau : Bên ký tách biệt với nút, nhưng nó sẽ ủy quyền cho bất kỳ yêu cầu nào được gửi bởi nút mà không cần tự mình xác minh tính bảo mật của yêu cầu đó.

Điều gì xảy ra khi nút bị chiếm quyền kiểm soát : Khi nút(hoặc bất kỳ mô-đun nào có thể ảnh hưởng đến nó) bị xâm phạm, nó có thể đánh lừa người ký để ủy quyền cho các hành động gây hại.

Lý do nó tệ : Nó phức tạp hơn và kém an toàn hơn so với ví nóng tiêu chuẩn vì giờ đây bạn có hai giao diện tấn công (nút và người ký) thay vì chỉ một.

Ví dụ : Đây không phải là cách các sản phẩm thông dụng hoạt động hiện nay. Các nhà phát triển nên biết: đừng phát triển sản phẩm theo cách này .

Ví nóng được lưu trữ

Cách thức hoạt động : Nhà cung cấp dịch vụ kiểm soát khóa và vận hành nút Lightning thay mặt bạn.

Điều gì xảy ra khi nút bị chiếm đoạt : Hành vi sai trái của nhà cung cấp hoặc hoạt động nội bộ có thể cho phép họ chuyển tiền của bạn.

Sự đánh đổi : Trải nghiệm người dùng tốt nhất, trách nhiệm của người dùng tối thiểu, mức độ tin cậy và trách nhiệm kinh doanh cao nhất.

Thích hợp nhất cho : số lượng nhỏ và người mới bắt đầu.

Các trường hợp điển hình : Cash App , Strike , River

Ví nóng không lưu ký

Nó hoạt động như sau : Bạn tự giữ khóa, nhưng khóa đó được lưu trữ trong hoàn cảnh mạng (thiết bị) chạy nút Lightning của bạn (ví điện tử).

Điều gì xảy ra nếu nút bị chiếm đoạt : Nếu nút bị chiếm đoạt, tiền có thể bị đánh cắp.

Sự đánh đổi : Tính tự chủ, nhưng bảo mật phụ thuộc rất nhiều vào mức độ an toàn của hoàn cảnh hoạt động của nút .

Phù hợp nhất cho : chi tiêu hàng ngày.

Các trường hợp nghiên cứu : Phoenix (ACINQ) , ZEUS , Voltage

Mô hình tại chỗ so với điện toán đám mây : Ví điện tử không lưu ký có thể chạy trên thiết bị của người dùng (tại chỗ) hoặc trên máy chủ do một đội ngũ vận hành (điện toán đám mây). Điện toán đám mây không nhất thiết an toàn hơn hoặc nguy hiểm hơn. Nó có thể giảm thiểu lỗi người dùng và đội ngũ chuyên gia có thể cải thiện hiệu quả hoạt động, nhưng nó thường làm tăng giao diện cho các cuộc tấn công từ xa và tập trung rủi ro vào việc truy cập vào cơ sở hạ tầng.

Hoàn cảnh nút được nâng cao (vùng bảo mật/HSM)

Về hình thức : Chế độ Lightning Nút tiêu chuẩn, nhưng hoạt động trong hoàn cảnh được tăng cường bảo mật (vùng bảo mật, HSM, phân phối bí mật dựa trên xác thực).

Điều mà nó tăng cường là làm cho việc "chiếm quyền điều khiển máy chủ" và "quyền quản trị" khó có thể chuyển đổi thành việc trích xuất khóa, bằng cách cô lập bộ nhớ nhạy cảm và tăng cường quản lý khóa.

Điều gì xảy ra khi nút bị chiếm đoạt : Nếu kẻ tấn công thực thi thành công logic độc hại trên nút(chẳng hạn như bằng cách khai thác lỗ hổng phần mềm hoặc chiếm đoạt nguồn cập nhật phần mềm), nút sẽ được cho phép đánh cắp. Các biện pháp tăng cường bảo mật có thể giảm khả năng bị chiếm đoạt, nhưng không hạn chế phạm vi của các cuộc tấn công vét cạn.

Sự đánh đổi : Nói chung, các biện pháp tăng cường bảo mật rất tốn kém, đòi hỏi cơ sở hạ tầng chuyên dụng, Chuỗi và các quy trình vận hành (xác thực, chèn private key, triển khai phần mềm được kiểm soát). Ngay cả các nhà mạng hàng đầu thế giới cũng cho biết phải mất nhiều năm mới đạt được tình trạng chấp nhận được.

Phù hợp nhất với : các nhà điều hành quy mô lớn (a) không thể thay đổi cơ sở hạ tầng trong ngắn hạn; và (b) có ngân sách riêng cho bảo mật và vận hành. Đây là một “điểm khởi đầu” hợp lý cho một ví nóng thông thường, nhưng không phải là mục tiêu cuối cùng nếu bạn muốn có sự đảm bảo rất mạnh mẽ.

Nghiên cứu trường hợp : LEXE (Intel SGX) , ACINQ: Bảo mật một node Lightning trị giá khoảng 100 triệu đô la (Nitro Enclaves) ( Bản dịch tiếng Trung )

VLS (Lightning Channel Signer with Validation)

Nó hoạt động như thế nào : Một người ký duyệt độc lập sẽ xác minh yêu cầu và thực thi các điều khoản chi tiêu trước khi ký.

Điều nó cải thiện là: Nó thay đổi phương thức lỗi: ngay cả khi nút bị chiếm đoạt, nó cũng không thể đánh cắp tiền thông qua các hoạt động không được phép theo điều khoản chi tiêu.

Điều gì xảy ra nếu nút bị chiếm quyền kiểm soát : Việc chiếm quyền kiểm soát nút không gây ra tác động đáng kể. Bên ký xác thực mới là ranh giới bảo mật quan trọng.

Sự đánh đổi : Tích hợp phần mềm trước khi sử dụng và bảo trì liên tục là cần thiết để đổi lấy sự đảm bảo an ninh mạnh mẽ hơn.

Phù hợp nhất cho : số tiền bạn quan tâm, đặc biệt là ví điện tử trên hoàn cảnh.

Trường hợp : Blockstream Greenlight , Ứng dụng Blockstream

VLS + Chữ ký ngưỡng (Trong tương lai)

Nó hoạt động như sau : cần có M trong số N người ký ủy quyền việc ký các thay đổi trạng thái kênh Lightning (ví dụ: 3 trên 5).

Tình trạng hiện tại : Đây chưa phải là mô hình tiêu chuẩn cho nút Lightning, nhưng là một hướng đi khả thi nếu có nhu cầu.

Sự đánh đổi : Đây là giải pháp đảm bảo an ninh mạnh mẽ nhất, nhưng cũng phức tạp nhất (có thể dẫn đến gánh nặng vận hành lớn hơn).

Phù hợp nhất với : Các quỹ đầu tư chớp nhoáng kiểu Bộ Tài chính, nơi việc vượt qua các trở ngại là đáng giá để đạt được sự kiểm soát bên long.

Nghiên cứu trường hợp : Chưa, nhưng sự quan tâm của mọi người đang tăng lên.

Tín hiệu nhu cầu : Một số nhà điều hành nút Lightning muốn quy trình ký kết kênh Lightning tương thích với quản lý tài chính nội bộ của công ty (chẳng hạn như quyền truy cập đa người dùng). Flowrate gần đây đã liên hệ với dự án VLS bày tỏ sự quan tâm đến việc sử dụng quyền truy cập theo ngưỡng để bảo vệ tiền của khách hàng. Hiện tại, nút vẫn đang được nghiên cứu và chưa có kiến ​​trúc "trình ký đa chữ ký kênh Lightning" nào sẵn sàng cho hoàn cảnh.

Cách chọn mức độ bảo mật phù hợp

Tính bảo mật của Lightning Wallet phụ thuộc vào hai khía cạnh chính: khả năng bị xâm phạm (xác suất ai đó có thể hack vào hệ thống) và khả năng thiệt hại khổng lồ nếu ai đó thành công trong việc xâm nhập.

Một cách tiếp cận thực tế là xem xét: bạn sẵn sàng chấp nhận mức thiệt hại bao nhiêu nếu nó thực sự bị hỏng ?

Hãy sử dụng phương pháp đơn giản hơn để bảo vệ các khoản tiền nhỏ. Khi số tiền tăng lên, trở nên đáng kể hoặc quan trọng đối với doanh nghiệp của bạn, hãy chọn thiết kế giúp giảm thiểu thiệt hại trong trường hợp xấu nhất, chứ không chỉ là thiết kế giúp giảm thiểu xác suất xảy ra thảm họa.

Bảo mật là một sự lựa chọn sản phẩm. Mức độ bảo mật phù hợp phụ thuộc vào mức độ cần bảo vệ, mức độ rủi ro bạn có thể chấp nhận và các kiểu lỗi mà bạn có thể xử lý.

Hoàn cảnh nút được nâng cao (vùng bảo mật/HSM)

Cấp độ 3 là một cách tiếp cận phổ biến: nếu hoàn cảnh hoạt động nút có rủi ro, thì hãy tăng cường nó. Việc cách ly mạnh mẽ hơn, quyền truy cập thắt chặt và biện pháp bảo vệ dựa trên phần cứng có thể giảm xác suất "xâm nhập máy chủ" leo thang thành "đánh cắp khóa".

Cách tiếp cận này nâng cao đáng kể ngưỡng bảo mật, khiến nó đặc biệt phù hợp với các nhà điều hành có kinh nghiệm sâu rộng về bảo mật và triển khai. Tuy nhiên, nó vẫn là một hệ thống mạng, vì vậy kịch bản xấu nhất vẫn không thay đổi: một nút bị xâm nhập sẽ ký những gì?

Đây là hình ảnh thực tế của Cấp độ 3:

Nghiên cứu trường hợp thực tế : Bài đăng trên blog của đội ngũ ACINQ, " Bảo mật một Lightning Nút trị giá 100 triệu đô la " ( https://acinq.co/blog/securing-a-100M-lightning-node) (bản dịch tiếng Trung có sẵn tại https://www.btcstudy.org/2023/08/21/securing-a-100M-lightning-node/), mô tả kinh nghiệm của họ. Họ đã vận hành nút riêng của mình trong một vùng bảo mật AWS Nitro (cách ly + xác thực) và sử dụng thiết bị ký phần cứng Ledger để xác minh thủ công các hoạt động nhạy cảm (chẳng hạn như triển khai phần mềm). Điều này đã giảm đáng kể rủi ro cho người vận hành và rủi ro truy cập máy chủ.

ACINQ cũng nhấn mạnh rằng đây không phải là mức độ bảo mật "tối thượng":

• Một vùng bảo mật khép kín không làm cho các phụ thuộc trở nên đáng tin cậy . Các ứng dụng vẫn cần xác minh rằng chúng đang giao tiếp với máy chủ chính xác.
• Bạn vẫn còn một nút trực tuyến . Các lỗ hổng phần mềm nghiêm trọng nút vẫn có thể dẫn đến việc lạm dụng xác thực chữ ký.
• Nó phụ thuộc rất nhiều vào hoạt động vận hành . Kỹ thuật bảo mật phức tạp đã tạo ra gánh nặng vận hành thực sự.

Các sự cố thực tế và các lỗ hổng bảo mật đã được phát hiện

Một số sự cố thực tế liên quan đến Mạng Lightning (một trong đó đã tiết lộ lỗ hổng cho phép đánh cắp tiền) chứng minh rằng tổn thất tài chính có thể xảy ra mà không cần "phá vỡ mã hóa của Mạng Lightning". Tất cả đều có điểm chung: nếu kẻ tấn công có thể tác động đến nội dung được ký, chúng có thể đánh cắp tiền.

LNBank ( plug-in máy chủ BTCPay): Cuộc đua rút tiền đồng thời đã tiêu tốn khoảng 4,07 BTC.

Một lỗi xung đột trong quá trình xử lý số dư của LNBank cho phép kẻ tấn công thực hiện nhiều giao dịch rút tiền đồng thời trước khi cơ sở dữ liệu phản ánh số tiền thực tế đã được ghi nhận, dẫn đến việc ví Lightning bị rút cạn tiền bằng cách gửi các khoản thanh toán ra ngoài.

• Vị trí phổ tần : Cấp 2 dành cho nhà điều hành. Lưu ý: Bản thân LNBank là một lớp lưu trữ (Cấp 1) dành cho người dùng.
• Tác động : Theo báo cáo, 407.361.805 satoshi (khoảng 4,07 BTC) đã được chuyển khoản.
• Nguyên nhân gốc rễ của vấn đề : Trong điều kiện đồng thời, việc kiểm tra số dư có thể sử dụng trạng thái lỗi thời.
• Tầm quan trọng của vấn đề : Câu nói “Nút cần bất cứ thứ gì” có thể nguy hiểm, ngay cả khi không trích xuất được private key.

Nguồn : Báo cáo của nạn nhân , đánh giá của luật sư bào chữa

Thông tin chi tiết hơn :

• Cơ chế : Kẻ tấn công gửi một lượng lớn yêu cầu rút tiền/thanh toán đồng thời, khiến trạng thái của phần mềm liên tục chuyển đổi giữa "đang chấp nhận yêu cầu" và "đang cập nhật cơ sở dữ liệu".
• Sự việc được quan sát : Một loạt các giao dịch thanh toán đi ra nhanh chóng trên Mạng Lightning đã diễn ra, khiến số dư bị cạn kiệt.
• Phản hồi : Sau khi vấn đề được phát hiện, bản vá lỗi đã nhanh chóng được tung ra; một báo cáo công khai cũng đã được công bố.

LNbits: Phí định tuyến bất hợp pháp bị rút ruột hơn 0,1 BTC

Một báo cáo công khai (được công bố dưới dạng vấn đề trên mã nguồn LNbits) cho rằng những kẻ tấn công đã rút sạch tiền từ ví được hỗ trợ bởi LNbits bằng cách buộc thực hiện các giao dịch rút tiền thông qua một nút tính phí quá cao. Nếu không có các giới hạn nghiêm ngặt về phí giao dịch đơn lẻ, ví sẽ bị rút sạch hoàn toàn do chi phí định tuyến.

• Vị trí phổ : Giữa cấp độ 1 và cấp độ 2 (logic ví nóng, cộng thêm các hạn chế về chi phí, tùy thuộc vào cách LNbits được triển khai).
• Tác động : Báo cáo cho biết tổng thiệt hại "hơn 0,1 BTC".
• Nguyên nhân gốc rễ của vấn đề là thiếu giới hạn phí giao dịch duy nhất và thiếu sự giám sát đối với hệ thống "số tiền thanh toán + phí" (hoặc có thể có những kẽ hở).
• Tầm quan trọng của vấn đề : Trên mạng Lightning, phí giao dịch là một giá trị. Giới hạn phí giao dịch cũng là một phần của phạm vi bảo mật.

Nguồn : Ấn bản LNbits

Thông tin chi tiết hơn :

• Cơ chế : Kẻ tấn công đã tác động đến việc lựa chọn đường dẫn thanh toán, do đó đường dẫn khả thi duy nhất bao gồm một nút do kẻ tấn công kiểm soát và tính phí định tuyến rất cao.
• Hành động được quan sát : Giao dịch thanh toán thành công, nhưng một phần lớn số dư trong ví được sử dụng để trả phí định tuyến.
• Phản hồi : Báo cáo đã được công khai; vấn đề sau đó đã được giải quyết (với các phương pháp khắc phục và triển khai khác nhau).

LND “Lỗi tắc nghẽn giao dịch thay thế” (một lỗ hổng đã được công bố cho phép đánh cắp thông tin)

Một báo cáo về lỗ hổng LND (“Giao dịch thay thế bị đình trệ”) mô tả một kịch bản cho phép đánh cắp dữ liệu: buộc đóng kênh, kích hoạt nút nạn nhân dọn dẹp các HTLC đang chờ xử lý và gửi các giao dịch thay thế trong quá trình này; báo cáo cũng đề xuất các phương pháp nâng cấp.

• Vị trí phổ : Giữa cấp độ 2 và cấp độ 3 (nút nóng; việc gia cố cơ sở hạ tầng không thể loại bỏ rủi ro này).
• Tác động : Các lỗ hổng cho phép trộm cắp (việc công khai thông tin không phải lúc nào cũng bao gồm các thiệt hại đã được xác nhận).
• Nguyên nhân gốc rễ : Một lỗi ở cấp độ triển khai xảy ra trong trường hợp hiếm gặp khi thanh toán bù trừ.
• Tầm quan trọng của vấn đề : Ngay cả với hệ thống kiểm soát cơ sở hạ tầng mạnh mẽ hơn, lỗi phần mềm vẫn có thể dẫn đến thiệt hại.

Nguồn : Báo cáo công khai

Thông tin chi tiết hơn :

• Đối tượng bị ảnh hưởng : Những người đang vận hành nút sử dụng phiên bản LND bị ảnh hưởng.
• Tầm quan trọng : Các điều kiện bất lợi xung quanh việc buộc phải tắt máy và quét Chuỗi.
• Giải pháp : Nâng cấp lên phiên bản đã được sửa lỗi.

Đây không phải là những cuộc tấn công hiếm gặp. Chúng là những lỗi phần mềm và vận hành phổ biến, leo thang thành sự cố vì nút bị xâm nhập là ví nóng có quyền phê duyệt tất cả các hoạt động.

VLS: Một trình ký độc lập với giao diện tấn công nhỏ gọn hơn.

VLS hướng đến mục tiêu chống lại việc chiếm quyền điều khiển bằng cách thay đổi kiến ​​trúc (thay vì chỉ đơn thuần củng cố kiến ​​trúc hiện có).

Nó thực hiện ba việc cùng một lúc:

1. Cách ly : Private key và quyết định ký được chuyển ra khỏi nút và đặt trong một trình ký chuyên dụng.
2. Giảm thiểu : Các bên ký thực hiện ít thao tác hơn nhiều so với nút; ít phụ thuộc hơn đồng nghĩa với ít giao diện tấn công hơn.
3. Bắt buộc : Trước khi ký, người ký sẽ xác minh yêu cầu dựa trên một tập hợp các điều khoản chi tiêu, do đó nút bị chiếm đoạt không thể thực hiện các hành động gây hại.

Lời hứa của nó là:

Ngay cả khi nút bị xâm nhập, kẻ tấn công cũng không thể lấy được chữ ký cho các hành động vi phạm điều khoản chi tiêu.

Ví dụ về điều khoản chi tiêu:

• Khi kênh này bị đóng, tiền chỉ có thể được gửi đến các địa chỉ được cho phép.
• Tổng phí giao dịch và giới hạn tỷ lệ phí
• Giới hạn số tiền thanh toán và giới hạn tần suất thanh toán
• "Nút khẩn cấp" (để dừng chức năng ký tên nếu có sự cố xảy ra)
• Và hơn thế nữa

VLS trong thực tiễn

Bằng chứng thực tiễn: Greenlight

Greenlight là một ví dụ thực tế về chế độ Cấp độ 4: sự tiện lợi nút đám mây, kết hợp với công cụ xác thực chữ ký dựa trên VLS.

Điều này giải đáp một câu hỏi thường gặp:

"Việc cách ly và xác minh chắc chắn là những điều tốt, nhưng làm sao bạn có thể chứng minh rằng chúng sẽ không làm hỏng trải nghiệm người dùng?"

Greenlight đã chứng minh rằng bạn có thể tận hưởng sự tiện lợi của nút đám mây mà không làm tăng rủi ro mất an ninh do " private key bị rò rỉ trên máy chủ".

Cách kiểm tra thiết bị bạn đang sử dụng

Hầu hết các sản phẩm ví Lightning đều cho bạn biết chúng là ví lưu ký hay không lưu ký. Nhưng gần như không có sản phẩm nào nói rõ điều gì sẽ xảy ra nếu một mô-đun nhất định bị xâm phạm . Dưới đây là danh sách kiểm tra để có được câu trả lời chính xác.

Câu hỏi 1: "Nếu hoàn cảnh nút bị xâm phạm, kẻ tấn công có thể đánh cắp tiền của tôi không?"

Một phản hồi mạnh mẽ : "Việc chiếm đoạt nút cũng có thể được xử lý vì người ký sẽ thực thi các điều kiện chi tiêu bên ngoài nút."

Không thể trả lời : "Người dùng sở hữu ví; đó là sở hữu tư nhân và không phải ví lưu ký."

Câu trả lời thẳng thắn là : "Có. Nếu nút bị xâm nhập, tiền có thể bị chuyển ra ngoài." (Hãy coi đó như mức độ 2 hoặc mức độ 3.)

Câu hỏi 2: "Giấy phép ký tên nằm ở đâu?"

"Trong tiến trình app/ nút" có nghĩa là bạn cần tin tưởng toàn bộ hoàn cảnh thời gian chạy.
“Trong trường hợp người ký riêng biệt, điều khoản chi tiêu sẽ được thực thi,” cho thấy một ranh giới bảo mật khác.

Câu hỏi 3: "Những điều khoản chi tiêu cụ thể nào được thực thi bên ngoài nút?"

• Khi kênh bị đóng, việc rút tiền chỉ có thể được thực hiện đến các địa chỉ được cho phép.
• Giới hạn số tiền thanh toán và giới hạn tần suất thanh toán
• Giới hạn phí và cài đặt bảo mật mặc định
• Khóa khẩn cấp, hay "chế độ khẩn cấp" giúp dừng việc ký điện tử.

"Chúng tôi đã có các biện pháp an ninh," nhưng nếu không cung cấp chi tiết, thường có nghĩa là "Cứ tin tôi đi, anh bạn."

Khám phá chuyên sâu: Thêm câu hỏi

Phân tích trường hợp xấu nhất, khả năng quan sát, rủi ro nội bộ và kế hoạch phục hồi.

Câu hỏi 4: "Nếu xảy ra sự cố, trường hợp xấu nhất mà tôi sẽ chịu tổn thất là gì?"

Một đội ngũ giỏi sẽ trả lời bạn bằng một đoạn văn dài, giải thích các biện pháp có thể cầm máu.

Nếu họ không thể mô tả tình huống xấu nhất, hãy cứ cho rằng câu trả lời của họ là: "Toàn bộ số tiền đã mất."

Câu hỏi 5: "Nếu kẻ tấn công cố gắng đánh cắp tiền của tôi, tôi sẽ thấy gì trong nhật ký?"

Hồ sơ kiểm toán rõ ràng ghi lại các nỗ lực bị từ chối và cảnh báo về việc vi phạm các điều khoản chi tiêu.

"Chúng tôi không biết" hoặc "Điều đó còn tùy thuộc" ngụ ý khả năng quan sát kém.

Câu hỏi 6: "Làm thế nào để ngăn chặn tham ô?"

Phân chia trách nhiệm, quy trình triển khai được kiểm soát, các hành động quản trị bị hạn chế và yêu cầu xác nhận thủ công đối với các thao tác nguy hiểm.

Nếu khóa quản trị viên có thể thực hiện bất cứ điều gì, thì điều đó không được coi là chế độ bảo mật!

Câu hỏi 7: "Chúng ta có thể khắc phục như thế nào nếu xảy ra vụ cướp máy bay?"

Nó bao gồm kế hoạch ứng phó sự cố chi tiết, quy trình phong tỏa khẩn cấp, chiến lược đóng cửa lối vào và kế hoạch luân chuyển hoặc thiết lập lại chìa khóa.

Nếu không có kế hoạch bằng văn bản, về cơ bản bạn chỉ là vật thí nghiệm.

Nếu sự đảm bảo duy nhất bạn nhận được là "đây là ví không lưu ký", thì thực chất bạn vẫn chưa nhận được câu trả lời.

Các nhà phát triển hành động

Khi trả lời câu hỏi khó này, đừng dùng cụm từ "không giam giữ" như một chiêu trò đánh lạc hướng. Hãy đưa ra các biện pháp bảo vệ rõ ràng.

1. Hãy mô tả kịch bản tấn công mạng tồi tệ nhất (viết ra).
2. Hãy giải thích những biện pháp nào có thể được thực hiện để ngăn chặn việc đóng kênh trái phép và các hành vi vi phạm điều khoản chi tiêu.
3. Soạn thảo tài liệu về các biện pháp phục hồi, kiểm toán và an toàn vận hành.
4. Nếu bạn muốn trải nghiệm dịch vụ đám mây, hãy chọn chế độ có chữ ký xác thực, để nếu nút bị chiếm đoạt, tiền sẽ không bị chuyển ra ngoài phạm vi chi tiêu.

Bảo mật là một lựa chọn về mặt kiến ​​trúc, chứ không phải là một việc cần làm.

Tình hình hiện tại: Ví điện tử của bạn an toàn đến mức nào?

Dưới đây là bảng phân tích về vị trí thực tế của các ví Lightning và nhà cung cấp dịch vụ mạng Lightning trên thang đo bảo mật.

Lưu ý : Việc phân loại dựa trên thông tin công khai tính đến ngày 11 tháng 2 năm 2026. Các nhà cung cấp có thể xác minh và cập nhật tình trạng của mình.

(qua)