Tại Consensus 2026, Cardano's Charles Hoskinson cho biết rằng "người dùng có lẽ không bao giờ nên giữ khóa riêng tư của mình," đồng thời bổ sung rằng "có một thứ gì đó nên nắm giữ khóa riêng tư thay cho người dùng."
Ông lập luận rằng các chip bảo mật đã được tích hợp sẵn trong iPhone, điện thoại Android và thiết bị Samsung vượt trội hơn so với những chip trong các thiết bị Ledger và Trezor, và hầu hết người dùng tiền mã hóa đã mang theo phần cứng ký tốt hơn trong túi mà họ không hề nhận ra.
Quản lý khóa riêng tư từng là nút thắt đối với việc áp dụng tiền mã hóa tại thị trường bán lẻ kể từ những ngày đầu của Bitcoin. Người dùng gặp khó khăn với cụm từ khôi phục gồm 12 hoặc 24 từ của họ, thường quên mất, chụp ảnh lại, lưu vào ghi chú đám mây hoặc thậm chí làm mất hoàn toàn.
Ví phần cứng đã giải quyết vấn đề truy xuất, bởi vì Ledger hoặc Trezor tạo và lưu trữ các khóa mà không bao giờ rời khỏi thiết bị dưới dạng văn bản rõ, đồng thời gây ra rào cản mà người dùng phổ thông luôn từ chối.
FIDO báo cáo vào ngày 7 tháng 5 rằng hiện có 5 tỷ mật khẩu tạm thời đang hoạt động trên toàn cầu, với 75% người tiêu dùng đã kích hoạt ít nhất một mật khẩu. Người dùng đã chấp nhận các chứng chỉ liên kết với thiết bị và mở khóa bằng sinh trắc học như một phần bình thường của xác thực.
Ví thông minh của Coinbase hiện thực hóa điều này bằng cách cho phép người dùng đăng ký mà không cần cụm từ khôi phục, sử dụng mật khẩu tạm thời của Apple hoặc Google, và tạo ra một chứng chỉ không thể xuất khẩu gắn liền với phần cứng bảo mật. Face ID hoặc mã PIN trở thành giao diện duy nhất mà người dùng cần.
Hoskinson đúng khi cho rằng các điện thoại phổ thông đều chứa phần cứng bảo mật nghiêm túc. Secure Enclave của Apple là một hệ thống con chuyên dụng được tách biệt khỏi bộ xử lý chính, và công ty khẳng định nó bảo vệ dữ liệu nhạy cảm ngay cả khi kẻ tấn công xâm nhập vào nhân bộ xử lý ứng dụng.
Hệ thống Keystore của Android hỗ trợ các khóa được bảo mật bằng phần cứng, có thể giữ nguyên trạng thái không thể xuất khẩu và gắn với Môi trường Thực thi Tin cậy hoặc yếu tố bảo mật, với các triển khai StrongBox bổ sung thêm CPU chuyên dụng và các yêu cầu cô lập sâu hơn.
Hệ thống Knox của Samsung cung cấp khả năng bảo vệ khóa bằng phần cứng thông qua TrustZone, với DualDAR bổ sung thêm các lớp mã hóa dành cho dữ liệu hồ sơ công việc được quản lý.
Hoskinson mô tả hồ sơ công việc Knox là "một hệ điều hành riêng biệt, các mạch riêng biệt trong phần cứng."
| Mô hình | Nơi lưu trữ khóa | Có thể trích xuất khóa không? | Có thể phần mềm độc hại vẫn đánh lừa việc ký không? | Cách xác minh chi tiết giao dịch | Ứng dụng tốt nhất |
|---|---|---|---|---|---|
| Ví cụm từ khôi phục | Được tạo ra từ cụm từ khôi phục 12 hoặc 24 từ, thường được lưu trữ trong phần mềm hoặc viết ra giấy bởi người dùng | Có, tiềm năng — bí mật có thể bị lộ do lưu trữ kém, chụp màn hình, sao lưu đám mây, phishing hoặc thiết bị bị xâm nhập | Có — nếu ứng dụng ví hoặc thiết bị bị xâm nhập, kẻ tấn công có thể đánh lừa người dùng hoặc trực tiếp đánh cắp bí mật | Thường thông qua giao diện ứng dụng ví trên cùng một thiết bị | Đăng ký dễ dàng, số dư nhỏ, người dùng thoải mái với sao lưu thủ công |
| Ví phần cứng trên điện thoại | Bên trong phần cứng bảo mật của điện thoại, chẳng hạn như Apple Secure Enclave, Android Keystore/TEE/StrongBox hoặc các biện pháp bảo vệ dựa trên Knox của Samsung | Nói chung là không — khóa có thể giữ nguyên trạng thái không thể xuất khẩu và gắn với phần cứng thiết bị | Có — khóa có thể vẫn được bảo vệ, nhưng ứng dụng hoặc hệ điều hành bị xâm nhập vẫn có thể cố gắng khiến thiết bị ký một nội dung độc hại | Thông qua giao diện điện thoại, sinh trắc học, mã PIN và lời nhắc ví; bảo mật phụ thuộc nhiều vào trải nghiệm xác nhận và kiểm tra ý định | Thanh toán hàng ngày, tự lưu trữ thường xuyên, người dùng phổ thông, đăng ký kiểu không cụm từ/khóa tạm thời |
| Ví phần cứng chuyên dụng | Bên trong một thiết bị ký riêng biệt như Ledger hoặc Trezor | Nói chung là không — các khóa được thiết kế để ở lại trong thiết bị và không rời đi dưới dạng văn bản rõ | Rất khó, nhưng không phải là không thể — khóa được cô lập tốt hơn, dù kẻ tấn công vẫn có thể cố đánh lừa người dùng phê duyệt một giao dịch xấu | Trên màn hình tin cậy riêng của ví / màn hình bảo mật, tách biệt vật lý với điện thoại hoặc máy tính | Số dư lớn, lưu trữ dài hạn, người dùng muốn cô lập mạnh mẽ hơn và mô hình mối đe dọa sạch hơn |
Ví chuyên dụng chiếm ưu thế
Phần cứng bảo mật trên điện thoại và các thiết bị ký chuyên dụng hoạt động trên các mô hình mối đe dọa khác nhau.
Ledger's yếu tố bảo mật điều khiển một màn hình an toàn ngay trên thiết bị, nhờ đó người dùng có thể xác minh chi tiết giao dịch ngay cả khi điện thoại hoặc laptop kết nối đang bị tấn công.
Màn hình tin cậy của Trezor hiển thị giao dịch đang được ký, bất kể máy chủ hiển thị gì. Các mẫu mới hơn Safe 3, Safe 5 và Safe 7 của Trezor cũng tích hợp yếu tố bảo mật, vì vậy lời chỉ trích rằng ví phần cứng thiếu silicon bảo mật giờ đây đã lỗi thời.
Khuyết điểm mà Hoskinson nhận ra chính là tính dễ tiếp cận, bởi vì Ledger và Trezor đòi hỏi một thiết bị riêng, một ứng dụng đi kèm và quy trình ký làm gián đoạn giao dịch.
Đối với khối lượng giao dịch hàng ngày và tự lưu trữ thường xuyên, điện thoại là lựa chọn phù hợp để ký chính. Với số dư lớn hơn hoặc người dùng muốn mô hình mối đe dọa mạnh nhất có thể, các thiết bị chuyên dụng với màn hình cô lập giữ màn hình ký tách biệt vật lý với máy bị xâm nhập, đảm bảo phần mềm độc hại của máy chủ không thể chạm tới màn hình.
Sự tích hợp AI vào thanh toán bổ sung thêm một lớp vào hệ thống. Các tác nhân AI cần quyền thanh toán để hữu ích, nhưng cấp quyền truy cập cho tác nhân vào khóa riêng chính là điều mà đa số người dùng sẽ không tình nguyện chấp nhận.
Kiến trúc khả thi là ủy quyền có giới hạn, bao gồm một tác nhân được phép chi tiêu trong giới hạn đặt trước, trong khoảng thời gian xác định, mà không cần quyền truy cập vào chứng chỉ kiểm soát ví rộng hơn.
Tài liệu về Quyền chi tiêu của Base đã định nghĩa các giao dịch của tác nhân AI như một trường hợp sử dụng cốt lõi cho các ủy quyền định kỳ, phạm vi giới hạn. Tích hợp AgentCore Payments của Coinbase và công cụ thanh toán cho tác nhân stablecoin của AWS triển khai cùng mô hình tác nhân giao dịch dưới sự kiểm soát ngân sách với đầy đủ nhật ký kiểm toán, mà không cần quyền truy cập trực tiếp vào khóa riêng.
Ethereum's EIP-4337 đã cho phép hơn 26 triệu ví thông minh và 170 triệu UserOperations, còn EIP-7702 của Pectra mở rộng hành vi ví có thể lập trình sang tài khoản do bên ngoài sở hữu, cho phép nhóm giao dịch, tài trợ gas, logic khôi phục và kiểm soát tùy chỉnh.
Cơ sở hạ tầng cho ví tương thích với tác nhân và dựa trên quyền đã tồn tại ở quy mô đáng kể.
Một biểu đồ cột cho thấy 5 tỷ mật khẩu tạm thời đang hoạt động, 170 triệu UserOperations và 26 triệu ví thông minh, với 75% người tiêu dùng kích hoạt ít nhất một mật khẩu.
Khóa của bạn, nhưng bạn không bao giờ nhìn thấy chúng
"Không phải khóa của bạn, không phải tiền của bạn" luôn là quan điểm vừa mang tính triết học vừa mang tính kỹ thuật, và nó giả định rằng người dùng nên trực tiếp xử lý các bí mật mật mã.
Tuy nhiên, quan điểm này có thể không tồn tại khi tiếp xúc với phân phối đại trà. Phiên bản bền vững hơn của tự lưu trữ trông giống như xác thực dựa trên sinh trắc học và tạo khóa không thể xuất khẩu trong phần cứng bảo mật, mà không cần nhìn thấy dữ liệu khóa gốc.
Những gì người dùng kiểm soát là giới hạn chi tiêu, khóa phiên, quyền ủy quyền, logic khôi phục và các luồng phê duyệt dễ hiểu.
Cơ chế ý định bảo mật của Apple cho phép phần cứng xác nhận trực tiếp ý định của người dùng theo cách mà ngay cả phần mềm gốc hay nhân cũng không thể giả mạo. Android Keystore hỗ trợ các yêu cầu xác thực theo từng thao tác.
Những khả năng này chuyển trách nhiệm lưu trữ từ "bạn có thể giữ bí mật không" sang "bạn có thể xác minh điều bạn định ủy quyền không."
Hạn chế rõ ràng nhất trong lời diễn đạt của Hoskinson là một ứng dụng hoặc hệ điều hành bị xâm nhập có thể không thể trích xuất khóa được bảo mật bằng phần cứng trong khi vẫn có thể sử dụng nó trên thiết bị.
Khóa không thể trích xuất và bảo mật giao dịch là hai bảo đảm riêng biệt, và lịch sử gần đây cho thấy sự khác biệt đó có thể dẫn đến hậu quả thảm khốc như thế nào.
Phân tích của CertiK về vụ Bybit cho thấy kẻ tấn công đã đánh lừa người ký để phê duyệt một giao dịch độc hại. Cuộc tấn công thành công ngay cả khi khóa riêng chưa từng rời khỏi phần cứng.
Chainalysis báo cáo rằng các vụ lừa đảo giả mạo tăng trưởng hơn 1.400% trong năm 2025, và các vụ lừa đảo sử dụng AI mang lại lợi nhuận gấp 4,5 lần so với các vụ lừa đảo truyền thống.
Mô hình tự lưu trữ tích hợp trên điện thoại sẽ che giấu khóa riêng tư khỏi người dùng và đồng thời biến ý định giao dịch, trải nghiệm phê duyệt và giới hạn chi tiêu thành bề mặt bảo mật chính.
Hai kịch bản
Nếu các ví giải quyết tốt trải nghiệm ý định để giành được lòng tin của người tiêu dùng thông qua giới hạn chi tiêu chuẩn hóa, ủy quyền có thể thu hồi và lời nhắc phê duyệt rõ ràng, thì tự lưu trữ trên điện thoại có thể chiếm từ 70% đến 85% người dùng bán lẻ mới vào năm 2028.
Việc đăng ký không cụm từ trở thành mặc định, trừu tượng hóa tài khoản chuyển từ tính năng nâng cao sang kỳ vọng cơ bản, và cụm từ khôi phục trở thành tùy chọn cấu hình cho người dùng muốn sử dụng.
Nếu các vụ ký trên di động, phishing, luồng phê duyệt bị xâm nhập hoặc cơ chế khôi phục phức tạp tiếp tục gây tổn thất nổi tiếng, thì tự lưu trữ trên điện thoại sẽ chững lại ở mức 20% đến 35% thị trường bán lẻ.
Người dùng bị mất tiền do tấn công thao túng ví điện thoại mô tả đó là một cuộc hack và quay trở lại sàn giao dịch.
Một biểu đồ kịch bản dự đoán tự lưu trữ trên điện thoại sẽ đạt từ 70% đến 85% người dùng bán lẻ mới vào năm 2028 trong trường hợp lạc quan, và từ 20% đến 35% trong trường hợp bi quan.
Ý nghĩa ngầm khó chịu trong cả hai kịch bản là sự phụ thuộc vào nền tảng. Nếu tự lưu trữ chuyển sang phần cứng tích hợp trong điện thoại, thì Apple, Google, Samsung và các nhà cung cấp SDK ví lớn sẽ trở thành những trung tâm rất quyền lực trong kiến trúc bảo mật tiền mã hóa.
Mô hình vẫn không lưu giữ tài sản theo nghĩa kỹ thuật, nhưng bảo mật ví phụ thuộc nhiều hơn vào API hệ điều hành, chính sách truy cập khu vực và quy tắc phân phối ứng dụng.
Bài viết Charles Hoskinson của Cardano nói rằng tương lai của ví tiền mã hóa sẽ nằm trong iPhone và Android xuất hiện lần đầu trên CryptoSlate.