Skip to content

Solana wallet hacked và vài điểm thú vị trong kiến trúc wallet của Near

Posted on:August 5, 2022

https://twitter.com/phantom/status/1554626111535026177 https://twitter.com/SolanaStatus/status/1554658171934937090 https://twitter.com/slope_finance/status/1554916417044156419

Vài ngày qua coinbiz dậy sóng vì sự cố tiền trong ví trên Solana không cánh mà bay, cụ thể là trên Phantom wallet & Slope wallet.

Qua điều tra, nguyên nhân là “không rõ vô tình hay cố ý” các app này đã gửi plain text của seed words (passphrase) qua sentry service -> toang.

https://twitter.com/SlowMist_Team/status/1554943555696791553

“Not your keys, not your coins” vẫn luôn đúng, nhưng trong trường hợp này thì không phải là “your keys” nữa rồi, mà đã trở thành “you and me, and x, and y keys”, nói cách khác “our keys”.

Tiền trong ví lúc này giống như tiền trong nhà mà ta và hacker đều có chìa khoá cửa vậy.

Trong hầu hết tất cả các blockchain hiện nay, wallet được sinh bởi “một và chỉ một” seed/private key, và seed/private key này là “không thể thay thế”.

Điều này có nghĩa là một khi mất, hay lộ seed/private key, thì tất cả những ai sở hữu seed/private key đó đều có quyền giống hệt nhau, có nghĩa là họ đều sẽ có quyền chuyển tiền đi mà ta không thể nào ngăn chặn hay vô hiệu hoá quá trình này được.

Có một cách khắc phục khả dĩ, đó chính là chuyển hết coin trong ví đi ngay lập tức khi bị lộ key, được bao nhiêu hay bấy nhiêu. Sau đó quên ví đó đi và tạo ví mới.

trên thực tế thì nếu lộ key thì thường tiền sẽ bị chuyển hết ngay trước khi ta kịp nhận ra và làm bất cứ điều gì.


Với các hệ thống blockchain hiện nay như Ethereum/Solana/Cosmos/Polkadot… thì account sinh ra bởi private key là top level account, tức có private key là có tất cả.

private key sinh ra bởi seed words (passphrase).

Với Near thì khác, Near có 2 loại account:

Phần lớn người dùng thông thường dùng explicit account.

Với explicit account, top level account giống như domain vậy, dạng kiendt.near, có account này mới là có tất cả.

Account này có thể được kiểm soát bởi:

và ledger hay passphrase này có thể thay thế được, có nghĩa là nếu nhận thấy lộ passphrase ở đâu đó, ta hoàn toàn có thể thay thế passphrase/ledger khác cho account của mình.

Điều này ở các hệ blockchain khác là bất khả thi, đây là một điểm khác biệt thú vị trong kiến trúc wallet của Near so với các blockchain khác.

Không chỉ có vậy:

Tóm lại, Near account có một kiến trúc khác biệt so với các blockchain hiện tại, nhiều lớp bảo mật hơn, và có thể recover account trong trường hợp lộ key.

Theo đánh giá cá nhân, việc đưa domain làm top level account thay vì account sinh bởi private key là một điểm thú vị của Near.

Tuy nhiên không có gì có thể coi là hoàn hảo:

“Not your keys, not your coins” - hãy luôn giữ key của mình an toàn, và luôn có phương án backup.