Cách một ví cứng kết nối với thế giới bên ngoài luôn gây tranh luận gay gắt trong cộng đồng holder, nhưng chưa từng có kẻ tấn công nào đánh cắp được tiền bằng cách chặn tín hiệu USB hoặc Bluetooth. Mọi khai thác được ghi nhận đều nhắm vào firmware, chip phần cứng, hoặc cơ sở hạ tầng xung quanh. Câu hỏi thực sự không phải là “cắt dây nào” mà là bạn đang chuẩn bị cho mô hình đe dọa nào.
TL;DR
- Ví air-gapped loại bỏ một số vector tấn công từ xa nhưng lại mở ra vector mới thông qua việc phân tích QR và vi điều khiển trên thẻ microSD, đồng thời không thể hỗ trợ các giao thức ký chống klepto (anti-klepto).
- Ví USB với secure element được chứng nhận chưa bao giờ bị xâm phạm thông qua kênh dữ liệu; giao thức anti-klepto chỉ có trên các kênh kết nối liên tục là một bước tiến bảo mật thực sự.
- Bluetooth chưa từng bị khai thác trên bất kỳ ví cứng nào dù cộng đồng lo lắng suốt nhiều năm; việc cô lập bằng secure element khiến việc chặn BLE gần như vô dụng với kẻ tấn công.
Không phải ví cứng nào cũng giống nhau
Ví cứng share cùng một nguyên tắc cốt lõi: private key luôn nằm trên thiết bị trong khi việc ký giao dịch diễn ra tách biệt với máy tính chủ. Ngoài nền tảng chung đó, các thiết bị lại rất khác nhau. Phương thức kết nối, kiến trúc chip, mức độ minh bạch firmware và thiết kế vật lý đều thay đổi theo từng hãng và từng mẫu.
Thị trường chia thành ba “trường phái” kết nối. Thiết bị chỉ dùng USB như Trezor Safe 3 và BitBox02 cắm trực tiếp vào máy tính. Ví hỗ trợ Bluetooth như Ledger Nano X và Ledger Stax ghép nối không dây với điện thoại. Thiết bị ký air-gapped như Coldcard, Foundation Passport, Keystone 3 Pro, NGRAVE ZERO và Ellipal Titan thì hoàn toàn không kết nối với bất kỳ mạng nào.
Mỗi cách tiếp cận đều có đánh đổi.
USB cung cấp kênh giao tiếp hai chiều độ trễ thấp nhưng tạo ra một kênh dữ liệu vật lý.
Bluetooth thêm sự tiện lợi trên di động nhưng lại opens một giao diện không dây. Air-gapped loại bỏ hoàn toàn các kênh dữ liệu điện tử nhưng giới hạn các giao thức bảo mật mà thiết bị có thể hỗ trợ.
Giá cả và triết lý cũng rất khác nhau. Trezor Safe 3 hoặc Ledger Nano S Plus costs khoảng 79 USD. Coldcard Mk4 khoảng 148 USD còn Foundation Passport 199 USD. NGRAVE ZERO ở mức 398 USD. Lựa chọn miễn phí là AirGap Vault, biến một chiếc smartphone dư thành thiết bị ký offline.
Also Read: Ethereum Eyed For Euro Stablecoin Settlement Layer
“Air-Gapped” thực sự nghĩa là gì
NIST defines air gap là sự tách biệt vật lý giữa các hệ thống nhằm ngăn truyền dữ liệu trái phép. Với ví cứng, điều này có nghĩa là không có dữ liệu qua USB, không Wi‑Fi, không Bluetooth, không NFC, không di động. Cầu nối duy nhất giữa thiết bị và thế giới bên ngoài là ánh sáng hoặc thiết bị lưu trữ rời.
Ví air-gapped thường có quy trình làm việc nhất quán. Ứng dụng đi kèm trên điện thoại hoặc máy tính tạo một giao dịch chưa ký, thường ở dạng PSBT (Partially Signed Bitcoin (BTC) Transaction theo BIP‑174).
Ứng dụng mã hóa giao dịch đó thành mã QR hoặc lưu vào thẻ microSD. Thiết bị air-gapped quét QR hoặc đọc file, hiển thị chi tiết giao dịch trên màn hình tin cậy, ký bằng private key lưu trong secure element, rồi xuất ra mã QR đã ký hoặc file đã ký.
Cách ký qua QR relies vào chuỗi QR động (animated) cho các giao dịch lớn. Các chuẩn như Uniform Resource của Blockchain Commons với fountain codes, hoặc giao thức BBQr của Coinkite, chia nhỏ dữ liệu thành hàng chục khung. Một khung QR đơn lẻ chỉ khoảng 3–5 KB trước khi khó đọc, nên các giao dịch phức tạp như multisig hoặc CoinJoin đòi hỏi nhiều kiên nhẫn.
Ký qua microSD loại bỏ hoàn toàn giới hạn kích thước này. Coldcard dùng đây là phương thức chính. Nhưng thẻ microSD có vi điều khiển nhúng với firmware có thể bị hack, như nhà nghiên cứu Bunnie Huang đã documented. Việc một “máy tính mini” được cắm vào ví liệu có thực sự giữ nguyên “air gap” hay không là điều đáng tranh luận.
Hệ sinh thái thiết bị air-gapped gồm một số cách tiếp cận khác nhau:
- Coldcard Mk4 (148 USD) chỉ hỗ trợ Bitcoin, dùng hai secure element từ hai nhà cung cấp khác nhau, firmware hoàn toàn mã nguồn mở và có thể build lại, có các tính năng như PIN bẫy có thể “brick” thiết bị nếu bị cưỡng ép
- NGRAVE ZERO (398 USD) tuyên bố đạt chứng nhận EAL7 cho môi trường thực thi tin cậy ProvenCore, không phải cho toàn bộ thiết bị, và firmware vẫn phần lớn đóng nguồn
- Foundation Passport (199 USD) kết hợp kiến trúc bảo mật kiểu Coldcard với thiết kế thân thiện người dùng và phần cứng/phần mềm hoàn toàn mã nguồn mở
- Keystone 3 Pro (149–169 USD) chạy Android 8.1 tùy biến với ba chip secure element và là ví đầu tiên mở mã nguồn firmware của secure element
- Ellipal Titan 2.0 (169 USD) dùng vỏ kim loại kín hoàn toàn với cơ chế tự hủy chống can thiệp
Also Read: Bitcoin Hits $72.7K High On Iran Peace Optimism
Ví USB và Bluetooth dựa vào Secure Element, không dựa vào cô lập
Ví kết nối USB communicate qua giao thức USB HID với lớp ứng dụng độc quyền ở phía trên. Ledger dùng APDU, chuẩn của smart card. Trezor dùng protobuf qua HID với Trezor Bridge chạy dạng daemon. BitBox02 dùng protobuf được mã hóa chạy trên Noise Protocol Framework, tạo kênh mã hóa đầu cuối được xác minh bằng mã ghép cặp ngoài băng (out‑of‑band). Cơ chế mã hóa này là độc nhất trong nhóm ví USB. Ngay cả khi máy chủ bị chiếm toàn bộ, nó cũng không đọc hay chỉnh sửa được dữ liệu đang truyền.
Nền tảng bảo mật của các ví này là secure element, một chip chống can thiệp được chứng nhận có khả năng chống dò vật lý, tấn công điện áp (glitching) và phân tích kênh kề. Thiết bị mới của Ledger use chip ST33K1M5 đạt EAL6+, nơi hệ điều hành tùy biến BOLOS chạy trực tiếp trên SE, điều khiển màn hình và nút bấm bên trong vùng bảo mật.
Trezor nhiều năm chọn con đường khác.
Các mẫu trước đây hoàn toàn không có secure element. Safe 3 và Safe 5 thêm chip Infineon OPTIGA Trust M đạt EAL6+ để thực thi PIN và chứng thực thiết bị. Nhưng việc ký mật mã vẫn occurs trên vi điều khiển đa dụng, không phải trong SE. Mẫu Trezor Safe 7 sắp ra mắt giới thiệu TROPIC01, secure element đầu tiên có thể audit hoàn toàn, mã nguồn mở, do Tropic Square, công ty con của SatoshiLabs, phát triển.
Ví hỗ trợ Bluetooth dùng Bluetooth Low Energy chỉ như lớp vận chuyển. Cách triển khai của Ledger treats kết nối BLE như đã bị xâm phạm ngay từ đầu. MCU STM32WB55 với radio BLE hoạt động như bộ chuyển tiếp. Secure element điều khiển độc lập màn hình và nút bấm. Private key không bao giờ rời vùng SE.
Những điểm chính trong mô hình bảo mật BLE trên thiết bị Ledger gồm:
- Ghép đôi dùng Numeric Comparison, phương thức BLE chuẩn mạnh nhất, với xác thực AES‑CMAC để ngăn tấn công man‑in‑the‑middle
- Chỉ dữ liệu công khai (giao dịch chưa ký, giao dịch đã ký) đi qua kênh không dây, seed hoặc private key không bao giờ rời thiết bị
- Người dùng có thể tắt Bluetooth hoàn toàn và quay lại dùng USB bất kỳ lúc nào
- SE tự mình xác minh và hiển thị chi tiết giao dịch độc lập với ngăn xếp BLE
Việc Trezor thêm Bluetooth cho Safe 7 sau nhiều năm tránh kết nối không dây cho thấy một đồng thuận trong ngành: BLE là chấp nhận được khi có cô lập thích đáng bằng secure element.
Also Read: Why Central Banks May Struggle To Control Inflation This Time
Mọi tấn công thực tế đều nhắm vào firmware và vật lý, không phải sợi cáp
Điểm đáng chú ý nhất trong bảo mật ví cứng là: trong toàn bộ các khai thác được ghi nhận từ khi ngành này xuất hiện, chưa có cuộc tấn công thành công nào relied vào việc chặn hoặc thao túng kênh truyền dữ liệu. Không phải USB. Không phải Bluetooth. Cũng không phải QR.
Douglas Bakkum, đồng sáng lập Shift Crypto (BitBox), đã hệ thống hóa mọi lỗ hổng đã biết và kết luận rằng giao tiếp air-gapped mang lại rất ít bảo mật bổ sung trong khi làm trải nghiệm người dùng tệ đi.
Phòng thí nghiệm bảo mật của Kraken demonstrated hồi tháng 1/2020 rằng seed có thể bị trích xuất từ cả Trezor One và Trezor Model T trong khoảng 15 phút với thiết bị khoảng 75 USD. Cuộc tấn công dùng voltage glitching để hạ mức bảo vệ đọc (read‑out protection) của vi điều khiển STM32 từ RDP2 xuống RDP1, sau đó trích xuất seed đã mã hóa qua ARM SWD và brute‑force PIN.
Lỗ hổng này là cố hữu của dòng chip STM32 và không thể vá bằng cập nhật firmware. Cách giảm thiểu của Trezor là dùng passphrase BIP39, vốn không được lưu trên thiết bị.
Sự cố rò rỉ cơ sở dữ liệu Ledger tháng 6/2020 caused thiệt hại thực tế nhiều hơn tất cả lỗ hổng phần cứng cộng lại. Một khóa API cấu hình sai đã làm lộ 1,1 triệu địa chỉ email và khoảng 272.000 bản ghi khách hàng đầy đủ gồm tên, địa chỉ nhà ở… addresses, and phone numbers.
Hậu quả thật tàn khốc. Ví Ledger giả với firmware đã bị can thiệp được gửi qua đường bưu điện đến các nạn nhân. Email tống tiền yêu cầu từ 700 đến 1.000 đô la bằng Bitcoin. Một chuỗi các vụ tấn công thể xác nhắm vào người nắm giữ tiền mã hóa đã nối tiếp sau đó và còn kéo dài đến ngày nay. Tháng 1 năm 2025, đồng sáng lập Ledger David Balland bị bắt cóc ở Pháp và bị chặt mất một ngón tay.
Tranh cãi Ledger Recover vào tháng 5 năm 2023 đã làm sụp đổ một giả định cốt lõi mà nhiều người dùng từng tin. Dịch vụ tùy chọn Ledger Recover giá 9,99 đô la/tháng mã hóa seed phrase của người dùng, chia nó thành ba mảnh và phân phối cho Ledger, Coincover và một đơn vị lưu ký thứ ba, đồng thời yêu cầu xác minh danh tính KYC.
Sự phẫn nộ của cộng đồng tập trung vào một tiết lộ nền tảng: firmware của Ledger luôn có khả năng kỹ thuật để trích xuất seed phrase từ secure element. CTO Charles Guillemet giải thích rằng điều này là cố hữu với mọi kiến trúc ví phần cứng. Đồng sáng lập Éric Larchevêque xác nhận trên Reddit rằng nếu dùng Recover thì tài sản có thể bị chính phủ đóng băng.
Also Read: Cardano Whale Wallets Reach 4-Month Peak Amid 42% Drop
Vấn Đề Anti-Klepto Mang Lại Lợi Thế Bảo Mật Thực Sự Cho USB
Dark Skippy, được công bố vào tháng 8 năm 2024 bởi hai đồng sáng lập Frostsnap là Lloyd Fournier và Nick Farrow cùng với nhà phát triển BitVM Robin Linus, cho thấy firmware độc hại có thể rò rỉ toàn bộ seed phrase của người dùng chỉ qua hai chữ ký giao dịch.
Cuộc tấn công nhúng dữ liệu seed vào các nonce của chữ ký. Kẻ tấn công giám sát blockchain công khai có thể khôi phục seed bằng thuật toán Kangaroo của Pollard. Điều này ảnh hưởng đến mọi ví phần cứng, bất kể phương thức kết nối.
Biện pháp phòng vệ trước Dark Skippy là giao thức anti-klepto. Trong quy trình ký ECDSA tiêu chuẩn, ví phần cứng tự sinh một nonce ngẫu nhiên bên trong.
Nếu firmware là độc hại, nó có thể chọn các nonce mã hóa vật liệu khóa riêng. Người dùng không có cách nào phát hiện điều này.
Ký anti-klepto, lần đầu được triển khai bởi BitBox02 vào đầu năm 2021, yêu cầu phần mềm host cung cấp thêm một nonce ngẫu nhiên từ bên ngoài. Ví phần cứng buộc phải đưa nonce bên ngoài đó vào quy trình ký. Nếu ví không tích hợp đúng cách, quá trình kiểm tra chữ ký sẽ thất bại. Điều này khiến việc rò rỉ khóa bí mật một cách bí mật trở nên có thể phát hiện được.
Giao thức này cần một kênh liên lạc hai chiều, bền vững và độ trễ thấp. Đó chính xác là những gì USB và Bluetooth cung cấp. Quét mã QR khiến nó không khả thi, vì mỗi vòng xác minh anti-klepto bổ sung sẽ cần thêm một chu kỳ quét chuỗi mã QR động. Hiện tại chỉ BitBox02 và Blockstream Jade triển khai ký anti-klepto. Ví air-gapped trên thực tế không thể hỗ trợ giao thức này một cách thiết thực.
Điều này không có nghĩa air-gapping chỉ là diễn kịch. Nó loại bỏ một số vector tấn công thực sự:
- Tấn công BadUSB, nơi một thiết bị đã bị can thiệp giả dạng bàn phím với máy host
- Fingerprinting khi liệt kê thiết bị USB, làm rò rỉ thông tin về hệ thống kết nối
- Tấn công kênh kề qua mức tiêu thụ điện của OLED do Christian Reitter phát hiện năm 2019, nơi đo công suất trên cổng USB có thể khôi phục một phần mã PIN hoặc thông tin seed hiển thị
- Tấn công debug JTAG trên MCU không an toàn, như vụ Kraken Security Labs tìm thấy trên Ledger Nano X, nơi có thể chỉnh sửa firmware trước khi cài ứng dụng
Đây là những vector tấn công thực sự mà air-gapping loại bỏ. Chúng cũng là những vector mà kiến trúc secure element đúng chuẩn, giao thức USB mã hóa và verified boot có thể giảm thiểu phần lớn.
Also Read: Billions Vanished In Crypto Fraud Last Year, Here's What The FBI Found
Bluetooth Chưa Từng Bị Khai Thác Trên Ví Phần Cứng
Bất chấp lo lắng lan rộng trong cộng đồng về Bluetooth, hồ sơ thực nghiệm rất rõ ràng. Chưa từng có ví phần cứng tiền mã hóa nào bị xâm phạm thông qua kết nối Bluetooth. Điều này bao gồm cả kiểm tra đối với mọi lớp lỗ hổng BLE chính.
BlueBorne, tập hợp tám CVE được công bố năm 2017, cho phép thực thi mã từ xa mà không cần ghép đôi trên hơn 5 tỷ thiết bị Bluetooth.
Nhưng nó khai thác lỗi triển khai trong các stack Bluetooth của hệ điều hành, chứ không phải phần cứng BLE.
KNOB (CVE-2019-9506) buộc entropy của khóa mã hóa giảm xuống còn 1 byte trong quá trình ghép đôi Bluetooth Classic nhưng không ảnh hưởng đến BLE, vốn là thứ ví phần cứng sử dụng.
BIAS (CVE-2020-10135) cho phép mạo danh các thiết bị đã ghép đôi nhưng một lần nữa chỉ nhắm vào Bluetooth Classic. BrakTooth, tập hợp 16 lỗ hổng ảnh hưởng đến hơn 1.400 sản phẩm vào năm 2021, đánh vào các stack Bluetooth Classic, không phải BLE. SweynTooth vào năm 2020 có nhắm vào BLE cụ thể, gây crash và bỏ qua một số cơ chế bảo mật, nhưng chưa từng được chứng minh tấn công thành công ví phần cứng.
Lý do kiến trúc khá đơn giản. Ngay cả khi kẻ tấn công hoàn toàn chiếm quyền kết nối BLE, chúng cũng chỉ truy cập được dữ liệu giao dịch chưa ký và đã ký – chính là dữ liệu sẽ được phát công khai lên blockchain.
Chúng không thể trích xuất khóa riêng, vốn được cô lập trong secure element. Chúng không thể giả mạo việc phê duyệt giao dịch vì cần có thao tác bấm nút vật lý. Chúng không thể sửa giao dịch mà không bị phát hiện vì màn hình tin cậy hiển thị chi tiết từ secure element, không phải từ kênh BLE.
Có một mối lo liên quan Bluetooth đáng lưu ý. Năm 2025, các nhà nghiên cứu phát hiện lỗ hổng trong chip ESP32 của Espressif, được dùng trong các ví như Blockstream Jade. Lỗ hổng này về lý thuyết có thể cho phép cài firmware độc hại thông qua giao diện không dây của chip. Đây là vấn đề triển khai riêng của chip, không phải lỗ hổng trong chính giao thức Bluetooth.
Also Read: Main Quantum Risk For Bitcoin Is Consensus, Not Code, Grayscale Warns
Ai Thực Sự Cần Mức Độ Cô Lập Nào
Thị trường ví phần cứng được ước tính đạt từ 350 đến 680 triệu đô la vào năm 2025, với biên độ dao động lớn do phương pháp nghiên cứu khác nhau, và đang tăng trưởng 20–30% mỗi năm. Ledger chiếm ưu thế với hơn 6 triệu thiết bị bán ra tích lũy. SatoshiLabs đã xuất xưởng 2,4 triệu ví Trezor chỉ riêng trong năm 2024. Kết nối USB vẫn chiếm khoảng 47% thị phần nhưng đang suy giảm khi Bluetooth tăng lên.
Đối với nhà đầu tư nhỏ lẻ nắm giữ dưới 50.000 đô la Ethereum (ETH), Solana (SOL) hoặc Bitcoin, một ví USB với secure element được chứng nhận là đã cung cấp mức độ bảo mật dư thừa.
Các mối đe dọa chính ở cấp độ này là phishing, kỹ nghệ xã hội và lưu trữ seed kém. Không phương thức kết nối nào giải quyết được những vấn đề đó. Tính dễ dùng bản thân nó là một tính năng bảo mật, vì quy trình air-gapped phức tạp làm tăng rủi ro sai sót của người dùng.
Đối với người nắm giữ số lượng lớn và lưu trữ lạnh dài hạn, ví air-gapped mang lại lợi ích đáng kể. Không phải chủ yếu vì loại bỏ bề mặt tấn công USB, mà vì mô hình bảo mật vận hành mà chúng áp đặt. Một ví air-gapped được cất ở nơi an toàn sẽ tách biệt vật lý khỏi các thiết bị dùng hàng ngày. Điều đó làm giảm phơi nhiễm trước tấn công chuỗi cung ứng, malware và trộm cắp vật lý.
Đối với người dùng DeFi tích cực và trader ưu tiên thiết bị di động, Bluetooth là nhu cầu thực tế, không phải nhượng bộ bảo mật. Ledger Nano X với Ledger Live, hoặc Trezor Safe 7 sắp ra mắt, cho phép ký giao dịch trên di động với cùng mức bảo vệ secure element như USB.
Tích hợp mã QR của Keystone 3 Pro với MetaMask cung cấp một lựa chọn air-gapped cho các chain EVM, dù phải đánh đổi bằng ma sát lớn hơn đáng kể trên mỗi giao dịch.
Đối với lưu ký tổ chức, bài toán hoàn toàn khác. Phân khúc doanh nghiệp chiếm khoảng 69% doanh thu ví phần cứng dù số lượng thiết bị ít hơn. Thiết lập multi-signature trên nhiều thiết bị air-gapped, thậm chí từ các nhà sản xuất khác nhau, cung cấp phòng thủ nhiều lớp mà không phương thức kết nối đơn lẻ nào có thể sánh được.
Also Read: Can AI Really Run DeFi? New Findings Expose Major Risks
Kết Luận
Tranh luận air-gapped vs USB vs Bluetooth tạo ra nhiều nhiệt hơn ánh sáng. Kênh truyền dữ liệu là thành phần ít bị khai thác nhất trong toàn bộ bề mặt tấn công của ví phần cứng. Mọi vụ trộm cắp đã được xác nhận liên quan đến ví phần cứng đều truy về trích xuất vật lý, can thiệp chuỗi cung ứng, kỹ nghệ xã hội hoặc hạ tầng xung quanh bị xâm phạm. Không vụ nào truy về việc chặn bắt liên lạc USB hay Bluetooth.
Air-gapping mang lại giá trị thực sự như một kỷ luật bảo mật vận hành hơn là một hàng rào mật mã học.
Một thiết bị luôn nằm trong két và chỉ giao tiếp qua mã QR khó bị tấn công hơn vì khó tiếp cận hơn, chứ không phải vì mã QR an toàn hơn USB.
Trong khi đó, kênh hai chiều của USB cho phép các giao thức anti-klepto – đại diện cho bước tiến quan trọng nhất trong bảo mật ký của ví phần cứng trong những năm gần đây – một lớp phòng vệ mà ví air-gapped về mặt cấu trúc không thể áp dụng. Ba sự thật nên dẫn dắt mọi quyết định: chất lượng secure element quan trọng hơn phương thức kết nối, firmware mã nguồn mở cho phép cộng đồng kiểm tra dù lớp truyền tải là gì, và multisig trên các thiết bị từ những nhà sản xuất khác nhau mang lại mức bảo vệ mạnh hơn bất kỳ ví đơn lẻ nào, dù có air-gap hay không.
Read Next: Schwab Warns Even 1% Bitcoin Allocation Reshapes Portfolio Dynamics