Bài viết này là để giải thích rõ các phương án lưu ký hiện tại, tránh để các khái niệm marketing che lấp đi những rủi ro tiềm ẩn.
Hiện tại có 3 phương án lưu ký tài sản mã hoá chính:
Phương án 1: Lưu ký với đơn vị thứ 3 (Custodial)
Đây là những bên như sàn giao dịch tập trung mà mọi người thấy (Binance, Bybit, MEXC, v.v...), hoặc những công ty cung cấp dịch vụ lưu ký như là Fireblocks, BitGo. Bạn gửi tài sản mã hoá của bạn cho những đơn vị này. Họ sẽ quản lý thay cho bạn, cho bạn truy cập một hệ thống phần mềm họ xây để bạn biết tình hình tài sản của bạn. Tất cả mọi hoạt động của bạn đều phải thông qua hệ thống phần mềm trung gian đó. Nếu bị mất, họ sẽ có bảo hiểm đền đến một mức nào đó (nếu đơn vị đủ thanh khoản thì đền hoàn toàn) hoặc bạn mất luôn (vì lý do là số tài sản mất quá lớn, bảo hiểm không chi trả hoặc không đủ). Nếu hệ thống đơn vị đó gặp sự cố, bạn không thể truy cập số tài sản của bạn. Nếu đơn vị đó lừa đảo, thì họ cầm tài sản của bạn chạy luôn. Vì thế, những đơn vị này phải bị kiểm soát nghiêm ngặt bởi pháp luật. Tuy nhiên, pháp luật không thể xử lý vụ việc real time. Rất khó biết cách đơn vị thứ 3 họ luân chuyển tài sản của bạn thế nào. Đặc biệt, họ có dùng tài sản của bạn cho mục đích kinh doanh trái phép không. Ví dụ FTX dùng tài sản ký gửi của khách hàng để đầu tư nhiều dự án phù phiếm để rồi thua lỗ mất thanh khoản; đặc biệt đó cũng đã vi phạm điều khoản ký gửi tài sản. Một điểm nữa là các sàn quốc tế thường chỉ lấy giấy phép ở vài khu vực, nếu xảy ra vấn đề, chỉ khách hàng ở khu vực đó mới được ưu tiên chứ khách hàng ở các nước khác thì cố mà chờ xử lý. Ví dụ lúc FTX sắp sụp đổ, các khách hàng ở Bahamas (nơi FTX đặt trụ sở chính) được ưu tiên rút tài sản ra trước vì cơ quan quản lý ở đó ép ban quản trị FTX, mặc cho khách hàng ở các nơi khác kêu gào. Thêm nữa, cách những đơn vị thứ 3 quản trị tài sản của bạn thì họ cũng không giải thích rõ. Chỉ nói chung chung là "đẳng cấp thế giới", còn đẳng cấp như nào thì bạn cũng không biết. Bybit bị mất 1.5 tỷ ETH vì cách quản trị lưu chuyển tài sản giữa ví nóng và ví lạnh cực kỳ lỏng lẻo.
Phương án 2: Lưu ký không qua đơn vị thứ 3 (Non-Custodial)
Bạn sẽ thường thấy những đơn vị này dưới dạng ví MPC (MPC wallet hay là Multi-Party Computation wallet). Những cách phổ biến như là họ sẽ "xẻ" cái private key/seed phrase của bạn ra 3 mảnh, bạn giữ 2 mảnh trong thiết bị của bạn, họ giữ 1 mảnh trong server, 2 mảnh của bạn có thể dùng để khởi tạo giao dịch, chờ họ ghép mảnh còn lại để hoàn tất việc ký giao dịch. Căn bản là họ sẽ không thể tự chuyển tài sản của bạn đi chỗ khác (vì họ cần ít nhất 1 mảnh của bạn) và nếu công ty bị tấn công thì với 1 mảnh kẻ xấu cũng không chuyển tài sản của bạn đi được. Một cách khác là công ty sẽ dùng OAuth2 với email của bạn để xác nhận và để tạo lệnh chuyển tài sản của bạn đi. Nói chung là bạn có quyền luân chuyển tài sản nhưng khả năng truy cập tài sản của bạn bị phụ thuộc, vẫn phải trông chờ vào mức độ trung thực và chất lượng dịch vụ của đơn vị thứ 3. Tiếp theo là rủi ro bảo mật, người dùng khó kiểm tra được cách đơn vị thứ 3 này bảo vệ hệ thống, khó kiểm tra được chất lượng phương án mã hoá của họ, đặc biệt nhiều công ty lớn vẫn close source (privy, turnkey).
Phương án 3: Tự lưu ký (Self-Custodial)
Phương án này là khi bạn dùng một ứng dụng ví (nên ưu tiên mã nguồn mở) để tạo private key hoặc seed phrase (đang có phong trào đổi tên lại thành secret phrase). Bạn có thể tạo từ trong hot wallet (browser extension, ứng dụng điện thoại, ứng dụng máy tính, v.v...) hoặc là cold/hardware wallet (các thiết bị từ Ledger, Trezor, GridPlus, v.v...). Với private key/seed phrase thì bạn toàn quyền tự chủ tài sản mã hoá của bạn. Không ai có thể ngăn cản bạn dịch chuyển tài sản, đặc biệt nếu bạn tự chạy Full node hoặc light client. Đây là lý do Ethereum nhất quyết phải đảm bảo ai cũng có thể tự chạy được những phần mềm này để phòng trường hợp các node chặn không tiếp nhận giao dịch từ ai đó vì lý do chính trị hay phân biệt. Tuy nhiên, cái sự tự do này đi kèm trách nhiệm bảo quản. Bạn nên tham khảo các quy trình đảm bảo private key/seed phrase, hiểu phương án mã hoá đơn giản trên giấy để bảo đảm an toàn, có quy trình backup cụ thể lâu dài, và có phương án truyền tài sản này lại cho con cháu. Mình nghĩ phương án này có nhiều tin tức thổi phồng rủi ro mất. Thực sự nếu bạn quan tâm, có quy trình, và chịu khó tìm hiểu kiến thức thì bạn đã phòng tránh rất nhiều phương án tấn công từ hacker rồi.
Kết bài ở đây là mình nghĩ mọi người có thể lựa chọn giải pháp tuỳ vào nhu cầu và có thể nâng cao dần mức độ bảo mật dựa trên giá trị lưu ký. Mình thì chắc chắn không khuyên dùng giải pháp 1 là sàn giao dịch để lưu ký; hoặc chỉ dùng để mua tài sản mã hoá. Với giải pháp 2 thì bạn vẫn có thể dùng nhưng chứa rất ít tài sản trong đó, hợp cho những giao dịch giá trị nhỏ và thường xuyên, tiện lợi. Bạn chắc chắng nên dùng giải pháp 3 hằng ngày cho giá trị tài sản lớn (tuỳ mỗi người), ngay cả khi tương tác với các giao thức onchain. Tớ sẽ tiếp tục chuỗi nội dung này với nhiều hướng dẫn tự lưu ký trong thời gian tới nhé.