WalletConnect Là Gì và Hoạt Động Thế Nào với SSP

Nếu bạn từng mở một sàn giao dịch phi tập trung, một sàn NFT hoặc một ứng dụng cho vay và thấy một nút "Connect Wallet" với một QR code bên cạnh, thì bạn đã gặp WalletConnect rồi. Đây là hệ thống đường ống yên lặng kết nối các ví tự bảo quản với những ứng dụng mà mọi người thực sự sử dụng. Đối với người dùng SSP, câu hỏi không chỉ là "WalletConnect là gì" mà còn là "khi tôi dùng nó, an ninh của tôi thay đổi điều gì, và điều gì vẫn giữ nguyên?"

Câu trả lời ngắn: WalletConnect là cánh cửa. Khóa của bạn, và sự bảo vệ 2-of-2 của SSP, vẫn ở chính nơi chúng đã ở.

WalletConnect Thực Sự Là Gì

WalletConnect là một giao thức mở để di chuyển các yêu cầu ký giữa một ứng dụng phi tập trung (một dApp) và một ví. Nó không phải là người giữ tài sản. Nó không nắm giữ tiền. Nó không thấy cụm từ seed hay khóa riêng của bạn. Khi một ví và một dApp kết nối qua WalletConnect, hai điểm cuối thiết lập một phiên được mã hóa qua một mạng lưới relay, và các thông điệp đi qua lại trên phiên đó. Relay chỉ thấy các khối đã mã hóa; chỉ có hai điểm cuối mới đọc được chúng.

Nó được dùng gần như khắp nơi trong hệ sinh thái, và đó là lý do một quy trình duy nhất ở phía ví đưa bạn đi qua hàng trăm ứng dụng mà không cần học một luồng mới mỗi lần. Giao thức được tài liệu hóa công khai tại docs.walletconnect.com, và bạn có thể tìm thấy một danh mục dài các ứng dụng tương thích WalletConnect qua ethereum.org/en/dapps.

Luồng Cơ Bản, Từng Bước

Nghi thức kết nối gần như luôn giống nhau, dù bạn dùng dApp nào.

1. dApp hiển thị một tùy chọn "Connect Wallet" và đưa ra một QR code, hoặc — nếu bạn đang trên điện thoại — một deep link.
2. Bạn mở SSP, chọn kết nối tới một dApp, và quét QR code (hoặc theo liên kết).
3. SSP cho bạn thấy dApp đang yêu cầu gì: một phiên, địa chỉ của bạn, chuỗi mà bạn đang kết nối tới.
4. Bạn phê duyệt phiên. Một kênh mã hóa giờ đã mở giữa SSP và dApp.
5. Khi bạn thực hiện bất kỳ hành động nào trên dApp đòi hỏi một chữ ký — một swap, một phê duyệt token, một khoản gửi — dApp gửi một yêu cầu ký qua kênh. SSP cho bạn thấy chính xác điều đang được yêu cầu.
6. Bạn quyết định. Nếu bạn phê duyệt, quá trình ký chạy trong SSP và giao dịch đã ký được trả về dApp, dApp phát sóng nó.
7. Khi xong, bạn ngắt phiên.

Điều quan trọng cần chú ý: dApp không bao giờ yêu cầu khóa riêng của bạn. Nó yêu cầu chữ ký. Mỗi chữ ký là một quyết định riêng mà bạn đưa ra trong ví của mình.

Cách Mô Hình Ký Áp Vào SSP

Đây là nơi SSP thay đổi bức tranh theo một cách mà hầu hết các ví không làm được. Trong một ví chữ ký đơn điển hình, mỗi yêu cầu ký là một lần phê duyệt duy nhất trong giao diện ví — nhanh, nhưng cũng là một điểm thất bại duy nhất. Nếu một thiết bị đó bị xâm phạm hoặc bạn chạm "phê duyệt" lên một yêu cầu thù địch, chữ ký sẽ diễn ra.

SSP là một ví multisig 2-of-2. Khóa 1 sống trong tiện ích mở rộng trình duyệt SSP Wallet. Khóa 2 sống trên điện thoại của bạn trong ứng dụng di động SSP Key. Mỗi giao dịch đều cần cả hai khóa, mỗi lần. Mô hình đó không biến mất khi bạn dùng WalletConnect — nó mở rộng tới đó.

Khi một dApp gửi một yêu cầu ký qua WalletConnect:

• Yêu cầu trước tiên đến tiện ích mở rộng SSP Wallet trên máy tính của bạn.
• Bạn xem xét điều dApp đang yêu cầu bạn ký — hợp đồng, số tiền, chuỗi, calldata khi bạn yêu cầu hiển thị.
• Bạn phê duyệt nó trên tiện ích mở rộng. Tiện ích mở rộng tạo ra phần chữ ký của nó.
• Yêu cầu được đẩy tới SSP Key trên điện thoại của bạn để đồng ký. Bạn thấy cùng các chi tiết ở đó.
• Bạn phê duyệt trên điện thoại. SSP Key tạo ra phần của nó.
• Hai phần kết hợp thành một chữ ký hợp lệ, được trả về dApp.

Trên các chuỗi UTXO, điều này xảy ra dưới dạng một chữ ký multisig BIP-48; trên các chuỗi EVM (Ethereum, Polygon, Base, BNB Smart Chain, Avalanche) đó là một chữ ký 2-of-2 được tổng hợp Schnorr, được xác minh bởi một smart account ERC-4337. Mật mã khác nhau, cùng đặc tính: hai thiết bị, hai lần phê duyệt, một giao dịch. Nếu bạn muốn đọc sâu hơn về phía EVM, xem kiến trúc account abstraction của SSP, và để hiểu khái niệm nền tảng, multisig 2-of-2 là gì.

Một dApp phishing đánh lừa được tiện ích mở rộng vẫn phải vượt qua điện thoại của bạn. Đó là toàn bộ ý nghĩa.

Những Hệ Quả An Ninh Bạn Nên Biết

WalletConnect không làm yếu an ninh của bạn; nó thay đổi điều bạn phải chú ý. Các rủi ro dưới đây không độc quyền của WalletConnect, nhưng một dApp đã kết nối là một nơi phổ biến để gặp chúng.

dApp phishing. Bất cứ ai cũng có thể tạo một trang web trông giống một giao thức phổ biến và yêu cầu bạn kết nối. Ví không có cách nào biết cái nào là thật. Luôn xác nhận bạn đang ở đúng tên miền trước khi kết nối. Đánh dấu các ứng dụng bạn dùng; đừng vào chúng từ quảng cáo tìm kiếm hay liên kết trong chat.

Yêu cầu ký độc hại. Một khi phiên đã mở, một dApp có thể yêu cầu các chữ ký tùy ý. Một giao diện swap có thể trao cho bạn một phê duyệt token cho phép một hợp đồng lạ rút sạch số dư token. Đọc điều SSP cho bạn thấy. Nếu một yêu cầu ký nhìn lạ — một hợp đồng bạn không nhận ra, một phê duyệt không giới hạn, một chuyển tới địa chỉ không phải của bạn — hãy từ chối. Việc rà soát 2-of-2 trên điện thoại là cơ hội thứ hai để bạn phát hiện.

Ký mù. Đôi khi dữ liệu đang được ký là khó hiểu — một chuỗi hex dài không giải mã thành các trường con người có thể đọc được. Hãy đối xử với các yêu cầu ký mù bằng sự nghi ngờ. Ưu tiên các ứng dụng cho bạn thấy ý định có thể đọc được của điều bạn đang ký.

Nhầm lẫn giữa liên kết và ứng dụng. WalletConnect là một giao thức. Nhiều ví triển khai nó. Một trang nói "Use WalletConnect" không phải là một tín hiệu tin cậy gắn với thương hiệu — đó là một chuẩn đường ống. Đừng nhầm lẫn "dApp dùng WalletConnect" với "dApp an toàn".

Quyền có phạm vi. Một phiên có thể được giới hạn cho các chuỗi và phương thức cụ thể. Khi SSP cho bạn thấy yêu cầu phiên, hãy xem điều gì đang được yêu cầu. Không có hại gì khi từ chối một phiên đòi hỏi nhiều hơn điều ứng dụng thực sự cần.

Phiên cũ. Một phiên bạn quên vẫn là một phiên. Nếu frontend của một dApp sau này bị xâm phạm, một phiên đang hoạt động là một chỗ đứng. Hãy hình thành thói quen ngắt khi xong việc.

Những Thói Quen Cụ Thể Khiến Việc Này Vận Hành

Một vài kỷ luật nhỏ giữ cho việc dùng WalletConnect của bạn gọn gàng.

• Kiểm tra URL của dApp trước khi quét QR kết nối. Gõ tên miền thay vì bấm vào liên kết từ chat hay quảng cáo.
• Đọc mọi yêu cầu ký. Hợp đồng nào đang được gọi? Trên chuỗi nào? Số tiền nào? Một phê duyệt token không giới hạn là điều khác với một phê duyệt số cố định — cả hai có thể hợp pháp, nhưng bạn phải biết bạn đang ký cái nào.
• Dùng việc xác nhận trên điện thoại như một cái nhìn thứ hai. Nếu yêu cầu trông ổn trên máy tính nhưng sai trên điện thoại, từ chối. Hai thiết bị nghĩa là hai cơ hội nhận ra.
• Ngắt các phiên khi xong. SSP cho bạn danh sách các phiên; hãy coi nó như danh sách các cánh cửa đang mở.
• Ưu tiên các ứng dụng uy tín có lịch sử kiểm toán. Thiên về các giao thức đã có từ lâu, công bố các kiểm toán, và không đòi hỏi các luồng đăng nhập ngoài một bắt tay WalletConnect tiêu chuẩn.
• Giữ cụm từ seed của bạn xa khỏi mọi luồng dApp. Không có dApp hợp pháp nào từng cần cụm từ seed của bạn. Yêu cầu ký là cách các dApp nói chuyện với ví của bạn; bất cứ thứ gì hỏi seed đều là lừa đảo. Xem thực hành tốt với cụm từ seed để đọc sâu hơn.
• Nếu bạn đang kết nối trên Ethereum, các quy tắc đặc thù chuỗi tương tự về gas, nonce và tương tác hợp đồng đều áp dụng — Ethereum trong SSP bao quát các chi tiết phía chuỗi.

Cột Tất Cả Lại

WalletConnect là cánh cửa giữa SSP và hệ sinh thái dApp. Nó được mã hóa, mã nguồn mở, và được hầu hết các ví và giao thức bạn sẽ gặp dùng. Nó không thay đổi nơi khóa của bạn ở, và nó không làm yếu mô hình 2-of-2 của SSP. Mỗi giao dịch mà một dApp yêu cầu vẫn phải vượt qua cả tiện ích mở rộng trình duyệt và điện thoại của bạn — đó là đặc tính an ninh bạn đã có khi chọn SSP, và nó đi cùng bạn qua mọi dApp bạn kết nối.

Khóa ở lại với bạn. Cánh cửa chỉ mở trong lúc bạn đi qua.