
Mua tiền mã hóa trong SSP: giải thích cơ chế tổng hợp
Khi bạn chạm vào Mua / Bán trong SSP, bạn không mua tiền mã hóa từ SSP. SSP không bán cho bạn thứ gì, không nhận thông tin thẻ của bạn và không giữ tiền của bạn dù chỉ một khoảnh khắc. Điều thực sự diễn ra thú vị hơn thế, và hiểu được nó sẽ cho bạn biết chính xác niềm tin của bạn đang được đặt vào đâu.
Hướng dẫn này đi hết đường dẫn nạp tiền từ đầu đến cuối: nút bấm làm gì, đối tác thực sự là ai, và mẹo mật mã duy nhất mà SSP dùng để đảm bảo những đồng coin bạn mua chỉ có thể về được ví của bạn.
Nút bấm, từng bước một
Từ màn hình ví chính, Mua / Bán mở ra một cửa sổ modal. Trước khi bất cứ thứ gì tải lên, bạn gặp một màn hình chấp thuận yêu cầu bạn thừa nhận rủi ro khi dùng dịch vụ của bên thứ ba. Cánh cổng đó là có chủ ý: mọi thứ phía sau nó là quầy thanh toán được quản lý của một bên khác, không phải của SSP.
Chấp nhận, và ví sẽ tải một widget của nhà cung cấp ngay bên trong tiện ích mở rộng. Bạn không bị đẩy ra một trang web nào. Quy trình mua — chọn tiền pháp định, chọn phương thức thanh toán, nhập thông tin của bạn — diễn ra trong bảng nhúng đó, và khi hoàn tất, tiền mã hóa được chuyển on-chain tới địa chỉ SSP của bạn.
Bạn thực sự đang mua từ ai
Widget đó là Onramper, và bản thân Onramper là một bộ tổng hợp. Nó cũng không bán tiền mã hóa cho bạn. Nó tổng hợp một danh sách các nhà cung cấp nạp tiền pháp định được quản lý, so sánh họ theo loại tiền, tài sản và phương thức thanh toán bạn đã chọn, rồi định tuyến giao dịch mua của bạn tới một trong số họ.
Vậy nên chuỗi các đối tác trông như thế này:
Bạn → Onramper (bộ tổng hợp) → một nhà cung cấp tiền pháp định được quản lý → blockchain → địa chỉ SSP của bạn.
Sự phân lớp đó quan trọng vì ba lý do thực tế:
- KYC thuộc về nhà cung cấp, không thuộc về SSP. Khi widget hỏi giấy tờ tùy thân của bạn, yêu cầu đó đến từ doanh nghiệp được quản lý đang xử lý khoản thanh toán. SSP không bao giờ nhận, lưu trữ hay nhìn thấy bất kỳ thứ gì trong đó.
- Khả năng khả dụng là của nhà cung cấp, không phải của SSP. Những quốc gia nào, những loại tiền pháp định nào, những phương thức thanh toán nào và những tài sản nào được chào bán là do danh sách nhà cung cấp và giấy phép của họ quyết định. Hai người mở cùng một màn hình ở hai quốc gia khác nhau có thể thấy các lựa chọn khác nhau. (Có hẳn một bài trong loạt bài này về điều đó — xem hướng dẫn về phạm vi phủ sóng.)
- Giá là của nhà cung cấp. Tỷ giá được báo cho bạn đã bao gồm chênh lệch và phí của họ cộng lên trên giá thị trường. SSP không đặt ra tỷ giá đó và không lấy phần nào từ nó.
Thứ mà SSP thực sự cung cấp là phần đường ống — và một mảnh bảo mật rất cụ thể.
Phần bảo vệ bạn: một địa chỉ đích đã được ký
Đây là kiểu hỏng hóc mà bất kỳ widget thanh toán nhúng nào cũng nên lo lắng. Widget được cho biết phải giao coin đến đâu. Nếu kẻ tấn công có thể can thiệp vào đích đến ấy — viết lại nó trong URL, tiêm nó vào khung — bạn sẽ trả tiền thật còn tiền mã hóa sẽ về ví của hắn. Bạn đã mua coin cho người khác.
SSP bịt lỗ hổng đó bằng mật mã học. Trước khi widget tải, ví gửi mạng lưới và địa chỉ nhận của bạn tới SSP Relay, nơi ký chúng bằng chữ ký HMAC-SHA256 với một khóa bí mật chia sẻ với Onramper. Phần dữ liệu đã ký — trên thực tế là networkWallets=<mạng>:<địa chỉ của bạn> — được trao cho widget cùng với chữ ký.
Kết quả: địa chỉ đích được xác thực. Widget sẽ chỉ chi trả về đúng địa chỉ đã được ký. Một địa chỉ bị can thiệp không mang chữ ký hợp lệ, và giao dịch mua sẽ không tất toán vào đó. SSP Relay không bao giờ thấy khóa của bạn — nó ký một địa chỉ nhận công khai, vốn không phải bí mật và không trao cho ai quyền chi tiêu.
Điều này đáng để thấm nhuần, bởi nó đảo ngược lời khuyên thường thấy. Với hầu hết các quy trình "mua tiền mã hóa", bạn dán một địa chỉ đích rồi tự mình kiểm tra ba lần. Ở đây, ví khẳng định địa chỉ thay bạn và chứng minh rằng nó không bị sửa đổi trên đường đi.
Những gì SSP không bao giờ chạm tới
Danh sách này ngắn, và nó là danh sách quan trọng:
- Khóa và cụm từ khôi phục của bạn. Không bao giờ rời khỏi thiết bị của bạn. Cổng nạp tiền không cần chúng và không thể hỏi xin chúng. Bất kỳ quy trình "mua" nào hỏi cụm từ khôi phục của bạn đều là một nỗ lực lừa đảo, chấm hết.
- Thông tin thẻ và ngân hàng của bạn. Do nhà cung cấp được quản lý thu thập bên trong quầy thanh toán của chính họ.
- Giấy tờ tùy thân của bạn. Tương tự.
- Quyền lưu ký số coin sau khi giao. Một khi nhà cung cấp phát sóng giao dịch, tài sản nằm ở địa chỉ của bạn, dưới đa chữ ký 2/2 của bạn. Không ai — không SSP, không Onramper, không nhà cung cấp — có thể dịch chuyển nó nếu thiếu chữ ký từ cả hai thiết bị của bạn.
Hãy để ý thứ vắng mặt trong danh sách đó: không lúc nào bạn phải ký một giao dịch để mua. Mua là một khoản chuyển vào. Chữ ký của bạn không cần thiết, vì chẳng có gì rời khỏi ví bạn cả. Điều đó thay đổi ở phía bán, và đó là điều đầu tiên mà bài tiếp theo trong loạt bài này đề cập.
Trước khi mua: danh sách kiểm tra ngắn
- Kiểm tra mạng lưới, không chỉ mã ký hiệu. Bạn đang mua một tài sản trên một chuỗi. Mua USDC trên một mạng rồi trông đợi nó ở một mạng khác là cách kinh điển để rồi ngồi nhìn số dư trống rỗng. Widget bị giới hạn theo chuỗi bạn đã chọn trong ví — hãy chắc chắn đó là chuỗi bạn thực sự muốn.
- Đọc kỹ tổng số được báo giá. Chênh lệch và phí của nhà cung cấp đã nằm sẵn trong tỷ giá. Con số cần so sánh là lượng tiền mã hóa thực sự về tới nơi, chứ không phải tỷ giá trưng ra ngoài.
- Hãy chuẩn bị cho KYC, và chuẩn bị rằng nó sẽ khác nhau. Một giao dịch mua bằng thẻ ở nước này có thể tức thì; một khoản chuyển khoản ngân hàng ở nước khác có thể mất nhiều ngày và cần thêm giấy tờ. Đó là quy trình của nhà cung cấp.
- Bắt đầu nhỏ với một phương thức thanh toán mới. Lần mua đầu tiên qua bất kỳ kênh mới nào là lần làm lộ ra những bất ngờ. Một giao dịch mua thử nhỏ tốn của bạn chút chênh lệch và mua về cho bạn sự chắc chắn.
- Xác nhận rằng coin đã về ví, chứ không chỉ về widget. Widget báo "thành công" có nghĩa là khoản thanh toán đã được xử lý. Tài sản là của bạn khi nó được xác nhận on-chain tại địa chỉ của bạn.
Vị trí của bài này
Mua là chiều dễ: tiền vào, coin ra, không chữ ký, không bàn giao quyền lưu ký sau khi giao. Hai quy trình còn lại trong loạt bài này khác biệt đáng kể — bán nghĩa là ký để chuyển tiền mã hóa ra ngoài cho một nhà cung cấp rồi chờ tiền pháp định, còn hoán đổi trong ví giao tiền của bạn cho một sàn đổi tập trung trong lúc lệnh đang chạy. Cả hai đều đặt thứ gì đó của bạn vào tay người khác trong một khoảng thời gian. Riêng cổng nạp tiền thì không.
Để có bức tranh rộng hơn về mối quan hệ giữa mua, bán và hoán đổi, hãy bắt đầu với phần tổng quan trong Hoán đổi tiền mã hóa từ SSP. Còn về cơ chế của những gì xảy ra khi coin đã nằm trong ví, hãy xem Gửi Bitcoin bằng SSP.


