Giữa v1.29.0 vào 2025-12-27 và v1.30.0 vào 2026-01-02, SSP đã phát hành hai bản nhỏ trong changelog nhưng lớn trong sơ đồ kiến trúc. v1.29.0 thêm xác thực yêu cầu — ví xác minh nguồn gốc và tính toàn vẹn của mọi yêu cầu dApp mà nó nhận được. v1.30.0 thêm SSP Identity Signing — ví có thể chứng minh chính danh tính của mình với một dịch vụ từ xa, không chỉ ký một giao dịch. Cùng nhau, chúng củng cố bề mặt yêu cầu dApp đã mở ra với WalletConnect, và biến tính năng Identity ban đầu thành một nguyên thủy hạng nhất mà các dịch vụ có thể thử thách.
Xác thực yêu cầu cập bến (v1.29.0)
Một yêu cầu dApp — hãy ký cái này, hãy phê duyệt cái kia, hãy chuyển sang chuỗi này — đến ví qua một lớp vận chuyển. Với WalletConnect, lớp vận chuyển đó là một phiên qua relay; với inpage provider, đó là một thông điệp tiện ích mở rộng Chrome. Mỗi loại có ít nhất một khoảng trống tin cậy: relay có thể bị mạo danh, trang có thể là bản sao phishing, thông điệp có thể bị giả mạo.
Xác thực yêu cầu đóng các khoảng trống đó từ phía ví. Trước khi SSP vẽ màn hình xác nhận, nó xác minh ai đang hỏi và họ đang hỏi gì. Nguồn gốc mà yêu cầu tuyên bố được đối chiếu với lớp vận chuyển đã giao nó. Tải trọng được kiểm tra về tính toàn vẹn — ví không ký một yêu cầu đã bị sửa đổi trong quá trình truyền. Và yêu cầu được đối chiếu với trạng thái phiên mà ví đã giữ, để một yêu cầu phát lại từ phiên khác không lọt qua với cặp đôi của người khác.
Không có điều nào trong số này thay đổi những gì bạn thấy khi một dApp hợp lệ yêu cầu bạn ký. Màn hình xác nhận trông giống hệt. Điều thay đổi là con đường giữa dApp và màn hình đó giờ đây có lan can do chính ví thực thi, thay vì tin tưởng lớp vận chuyển nói thật về việc nó đang giao cho ai.
Identity Signing nối tiếp (v1.30.0)
Một tuần sau, v1.30.0 đi theo hướng ngược lại. Cho đến lúc đó, một SSP Identity có thể ký thông điệp — các chuỗi chứng minh người dùng kiểm soát một khóa. v1.30.0 thêm khả năng ký với tư cách là một danh tính: một dịch vụ từ xa có thể phát ra một thử thách nêu rõ SSP Identity mà nó kỳ vọng, và ví trả về một chữ ký liên kết phản hồi với danh tính đó theo cách dịch vụ có thể xác minh.
Sự khác biệt tinh tế và mang trọng tải. Ký một thông điệp chứng minh một khóa kiểm soát thứ gì đó. Ký danh tính chứng minh một khóa kiểm soát một danh tính có tên — một định danh ổn định mà dịch vụ đã liên kết với các quyền, số dư hoặc đăng ký. Đối với các dịch vụ cần biết không chỉ "có người dùng ở đó không" mà còn "đây có phải là cùng người dùng đã thiết lập tài khoản này không", ký danh tính khép kín vòng. v1.30.0 cũng đánh bóng việc xử lý pop-up yêu cầu — ít nhấp nháy hơn, ít pop-up bị bỏ rơi hơn, quay lại tiêu điểm nhanh hơn.
Vì sao điều này quan trọng với dApps
Mô hình mối đe dọa dApp chia sẻ một bộ nhỏ các nguyên nhân gốc. Giả mạo nguồn gốc — một trang độc hại giả là trang đáng tin cậy. Yêu cầu phát lại — một tải trọng đã ký từ một phiên được bắt và gửi lại trong phiên khác. Bề mặt phishing — một yêu cầu trông hợp lệ trên màn hình xác nhận thực ra đi đến hợp đồng của kẻ tấn công.
Xác thực yêu cầu thu hẹp cả ba vì ví ngừng coi lớp vận chuyển là quyền uy. Nguồn gốc phải khớp với lớp vận chuyển, tải trọng phải khớp với cái đã gửi, phiên phải khớp với cái đã ghép cặp. Mỗi kiểm tra là nhỏ một mình; cùng nhau chúng làm cho màn hình xác nhận trở thành thứ mà người dùng có thể tin tưởng phản ánh thực tế. Ký danh tính thu hẹp một cuộc tấn công khác — chiếm đoạt tài khoản bằng cách ghép lại cặp — vì một dịch vụ yêu cầu ví ký với tư cách là một danh tính có tên biến "một ví đã đăng nhập" thành một ràng buộc có thể xác minh.
Cách nó khớp với WalletConnect
WalletConnect đã mở cánh cửa đến hàng nghìn dApp. v1.29.0 đã thêm ổ khóa vào cánh cửa đó, và v1.30.0 thêm chuông cửa. Cả hai đều rơi vào cùng một bề mặt: luồng yêu cầu. Xác thực yêu cầu đảm bảo rằng yêu cầu mà ví thấy là yêu cầu mà dApp đã gửi. Ký danh tính đảm bảo rằng phản hồi mà dApp thấy là phản hồi mà ví của bạn đã gửi, được ký bởi danh tính mà dApp đang kỳ vọng. Cặp đôi biến một phiên WalletConnect từ "hai điểm cuối trao đổi dữ liệu" thành "hai điểm cuối có thể chứng minh cho nhau biết mình là ai".
Từ Identity đến Identity-Signing
Tính năng SSP Identity ban đầu đã cho ví một bề mặt danh tính ổn định — một địa chỉ phái sinh dành cho nhắn tin và bằng chứng, tách biệt với các địa chỉ giao dịch mà bạn chi tiêu. Đó là phần giới thiệu. v1.30.0 là phần tiếp theo: cùng một danh tính, giờ đây có thể dùng như một thông tin xác thực mà dịch vụ có thể yêu cầu theo tên và xác minh ở phía mình.
Đây là cách một ví trở thành một nguyên thủy danh tính hạng nhất thay vì chỉ là một bộ giữ khóa. v1.29.0 làm cho đầu vào đáng tin; v1.30.0 làm cho đầu ra có thể xác minh. Phần lớn người dùng sẽ không bao giờ thấy sự khác biệt trực tiếp. Tuy nhiên, các dApps và dịch vụ tích hợp đối với bề mặt này sẽ thấy rằng SSP giờ đây có thể chứng minh mình là ai và xác minh ai đang hỏi — mọi lần.