Trong kỷ nguyên bùng nổ của nền kinh tế số, hàng trăm tỷ đô la giá trị dưới dạng tiền mã hóa, NFT và các tài sản DeFi đang được nắm giữ bởi hàng triệu người dùng trên khắp thế giới. Tất cả chúng được bảo vệ bởi một thứ vô cùng mạnh mẽ nhưng cũng cực kỳ mong manh: một chuỗi ký tự được gọi là khóa riêng (private key).
Triết lý cốt lõi của web3 "your keys, your crypto" (khóa của bạn, tiền của bạn) trao cho người dùng toàn quyền tự chủ. Nhưng nghịch lý thay, sức mạnh này cũng chính là điểm yếu chí mạng nhất. Không có một tổng đài hỗ trợ, không có một ngân hàng để yêu cầu đặt lại mật khẩu. Một khi khóa riêng biến mất, tài sản cũng sẽ biến mất vĩnh viễn.
Đọc thêm: Hệ sinh thái Solana hụt hơi, Ethereum trở lại mạnh mẽ nhờ làn sóng DeFi
Đây là một vấn đề cố hữu đã tồn tại từ những ngày đầu của blockchain. Vô số câu chuyện về những chiếc ví chứa hàng nghìn Bitcoin bị lãng quên, những tài sản giá trị bị khóa lại mãi mãi sau khi chủ nhân của chúng đột ngột qua đời đã trở thành lời cảnh báo cho cả cộng đồng.
Các giải pháp như ví đa chữ ký (multi-sig) hay ví hợp đồng thông minh (smart contract wallet) thông qua Account Abstraction tuy mạnh mẽ nhưng lại quá phức tạp hoặc tốn kém đối với người dùng cá nhân. Chúng đòi hỏi người dùng phải thay đổi hoàn toàn thói quen sử dụng ví của mình.
Trước bối cảnh đó, EIP-7702 xuất hiện không chỉ như một bản vá lỗi, mà là một sự thay đổi trong tư duy về bảo mật và sự trường tồn của tài khoản sở hữu bên ngoài (EOA) – loại ví phổ biến nhất hiện nay.
Khả năng nâng cấp cho EOA với EIP-7702. Nguồn: ZyFAI
Điểm yếu chí mạng của ví EOA
Để hiểu tầm quan trọng của EIP-7702, trước tiên chúng ta cần hiểu rõ về ví EOA (Externally Owned Account). Đây là loại ví tiêu chuẩn mà hầu hết mọi người đang sử dụng, từ Metamask, Trust Wallet cho đến các loại ví cứng như Ledger hay Trezor. Chúng được kiểm soát trực tiếp bởi một khóa riêng duy nhất. Sự đơn giản này giúp chúng có chi phí giao dịch rẻ và dễ sử dụng, nhưng cũng biến chúng thành một "điểm lỗi đơn" (single point of failure).
Bất kỳ sự cố nào xảy ra với khóa riêng đó – dù là do lỗi của con người như vô tình xóa file, do tai nạn vật lý như hỏa hoạn, lũ lụt, hay do bi kịch cá nhân như chủ sở hữu qua đời đột ngột – đều dẫn đến kết quả cuối cùng là sự mất mát tài sản không thể đảo ngược. Điều này tạo ra một rào cản tâm lý khổng lồ, khiến nhiều người e ngại khi đưa một phần tài sản đáng kể của mình vào một hệ thống thiếu đi mạng lưới an toàn.
Cơ chế hoạt động thanh lịch của EIP-7702
EIP-7702 đưa ra một giải pháp cực kỳ thông minh bằng cách tận dụng một yếu tố sẵn có và không thể giả mạo trên blockchain: nonce. Nonce là một con số đếm số lượng giao dịch đã được gửi từ một địa chỉ ví. Mỗi khi bạn thực hiện một giao dịch, nonce sẽ tăng lên 1. Đây là một dữ kiện công khai và có thể kiểm chứng.
Nguyên tắc cốt lõi của EIP-7702 là "Bằng chứng về nonce không thay đổi" (Proof of unchanged nonce). Nếu nonce của một chiếc ví không hề thay đổi trong một khoảng thời gian dài, đó là bằng chứng mã hóa mạnh mẽ cho thấy khóa riêng của ví đó đã không được sử dụng.
Quá trình này có thể được hình dung như một "công tắc người chết" (dead man's switch) kỹ thuật số:
Thiết lập giao ước
Chủ sở hữu ví thực hiện một giao dịch đặc biệt để "ủy quyền có điều kiện" cho một hợp đồng thông minh. Tại đây, họ định nghĩa hai tham số quan trọng: một khoảng thời gian không hoạt động (ví dụ: 365 ngày) và một địa chỉ ví người thừa kế. Giao ước này hoàn toàn nằm dưới sự kiểm soát của chủ sở hữu và có thể được thay đổi hoặc hủy bỏ bất cứ lúc nào.
Giai đoạn "ngủ đông"
Thời gian bắt đầu được tính. Mỗi khi chủ sở hữu thực hiện một giao dịch từ ví của mình, bộ đếm thời gian không hoạt động sẽ được "reset" về 0. Hành động này giống như việc nói với hệ thống rằng: "Tôi vẫn ở đây và vẫn đang kiểm soát tài khoản của mình".
Kích hoạt và xác minh
Nếu khoảng thời gian đã định (365 ngày) trôi qua mà không có bất kỳ giao dịch nào được thực hiện, ví người thừa kế sẽ có quyền kích hoạt quy trình nhận quyền. Họ sẽ gửi một yêu cầu đến hợp đồng thông minh, cung cấp bằng chứng rằng nonce của ví gốc vẫn không thay đổi kể từ giao dịch cuối cùng.
Chuyển giao quyền kiểm soát
Hợp đồng thông minh sẽ tự động xác minh bằng chứng này trên chuỗi khối. Nếu mọi thứ hợp lệ, nó sẽ cấp cho địa chỉ ví người thừa kế quyền thực hiện giao dịch thay mặt cho ví gốc, cho phép họ chuyển tài sản ra ngoài một cách an toàn. Quá trình thừa kế hoặc khôi phục hoàn tất.
Các giai đoạn thiết lập hệ thống chuyển giao tài sản tự động thông qua số đếm nonce (một giải pháp của EIP-7702).
Những rủi ro bảo mật tiềm ẩn của EIP-7702
Một nghiên cứu gần đây đã hé lộ một sự thật gây sốc rằng hơn 97% các ủy quyền theo chuẩn EIP-7702 được cấp cho các hợp đồng có mã nguồn giống hệt nhau. Các hợp đồng này không phục vụ cho mục đích tốt. Chúng được xác định là "sweeper", hay hợp đồng quét tiền, được thiết kế để tự động rút sạch toàn bộ tiền ngay khi chúng được gửi vào các địa chỉ ví đã bị lộ khóa riêng tư.
Ban đầu, các nhà nghiên cứu đã gắn thẻ "tội phạm" cho những hợp đồng này dựa trên các mẫu giao dịch, nhưng giờ đây mọi chuyện đã trở nên rõ ràng hơn.
Để chứng minh ý đồ xấu, các chuyên gia bảo mật đã giải mã ngược bytecode của các hợp đồng này thành mã Solidity và công bố một phiên bản đã được xác minh với tên gọi "CrimeEnjoyor". Việc công khai mã nguồn này có ý nghĩa quan trọng vì nó giúp minh bạch hóa hoàn toàn ý đồ của kẻ xấu. Thay vì phải suy đoán, giờ đây mọi người có thể thấy rõ chức năng duy nhất của hợp đồng là rút tiền.
While EIP-7702 brings new convenience, it also introduces new risks
— Wintermute (@wintermute_t) May 30, 2025
Our Research team found that over 97% of all EIP-7702 delegations were authorized to multiple contracts using the same exact code. These are sweepers, used to automatically drain incoming ETH from compromised… pic.twitter.com/xHp7zr4hC9
Một bài viết của Wintermute nói về các rủi ro tiềm ẩn của EIP-7702.
Điều này không chỉ là một lời cảnh báo mạnh mẽ cho cộng đồng mà còn giúp các nền tảng bảo mật khác dễ dàng nhận diện và gắn nhãn các hợp đồng tương tự là độc hại. Hợp đồng CrimeEnjoyor rất ngắn, đơn giản và được sao chép hàng loạt, lý giải tại sao nó chiếm phần lớn các ủy quyền EIP-7702 hiện nay.
Sự việc này nhấn mạnh một vấn đề cốt lõi. Các tính năng nguyên thủy mới như EIP-7702 tuy mở rộng khả năng của mạng lưới nhưng nếu không có các công cụ xác minh, dán nhãn và minh bạch, người dùng, đặc biệt là người mới, sẽ rất khó phân biệt giữa cơ sở hạ tầng hợp pháp và các công cụ khai thác, lừa đảo.
Để giải quyết vấn đề này, các nhà nghiên cứu đã bắt đầu gắn nhãn các hợp đồng ủy quyền được sử dụng bởi các dự án hợp pháp như Trust Wallet, Porto, Thirdweb, Uniswap v1 và Fireblocks. Việc này giúp phân biệt rõ ràng giữa hoạt động tốt và xấu. Hiện tại, các nền tảng tích hợp EIP-7702 sớm như Uniswap, JumperExchange và Euler Finance đang chiếm 95% tổng lưu lượng giao dịch hợp pháp, cho thấy tiềm năng thực sự của tiêu chuẩn này khi được sử dụng đúng cách.
Tóm lại, EIP-7702 là một cải tiến mạnh mẽ, nhưng cộng đồng cần phải cảnh giác và phát triển các công cụ bảo mật song song để bảo vệ người dùng khỏi những kẻ xấu lợi dụng công nghệ mới.
Tác động sâu rộng: Hơn cả một giải pháp thừa kế
Lợi ích của EIP-7702 vượt xa khỏi việc lập kế hoạch tài sản thừa kế. Nó mở ra một loạt các ứng dụng thực tiễn, củng cố niềm tin và thúc đẩy sự phát triển của toàn bộ hệ sinh thái.
Đối với nhà đầu tư cá nhân, đây là một công cụ quản lý rủi ro toàn diện. Ngoài việc lập "di chúc số", họ có thể sử dụng EIP-7702 như một kế hoạch tự khôi phục sau thảm họa. Ví dụ, một người có thể đặt ví nóng của mình làm "người thừa kế" cho ví cứng chính với thời gian chờ là 90 ngày. Nếu ví cứng bị mất hoặc hư hỏng, họ có thể kiên nhẫn chờ đợi để lấy lại quyền truy cập vào tài sản mà không cần phải ngay lập tức tìm đến bản sao lưu seed phrase được cất giữ ở một nơi xa xôi.
Đối với việc phổ cập web3, EIP-7702 là một cây cầu quan trọng nối liền với người dùng web2. Nó giải quyết một trong những nỗi sợ hãi lớn nhất của người mới: sự thiếu an toàn và không có khả năng phục hồi. Khi một người dùng tiềm năng biết rằng có một cơ chế an toàn để gia đình họ có thể truy cập tài sản hoặc bản thân họ có thể khôi phục ví, họ sẽ cảm thấy tự tin hơn nhiều khi tham gia. Đặc biệt, sự đơn giản cho người thừa kế là một yếu tố then chốt; họ không cần phải xử lý những khái niệm phức tạp như seed phrase của người khác.
Đối với hệ sinh thái Ethereum, đề xuất này giúp giảm thiểu lượng vốn bị "đóng băng" vĩnh viễn do mất khóa. Hàng tỷ đô la giá trị đang bị khóa lại trong các ví không thể truy cập. EIP-7702 giúp đảm bảo rằng tài sản sẽ tiếp tục được lưu thông, đóng góp vào tính thanh khoản và sức sống của nền kinh tế on-chain. Nó nâng cao giá trị của ví EOA, cho phép chúng sở hữu một tính năng bảo mật tinh vi mà không cần phải hy sinh sự đơn giản và hiệu quả về chi phí đã làm nên sự phổ biến của chúng.
Đọc thêm: RWA: Tiềm năng lớn đi kèm với các thách thức không nhỏ
Kỷ nguyên của sự an toàn và tiện lợi gọi tên EIP-7702
Có thể nói rằng EIP-7702 không phải là một viên đạn bạc giải quyết mọi vấn đề, nhưng nó là một mảnh ghép thiết yếu và thanh lịch. Nó giải quyết một cách trực diện điểm yếu cố hữu của hình thức tự quản lý tài sản, mang đến sự an tâm, tin cậy và một con đường rõ ràng để bảo vệ di sản kỹ thuật số. Đây là một bước tiến quan trọng, đưa web3 đến gần hơn với sự trưởng thành, an toàn và sẵn sàng chào đón hàng tỷ người dùng tiếp theo bước vào thế giới của quyền sở hữu thực sự.
