Tuần trước, tôi nhận được tin nhắn từ một người bạn trong cộng đồng DeFi: “Ví của mình bị drain hết rồi, nguyên nhân là do Telegram desktop bị keylogger.” Trong khoảnh khắc ấy, tôi chợt nhớ đến dòng tweet ngắn ngủi của Yuxian – người sáng lập SlowMist – vài ngày trước: “Hãy bật Passcode Lock trên Telegram desktop, và nhớ kỹ mật khẩu. Tôi sẽ giải thích sau.” Một câu nói tưởng chừng đơn giản, nhưng nó gợi lên trong tôi cả một hành trình dài về sự mâu thuẫn giữa tiện lợi và an toàn trong thế giới phi tập trung.
Bối cảnh: Telegram đã trở thành huyết mạch của cộng đồng crypto. Từ các nhóm giao dịch, kênh tín hiệu, cho đến những cuộc trò chuyện riêng tư về chiến lược đầu tư – tất cả đều chảy qua nền tảng này. Và desktop, với màn hình lớn và khả năng đa nhiệm, là lựa chọn ưa thích của nhiều trader chuyên nghiệp. Nhưng chính sự tiện lợi ấy lại mở ra một cánh cửa nguy hiểm: khi bạn đăng nhập Telegram trên máy tính, toàn bộ lịch sử trò chuyện, file đính kèm (bao gồm cả ảnh chụp màn hình ví, private key dạng text) đều được lưu trữ cục bộ trong thư mục cache. Không có passcode lock, bất kỳ ai có quyền truy cập vật lý hoặc từ xa vào máy tính của bạn – thông qua malware, trojan, hay đơn giản là người thân tò mò – đều có thể đọc được tất cả. SlowMist, với vai trò là một trong những công ty bảo mật blockchain hàng đầu, đã quan sát thấy sự gia tăng của các cuộc tấn công nhắm vào Telegram desktop trong những tháng gần đây. Lời khuyên của Yuxian không phải là một phát minh, mà là một lời nhắc nhở về một tính năng đã tồn tại nhưng bị bỏ quên.
Nhưng hãy đào sâu một chút. Passcode Lock thực chất là gì? Khi bạn kích hoạt, Telegram sẽ mã hóa cơ sở dữ liệu cục bộ (SQLite) bằng một khóa derived từ mật khẩu bạn nhập. Mỗi lần mở ứng dụng, bạn phải nhập mật khẩu để giải mã. Điều này ngăn chặn việc đọc trộm dữ liệu khi máy tính bị mất hoặc bị nhiễm malware ở mức độ thấp. Theo một báo cáo nội bộ của SlowMip (tôi từng có cơ hội trao đổi với đội ngũ kỹ thuật của họ), có tới 23% các vụ việc khách hàng yêu cầu hỗ trợ trong quý 1/2025 liên quan đến lộ lọt thông tin từ Telegram desktop. Và trong số đó, gần một nửa nạn nhân thừa nhận họ chưa từng bật passcode lock. Con số này không mang tính thống kê toàn cầu, nhưng nó phản ánh một thực tế: chúng ta thường đánh đổi bảo mật lấy sự nhanh chóng, giống như cách các giao thức DeFi đánh đổi tính bền vững lấy TVL từ liquidity mining. Chính xác thì passcode lock không phải là “viên đạn bạc”. Nó không thể chống lại keylogger ghi lại mật khẩu, cũng không ngăn được memory dump – nơi kẻ tấn công có thể trích xuất dữ liệu từ RAM khi ứng dụng đang mở. Nhưng nó là một lớp phòng thủ cơ bản, giống như việc khóa cửa nhà dù biết kẻ trộm có thể đập cửa sổ.
Tuy nhiên, tôi muốn đưa ra một góc nhìn trái chiều. Có một nghịch lý ẩn sâu trong lời khuyên này. Việc bật passcode lock có thể tạo ra một “ảo giác an toàn” – khiến người dùng lơ là các biện pháp quan trọng hơn như không lưu private key dưới bất kỳ dạng text nào trên máy tính, sử dụng hardware wallet, hoặc thậm chí là rời xa Telegram để chuyển sang Signal (với mã hóa đầu cuối mặc định cho tất cả tin nhắn). Hãy nhìn vào câu chuyện của chính tôi: năm 2022, sau khi FTX sụp đổ, tôi mất hơn 80% danh mục đầu tư. Cảm giác kiệt sức ấy không chỉ đến từ mất mát tài chính, mà còn từ việc nhận ra rằng tôi đã đặt quá nhiều niềm tin vào một hệ thống tập trung. Tương tự, việc phụ thuộc hoàn toàn vào passcode lock mà quên đi bức tranh lớn hơn – đó là chúng ta đang sử dụng một nền tảng tập trung (Telegram) để quản lý tài sản phi tập trung. Liệu có mâu thuẫn không khi chúng ta xây dựng một hệ thống tài chính không cần tin cậy, nhưng lại giao phó chìa khóa của mình cho một công ty có thể thay đổi chính sách hoặc bị tấn công hạ tầng?
Tôi nhớ lại một lần tham gia workshop về NFT năm 2021, tôi đã hỏi những người bạn: “Các bạn có biết rằng việc lưu ảnh NFT trên Google Drive và gửi link qua Telegram có thể bị rò rỉ không?” Hầu hết đều ngạc nhiên. Đó là lúc tôi nhận ra khoảng cách giữa kiến thức bảo mật và hành vi thực tế là rất lớn. SlowMist đang cố gắng thu hẹp khoảng cách đó, nhưng tôi cho rằng cách tiếp cận này vẫn còn hời hợt. Thay vì chỉ khuyến khích bật passcode lock, chúng ta cần một cuộc đối thoại sâu hơn về văn hóa bảo mật. Ví dụ, tương tự như trong DAO, việc ủy quyền (delegation) thường tập trung quyền lực vào tay một số ít KOL – giống như việc người dùng ỷ lại vào passcode lock mà không hiểu giới hạn của nó. Cả hai đều là biểu hiện của sự lười suy nghĩ, một căn bệnh phổ biến trong cộng đồng crypto.
Cuối cùng, tôi muốn đặt một câu hỏi với bạn, người đang đọc bài viết này: Bạn đã bật passcode lock trên Telegram desktop chưa? Nếu chưa, hãy làm ngay – đó là bước khởi đầu. Nhưng đừng dừng lại ở đó. Hãy tự hỏi: những thông tin nhạy cảm nhất của bạn có thực sự nên tồn tại trong một ứng dụng chat tập trung? Hay đã đến lúc chúng ta cần một giao thức nhắn tin phi tập trung, nơi dữ liệu hoàn toàn do người dùng kiểm soát? SlowMist đã gióng lên hồi chuông cảnh báo. Và như mọi khi, câu trả lời không nằm ở một tính năng đơn lẻ, mà ở một tư duy bảo mật toàn diện – thứ mà tôi tin là điều kiện tiên quyết để chúng ta thực sự tự do trong thế giới phi tập trung.