Hôm qua, Yuxian – người sáng lập SlowMist – đăng một dòng tweet ngắn: hãy bật Passcode Lock trên Telegram Desktop, nhớ mật khẩu, và đừng hỏi tại sao. Không kèm link, không giải thích kỹ thuật. Chỉ một lời nhắc nhở từ người đứng đầu một trong những công ty bảo mật blockchain có uy tín nhất. Với tôi – một kỹ sư giao thức đã từng audit hàng trăm hợp đồng thông minh – đó là tín hiệu đáng để đào sâu.
Context
Telegram Desktop, không giống như ứng dụng di động, lưu trữ toàn bộ dữ liệu cục bộ trong một thư mục SQLite. Session keys, cache, tin nhắn, và – quan trọng nhất – bất kỳ nội dung nào người dùng copy-paste, bao gồm ảnh chụp màn hình ví, seed phrase, private key. Với người dùng crypto, đây là mỏ vàng cho kẻ tấn công. Khi thị trường tăng, FOMO đẩy mọi người giao dịch qua Telegram, chat với bot, gửi ảnh xác nhận giao dịch. Tất cả đều nằm trong ổ cứng, không được mã hóa mặc định. SlowMist – với vai trò công ty bảo mật hàng đầu – có lẽ đã thấy một làn sóng tấn công nhắm vào Telegram Desktop trong các tuần gần đây. Họ không nói chi tiết, có thể vì đang thu thập bằng chứng, nhưng lời cảnh báo đủ để kích hoạt hành động.
Core
Passcode Lock là gì? Một tính năng có sẵn trong cài đặt Telegram Desktop (Settings → Advanced → Passcode Lock). Khi bật, Telegram mã hóa file local storage bằng AES-256, yêu cầu nhập mã mỗi lần mở ứng dụng. Về mặt kỹ thuật, nó chống lại truy cập vật lý: nếu máy tính bị mất hoặc bị malware quét ổ cứng, dữ liệu vẫn an toàn. Tuy nhiên, cơ chế này không bảo vệ khỏi memory dump – khi đã mở ứng dụng, tất cả dữ liệu được giải mã trong RAM, và malware đặc biệt có thể đọc trực tiếp. Đây là trade-off: mã hóa cục bộ bảo vệ dữ liệu tĩnh, không phải dữ liệu động. Từ kinh nghiệm audit của tôi, tôi thấy nhiều dự án NFT và DeFi token gửi private key qua Telegram chat; họ tin rằng chat "bí mật" là đủ an toàn. Nhưng desktop client vẫn lưu cache tin nhắn – kể cả self-destruct messages – trong bộ nhớ cục bộ cho đến khi hết hạn. Thiết lập Passcode Lock là bước tối thiểu, nhưng không nên dừng lại ở đó.
Contrarian
Điểm mù của lời khuyên này: nó tạo ra ảo giác an toàn hoàn hảo. Người dùng bật Passcode Lock, nghĩ rằng mình đã an toàn, và tiếp tục lưu trữ seed phrase trong Telegram Notes. Thực tế, kẻ tấn công tinh vi có thể cài keylogger, ghi lại mã PIN, hoặc khai thác lỗ hổng trong Telegram client để bypass hoàn toàn lớp bảo vệ này. Năm 2022, tôi từng tham gia audit một bot giao dịch trên Ethereum, phát hiện bot đó lưu private key dưới dạng plaintext trong file config Telegram, và Passcode Lock không ngăn được vì bot chạy ngầm. Vấn đề nằm ở giả định: SlowMist cho rằng người dùng sẽ hiểu Passcode Lock là một lớp trong bảo mật tổng thể. Nhưng trong thực tế, nó thường là lớp duy nhất. Đáng lẽ, họ nên nhấn mạnh: Passcode Lock chỉ bảo vệ dữ liệu khi máy tính tắt. Khi máy đang chạy, bạn vẫn phải tin vào anti-malware, giới hạn ứng dụng truy cập bộ nhớ, và – quan trọng nhất – không bao giờ lưu private key dưới bất kỳ dạng nào trong Telegram.
Takeaway
Trong một bull run, mọi người chạy theo lợi nhuận, quên mất nền tảng. Yuxian đúng khi cảnh báo, nhưng nếu chỉ dừng ở Passcode Lock, chúng ta đang xây nhà trên cát. Lỗ hổng không nằm ở code Telegram, mà ở giả định rằng một mật khẩu sẽ giải quyết mọi vấn đề. Hãy tự hỏi: liệu bạn có sẵn sàng mất toàn bộ portfolio vì một file SQLite không được mã hóa? Nếu câu trả lời là không, hãy dùng hardware wallet, tạo mật khẩu mạnh cho máy tính, và xem Passcode Lock như bước đầu – không phải bước cuối.