Trong crypto, bảo mật tài sản luôn là ưu tiên hàng đầu. Khi số lượng vụ đánh cắp khóa riêng ngày càng gia tăng, người dùng ngày càng quan tâm đến các phương thức lưu trữ an toàn hơn. Trong số đó, ví Air-Gapped nổi lên như một lựa chọn bảo mật tối ưu, được đánh giá cao nhờ khả năng cách ly hoàn toàn khỏi Internet và các thiết bị kết nối.

Vậy ví Air-Gapped là gì, cách hoạt động ra sao, và tại sao ví này lại được xem là “két sắt lạnh” của thế giới crypto? Anh em hãy cùng tìm hiểu với Block24 trong bài viết dưới đây nhé. 

Ví Air-Gapped là gì?

Ví Air-Gapped (ví lạnh tuyệt đối) là loại ví tiền mã hóa được thiết kế để ngắt kết nối hoàn toàn khỏi Internet và mọi hình thức kết nối không dây. Điều này có nghĩa là thiết bị ví không có Wi-Fi, Bluetooth, NFC và thường thậm chí không dùng USB để truyền dữ liệu. 

Một số ví air-gapped phổ biến đó là SafePal, Ellipal Titan 2.0, Keystone 3 Pro, Coldcard Mk4, NGRAVE Zero, SafePal S1, Cypherock X1, Blockstream Jade, Tangem Wallet, Passport Batch 2,...

SafePal - một loại ví Air-Gapped
SafePal - một loại ví Air-Gapped

Nói cách khác, ví Air-Gapped là một dạng ví lạnh ngoại tuyến tuyệt đối. Thiết bị này giữ khóa riêng tư (private key) của anh em hoàn toàn offline, không bao giờ tiếp xúc trực tiếp Internet trong suốt vòng đời sử dụng. Nhờ đó, ví Air-Gapped giúp loại bỏ hầu hết nguy cơ bị tấn công mạng, hacker hay malware khó có cách nào xâm nhập được, vì thiết bị không có cổng giao tiếp trực tuyến để chúng lợi dụng.

Một số điểm nổi bật của ví Air-Gapped

  • Bảo mật tối đa: Do không kết nối mạng, ví Air-Gapped gần như miễn nhiễm với các kiểu tấn công trực tuyến (phishing, malware, hacker từ xa). Đây được xem là một trong những phương thức lưu trữ tiền mã hóa an toàn nhất hiện nay, phù hợp cho anh em ưu tiên bảo mật trên hết.
  • Ký giao dịch ngoại tuyến: Ví Air-Gapped vẫn cho phép anh em thực hiện giao dịch crypto nhưng theo cách đặc biệt, đó là ký (xác nhận) giao dịch trong môi trường offline. Mọi giao dịch sẽ được duyệt trên thiết bị offline rồi mới truyền sang thiết bị online để phát đi, nhờ đó private key không bao giờ rời thiết bị offline.
  • Không có kết nối không dây: Đúng nghĩa “air-gap”, thiết bị hoàn toàn cách ly WiFi, Bluetooth, NFC, thậm chí không cắm dây USB vào máy tính. Một số ví thậm chí chỉ có màn hình và camera/quét mã QR hoặc khe thẻ nhớ để trao đổi dữ liệu, ngoài ra không có cổng giao tiếp nào khác.
  • Phù hợp lưu trữ lâu dài: Vì tính bảo mật cao nhưng hơi bất tiện, ví Air-Gapped thường được những người nắm giữ lượng crypto lớn trong thời gian dài ưa chuộng.

Cách hoạt động của ví Air-Gapped

Quy trình ký giao dịch ngoại tuyến

Quy trình giao dịch Bitcoin từ ví Air-Gapped - Nguồn learnmeabitcoin.com
Quy trình giao dịch Bitcoin từ ví Air-Gapped - Nguồn learnmeabitcoin.com

Để dễ hiểu cách ví Air-Gapped hoạt động, anh em hãy hình dung quy trình gửi tiền bằng Bitcoin dưới đây (các coin khác cũng tương tự):

  • Bước 1: Tạo giao dịch trên thiết bị online. Anh em dùng máy tính hoặc điện thoại có Internet để nhập địa chỉ người nhận và số BTC muốn gửi. Vì thiết bị không chứa khóa riêng nên không thể ký giao dịch. Thay vào đó, nó sẽ tạo ra một file gọi là PSBT (Partially Signed Bitcoin Transaction). Đây là một giao dịch chưa có chữ ký, giống như tờ séc đã ghi thông tin nhưng chưa ký tên.
  • Bước 2: Chuyển PSBT sang ví Air-Gapped để ký. File PSBT được chuyển sang ví Air-Gapped bằng cách quét mã QR hoặc dùng thẻ nhớ. Ví sẽ hiển thị thông tin giao dịch để anh em kiểm tra. Nếu mọi thứ đúng, ví sẽ dùng khóa riêng bên trong để ký giao dịch, hoàn toàn offline. Trong suốt quá trình, khóa riêng không bao giờ tiếp xúc Internet.
  • Bước 3: Truyền phát giao dịch đã ký. Giao dịch đã ký được chuyển ngược lại thiết bị online qua mã QR hoặc thẻ nhớ. Sau đó, phần mềm ví sẽ phát giao dịch này lên mạng Bitcoin để được xác nhận và ghi vào blockchain. Tiền sẽ được gửi đi thành công.

Kênh truyền dữ liệu giữa ví offline và online

Vì ví Air-Gapped không có kết nối Internet hay cổng giao tiếp trực tiếp, dữ liệu giao dịch phải được truyền qua các phương thức vật lý, đảm bảo khóa riêng tư luôn an toàn. Hiện có hai cách phổ biến: qua mã QR và qua thẻ nhớ microSD.

Truyền qua mã QR là phương pháp phổ biến nhất. Thiết bị online tạo mã QR chứa nội dung giao dịch, ví Air-Gapped có camera sẽ quét để nhận. Sau khi ký, ví hiển thị một mã QR mới chứa giao dịch đã ký để thiết bị online quét lại và gửi lên mạng. 

Mã QR được tạo từ ví Air-Gapped
Mã QR được tạo từ ví Air-Gapped

Cách này nhanh, an toàn, không lo virus vì QR chỉ truyền một chiều, không phụ thuộc nền tảng và dễ sử dụng. Ethereum cũng đã chuẩn hóa phương pháp này qua tiêu chuẩn EIP-4527 từ năm 2023.

Cách thứ hai là truyền qua thẻ nhớ, cách này phù hợp với ví không có camera hoặc giao dịch phức tạp, dung lượng lớn. Anh em chép file PSBT vào thẻ nhớ, gắn vào ví Air-Gapped để ký, rồi chép file đã ký ngược lại vào máy tính. 

Sử dụng thẻ nhớ cho ví Air-Gapped
Sử dụng thẻ nhớ cho ví Air-Gapped

Tuy nhiên, cách này chậm hơn và có nguy cơ dính malware nếu thẻ nhớ hoặc máy tính không sạch. Nên dùng thiết bị riêng biệt và hạn chế kết nối mạng để đảm bảo an toàn.

Dù cả hai phương pháp đều hiệu quả, QR code vẫn được đánh giá cao hơn nhờ tính tiện dụng, an toàn và hạn chế tối đa rủi ro bảo mật.

Ưu nhược điểm của ví Air-Gapped

Tiêu chí

Ưu điểm

Nhược điểm

Bảo mật

Hoàn toàn offline, miễn nhiễm tấn công mạng từ xa. Private key không rời môi trường ngoại tuyến, rủi ro lộ key gần như 0. Nhiều thiết bị có Secure Element & chống tháo lắp.

Nếu vô ý kết nối Internet hoặc dùng thẻ/QR nhiễm malware, bảo mật có thể bị phá vỡ. Phụ thuộc nhiều vào sự cẩn trọng của người dùng.

Quyền kiểm soát

Non-custodial, không phụ thuộc bên thứ ba. Không cần cấp quyền cho dịch vụ online.

Người dùng tự chịu trách nhiệm hoàn toàn, sai thao tác hoặc quên seed phrase có thể mất tài sản.

Tính riêng tư

Hoạt động ngoại tuyến, hạn chế rò rỉ dữ liệu/thói quen giao dịch. Không Wi-Fi/Bluetooth để bị theo dõi/định vị.

Cần quy trình đồng bộ qua ví watch-only; thao tác nhiều hơn so với ví nóng.

Khả năng chống tấn công mới

Cách ly vật lý, chống lại cả backdoor phần cứng và lỗ hổng zero-day.

Không loại trừ hoàn toàn rủi ro vật lý như mất, trộm, hỏng thiết bị.

Tính tiện dụng

Lý tưởng cho lưu trữ dài hạn, an toàn cao.

Quy trình giao dịch phức tạp, phải tạo PSBT và ký offline. Không phù hợp giao dịch thường xuyên.

Chi phí

Đáng giá nếu bảo vệ lượng crypto lớn.

Thiết bị chuyên dụng giá 100–300 USD, cao hơn ví phổ thông. Có thể là rào cản với vốn nhỏ.


 

So sánh ví Air-Gapped với hardware wallet và cold wallet

Tiêu chí

Ví Air-Gapped

Ví phần cứng

Ví lạnh thường

Kết nối

Hoàn toàn offline, truyền dữ liệu qua QR/thẻ nhớ

Kết nối trực tiếp qua USB/Bluetooth khi ký

Không kết nối mạng, thường là giấy hoặc máy tính offline

Bảo mật

Cực cao, cách ly mạng tuyệt đối

Cao, nhưng vẫn có điểm kết nối tạm thời

Cao về lý thuyết nhưng dễ sai sót, mất mát

Tiện lợi

Thấp, quy trình nhiều bước, chậm

Trung bình, dễ dùng, phù hợp người mới

Rất thấp, thao tác thủ công, không linh hoạt

Hỗ trợ tài sản

Tùy ví, một số hỗ trợ đa coin, một số chỉ BTC

Hỗ trợ rất đa dạng, hàng trăm đến hàng nghìn coin

Hạn chế, thường chỉ chứa 1 loại coin

Chi phí & thiết bị

Cao (thiết bị chuyên dụng vài triệu)

Trung bình (1–7 triệu tùy loại)

Rất thấp (giấy) hoặc tận dụng máy cũ

Hướng dẫn thiết lập ví Air-Gapped lần đầu an toàn

Tạo seed phrase trên ví 

Khi anh em tạo ví tiền mã hóa (như Bitcoin, Ethereum...), hệ thống sẽ tạo ra một dãy từ tiếng Anh gồm 12, 18 hoặc 24 từ gọi là seed phrase (hay còn gọi là "cụm từ khôi phục"). Dãy từ này giống như “chìa khóa chính” để anh em khôi phục toàn bộ tài sản trong ví nếu mất thiết bị.

Tạo Seed Phrase cho ví Air-Gapped
Tạo Seed Phrase cho ví Air-Gapped

Vì seed phrase rất quan trọng, anh em cần ghi lại chính xác theo đúng thứ tự, không sai chính tả, và lưu trữ ở nơi thật an toàn. Cách tốt nhất là viết tay ra giấy, cất nơi kín đáo, tuyệt đối không chụp ảnh, lưu trên điện thoại hay máy tính vì dễ bị hack.

Sau khi hoàn tất tạo ví, thiết bị thường sẽ hiển thị một mã gọi là xpub hoặc mã QR chứa xpub. Đây là một loại “chìa khóa công khai” giúp anh em tạo ví theo dõi (watch-only) trên điện thoại khác. Ví theo dõi này chỉ cho phép xem số dư, theo dõi giao dịch, nhưng không thể tiêu tiền nên rất tiện để kiểm tra mà vẫn đảm bảo an toàn.

Xác minh địa chỉ nhận bằng xPub

Sau khi tạo ví Air-Gapped, hãy xuất “khóa công khai mở rộng” (XPUB) để cài ví chỉ xem (watch-only) trên máy tính hoặc điện thoại. Ví này cho phép theo dõi số dư và tạo địa chỉ nhận nhưng không tiêu được tiền. Lấy địa chỉ nhận đầu tiên từ ví mềm và so với địa chỉ trên ví Air-Gapped, kiểm tra từng ký tự. Khớp 100% thì an toàn, sai là có thể nhập nhầm hoặc bị malware tráo địa chỉ.

Với ví kết nối trực tiếp, có thể bấm “Hiển thị địa chỉ trên thiết bị” để xác minh, còn ví Air-Gapped phải đối chiếu thủ công. Chỉ dùng địa chỉ đã kiểm tra trên thiết bị để tránh nguy cơ bị hacker thay đổi và mất tiền.

Sao lưu và khôi phục ví Air-Gapped

Lưu seed phrase và Shamir/SLIP-39

Khi tạo ví, anh em phải lưu lại seed phrase, đây là chìa khóa duy nhất để khôi phục ví. Nên viết ít nhất 2 bản, cất ở 2 nơi an toàn khác nhau (như két sắt và hộp ký gửi). Tránh để ở nơi dễ thấy hoặc nhờ người không hiểu rõ giữ hộ.

Để bền hơn, anh em có thể khắc seed lên kim loại (thép, titan) thay vì chỉ dùng giấy. Các sản phẩm như Cryptosteel giúp bảo vệ seed khỏi cháy nổ và nước.

Tuyệt đối không lưu seed dưới dạng kỹ thuật số. Không chụp ảnh, không lưu file trên điện thoại, máy tính hay cloud vì dễ bị hack và mất hết tài sản.

Cách hoạt động của Shamir Backup
Cách hoạt động của Shamir Backup

Nếu muốn bảo mật cao hơn, anh em có thể dùng Shamir Backup (SLIP-39). Cách này chia seed thành nhiều phần, cần đủ số phần mới khôi phục được. Ví dụ: chia 3 mảnh, chỉ cần 2 là đủ. Nên cất mỗi mảnh ở một nơi và chọn tỷ lệ phục hồi hợp lý như 2/3 hoặc 3/5. Cách này chống mất mảnh và chống trộm hiệu quả, nhưng phức tạp hơn và chỉ một số ví hỗ trợ..

Quy trình khôi phục trên thiết bị khác

Khi ví Air-Gapped bị mất hoặc hỏng, anh em có thể khôi phục ví trên thiết bị khác bằng seed phrase. Chỉ cần đảm bảo thiết bị mới hỗ trợ chuẩn BIP-39, không nhất thiết phải cùng hãng.

Quy trình gồm các bước:

  • Chuẩn bị thiết bị mới, chọn mục Restore wallet (khôi phục ví).
  • Nhập seed phrase đúng thứ tự, chính xác từng từ.
  • Nếu có passphrase, thiết bị sẽ yêu cầu nhập sau khi nhận seed.
  • Sau khi hoàn tất, ví sẽ tạo lại toàn bộ địa chỉ giống ví cũ. Anh em có thể kiểm tra bằng cách đối chiếu địa chỉ nhận hoặc số dư (qua ví watch-only).
  • Ví của các hãng khác nhau đều có thể dùng chung seed BIP-39. Ví dụ: seed từ ví Ellipal có thể khôi phục trên Trezor hoặc Ledger.

Cách chọn ví Air-Gapped phù hợp nhu cầu

  • Phần cứng an toàn: Ưu tiên ví có Secure Element (ví dụ CC EAL5+), chống tháo lắp và truy cập trái phép (như Ellipal Titan tự xóa nếu bị mở vỏ).
  • Mã nguồn mở: Chọn ví open-source hoặc firmware mở để cộng đồng kiểm tra, tăng minh bạch (Keystone, Coldcard, Passport…).
  • Kiểm toán & uy tín: Xem ví có được audit bởi bên thứ ba chưa, thương hiệu có tiếng, phản hồi nhanh khi có lỗ hổng, tránh hàng trôi nổi.
  • Cộng đồng phát triển: Dự án cập nhật thường xuyên, nhiều contributor, firmware luôn được cải thiện và vá lỗi kịp thời.
  • Trải nghiệm người dùng: Giao diện dễ dùng, màn hình đủ lớn, thao tác thuận tiện, phần mềm trực quan (hỗ trợ tiếng Việt càng tốt).
  • Hỗ trợ coin & tính năng: Đủ coin/token bạn cần, kèm tính năng phụ như quản lý NFT, sign message, duress PIN… nếu cần.
  • Giá & hệ sinh thái: Tùy ngân sách (~100-400$), mua chính hãng, cân nhắc ví có app và hệ sinh thái đi kèm nếu muốn all-in-one.

Câu hỏi thường gặp (FAQ)

Ví Air-Gapped có an toàn hơn hardware wallet thông thường không?

Nhìn chung là có, ví Air-Gapped được xem là bổ sung thêm một tầng bảo mật so với ví phần cứng thường. Lý do là thiết bị hoàn toàn cách ly Internet, không tương tác trực tiếp với máy tính online trong quá trình ký giao dịch, nên loại bỏ được thêm nguy cơ malware xâm nhập. 

Có thể ký giao dịch Ethereum/Bitcoin bằng QR và PSBT như thế nào?

Với Bitcoin, anh em sử dụng chuẩn PSBT: tạo giao dịch (PSBT) trên ví online, chuyển qua QR code hoặc thẻ nhớ cho ví Air-Gapped để ký, rồi đưa lại kết quả ký về thiết bị online để phát lên mạng. 

Với Ethereum và các chain khác, hiện nay cũng có cách ký offline qua QR tương tự, tiêu biểu là chuẩn EIP-4527 ra đời cuối 2023 nhằm thống nhất cách mã hóa giao dịch bằng QR giữa ví lạnh và ví online. Nhờ đó, nhiều ví (như AirGap Vault, Keystone) đã hỗ trợ anh em quét mã QR chứa giao dịch Ethereum để ký ngoại tuyến, rất tiện lợi và bảo mật.

Nếu mất thiết bị Air-Gapped thì khôi phục ví ra sao?

Trong trường hợp này, anh em không bị mất tiền nếu còn giữ seed phrase. Chỉ cần mua thiết bị ví mới (hoặc dùng phần mềm ví desktop) và nhập seed phrase đã backup vào, ví sẽ được khôi phục đầy đủ (cùng passphrase nếu có). Toàn bộ tài sản sẽ xuất hiện trên ví mới do blockchain lưu giữ số dư chứ không phụ thuộc thiết bị cũ. 

Ví Air-Gapped có cần Internet để sử dụng hàng ngày không?

Không cần. Ví Air-Gapped bản chất là thiết bị ngoại tuyến, anh em có thể dùng hằng ngày mà không kết nối Internet. Thông thường, ta sẽ dùng một ví online (chỉ-xem) trên điện thoại hoặc máy tính để kiểm tra số dư, nhận tiền và tạo giao dịch. Còn thiết bị Air-Gapped thì luôn offline, chỉ bật lên khi cần ký giao dịch rồi chuyển dữ liệu lại cho ví online để gửi đi. 

Có nên kết hợp ví Air-Gapped với multisig để tăng bảo mật?

Có, nếu anh em sở hữu lượng tài sản lớn và muốn bảo mật tối đa. Mô hình multisig (đa chữ ký) kết hợp nhiều ví lạnh sẽ tạo lớp bảo vệ cực mạnh, kể cả khi một thiết bị bị hack hoặc mất, kẻ xấu cũng không thể đơn phương lấy tiền vì không đủ chữ ký cần thiết.