Chip ESP32 được dùng cho rất nhiều thiết bị kết nối. Từ đồ gia dụng thông minh đến một số ví lạnh Bitcoin. Đầu năm 2025, thông tin về một tính năng Bluetooth ẩn trên chip ESP32 đã khiến cộng đồng bảo mật lo ngại, bao gồm cả những người dùng ví lạnh Blockstream Jade. Trong bài viết này, hãy cùng tìm hiểu cần lưu ý gì khi lưu trữ Bitcoin với Jade và ESP32 nhé!
Chip ESP32 là gì?
ESP32 là dòng vi điều khiển giá rẻ do Espressif Systems ra mắt năm 2016. Nhờ tích hợp kết nối không dây, giá thành rẻ và tính linh hoạt, ESP32 được sử dụng cực kỳ phổ biến trong các thiết bị IoT (Internet kết nối vạn vật). Trong thực tế, chip ESP32 có mặt ở khắp mọi nơi: từ thiết bị nhà thông minh, cảm biến công nghiệp, đồ điện tử tự chế, cho đến một số ví lạnh Bitcoin như Blockstream Jade.
Lý do ESP32 được ưa chuộng rộng rãi bao gồm:
- Tích hợp sẵn Wi-Fi và Bluetooth: Giúp giảm số lượng linh kiện và tiết kiệm chi phí sản xuất.
- Giá rẻ và tiết kiệm điện: Phù hợp cho các thiết bị tiêu dùng đại trà và hệ thống nhúng.
- Lập trình linh hoạt: Tương thích tốt với nhiều nền tảng phổ biến như Arduino, ESP-IDF và MicroPython.
- Hệ sinh thái mã nguồn mở lớn: Tài liệu phong phú và cộng đồng hỗ trợ mạnh mẽ giúp các nhà phát triển dễ dàng tiếp cận.
Mối lo ngại về bảo mật của ESP32 và ví lạnh Bitcoin
Dù linh hoạt và giá rẻ, ESP32 ban đầu được thiết kế làm vi điều khiển IoT đa dụng, chứ không phải là một chip bảo mật chuyên dụng (secure element) dành cho các ứng dụng yêu cầu độ an toàn cao.
Đầu năm 2025, các cuộc tranh luận về bảo mật của ESP32 lại rộ lên sau những báo cáo về tính năng Bluetooth ẩn (mã lỗi CVE-2025-27840). Thông tin này đã gây xôn xao trong cộng đồng bảo mật, bao gồm cả những người đang dùng các thiết bị chạy chip ESP32 như ví lạnh Blockstream Jade. Tuy nhiên, điều này không có nghĩa là các ví lạnh Bitcoin dùng chip ESP32 mặc định là không an toàn.
Trên thực tế, độ bảo mật của ví lạnh phụ thuộc vào toàn bộ kiến trúc của thiết bị: từ cách tạo dữ liệu ngẫu nhiên (entropy), cách lưu trữ khóa, việc kết hợp nhiều nguồn ngẫu nhiên khác nhau, cho đến thiết kế phần mềm (firmware), quy trình ký giao dịch và các giả định về an toàn vật lý.
Ví dụ, Blockstream đã làm rõ rằng ví Jade không chỉ dựa vào mỗi chip ESP32 để tạo dữ liệu ngẫu nhiên khi kích hoạt ví, mà kết hợp dữ liệu từ nhiều nguồn khác nhau.
Bài học lớn ở đây là người dùng Bitcoin nên đánh giá ví lạnh dựa trên toàn bộ hệ thống, thay vì vội kết luận nó an toàn hay rủi ro chỉ dựa vào một linh kiện duy nhất.
Nguy cơ tấn công từ xa và các giả định về bảo mật ví
Một trong những lo ngại lớn nhất xung quanh bảo mật của ESP32 là các tính năng ẩn hoặc điểm yếu trong quá trình triển khai có thể làm tăng “bề mặt tấn công” (attack surface) của thiết bị, đặc biệt là khi kết nối không dây được bật.
Đối với ví lạnh Bitcoin, điều này rất quan trọng vì độ an toàn của thiết bị không chỉ phụ thuộc vào thuật toán mã hóa, mà còn phụ thuộc vào thiết kế tổng thể của hệ thống: tính toàn vẹn của phần mềm (firmware), quy trình cập nhật, luồng xác nhận của người dùng, việc cô lập khóa và cách tạo dữ liệu ngẫu nhiên (entropy).
Tuy nhiên, chúng ta không nên phóng đại vấn đề này. Một điểm yếu trong linh kiện không dây không đồng nghĩa với việc kẻ tấn công có thể tự động ký giao dịch Bitcoin, rút khóa riêng (private key) hoặc vượt qua các bước phê duyệt trên ví.
Để một cuộc tấn công như vậy thành công, kẻ xấu thường cần khai thác thêm các lỗ hổng khác — ví dụ: chiếm quyền kiểm soát đường truyền cập nhật firmware, sự phân tách lỏng lẻo giữa linh kiện không dây và logic ký giao dịch, hoặc quy trình xác thực của người dùng trước khi duyệt giao dịch chưa đủ nghiêm ngặt.
Do đó, đối với trường hợp của Blockstream Jade, câu hỏi cốt lõi không đơn giản là “nó có dùng ESP32 không?”, mà là: Kiến trúc của thiết bị giới hạn quyền hạn của linh kiện ESP32 như thế nào? Firmware được xác thực ra sao? Và các “bí mật” của ví được bảo vệ bằng cách nào?
Bài học chung cho người dùng là độ an toàn của ví lạnh phải được đánh giá trên toàn bộ hệ thống. Một linh kiện đơn lẻ có thể quan trọng, nhưng nó không phản ánh toàn bộ bức tranh bảo mật.
Thực sự có “cửa sau” (backdoor) hay không?
Các báo cáo ban đầu về lỗ hổng CVE-2025-27840 đã dùng những từ ngữ khá nặng nề, bao gồm cả các cáo buộc về một “cửa sau” có thể tồn tại trên ESP32. Tuy nhiên, cách đặt vấn đề này đã bị phản bác. Các tính năng ẩn hoặc không được ghi chép đầy đủ trong tài liệu hướng dẫn có thể làm tăng khả năng bị tấn công của các thiết bị kết nối, đặc biệt là khi bật các giao tiếp không dây. Nhưng điều đó không có nghĩa là thiết bị tự động bị xâm nhập từ xa, hay khóa riêng (private key) có thể bị đánh cắp.
Đối với người dùng các thiết bị như Blockstream Jade, câu hỏi cần quan tâm không phải là liệu một linh kiện có nằm trong báo cáo lỗ hổng hay không, mà là toàn bộ kiến trúc của ví giới hạn quyền hạn của linh kiện đó như thế nào. Dựa trên các thông tin hiện tại, tranh cãi về ESP32 không cho thấy tiền của người dùng Jade gặp rủi ro trong quá trình sử dụng bình thường.
So sánh Jade và Jade+: Đâu là điểm khác biệt?
Với những ai đang cân nhắc mua, cần lưu ý rằng cả Blockstream Jade bản gốc và bản Jade Plus đều sử dụng kiến trúc dựa trên chip ESP32. Tuy nhiên, Jade Plus đã nâng cấp lên nền tảng ESP32-S3 đời mới hơn, đồng thời bổ sung nhiều cải tiến phần cứng thực tế bao gồm: màn hình lớn hơn, hiệu suất nhanh hơn, quét mã QR mượt mà hơn và mở rộng các tùy chọn kết nối.
Những cải tiến này giúp Jade Plus trở thành lựa chọn thoải mái hơn cho những người dùng cần sử dụng thiết bị thường xuyên, thích trải nghiệm quét mã QR mượt mà hoặc muốn sở hữu mẫu phần cứng mới nhất từ Blockstream. Trong khi đó, phiên bản Jade gốc vẫn là một lựa chọn nhỏ gọn và tiết kiệm chi phí hơn cho những ai chỉ cần một thiết bị ký giao dịch chuyên dụng cho Bitcoin mà không quá bận tâm đến màn hình lớn hay các tính năng phần cứng nâng cấp.
Do đó, những tranh luận về ESP32 không nên bị hiểu lầm theo kiểu “Jade bản cũ thì nguy hiểm, Jade Plus mới an toàn”. Cả hai thiết bị đều cần được đánh giá dựa trên cùng một câu hỏi cốt lõi: Liệu tổng thể kiến trúc ví, quy trình xác thực firmware, luồng ký giao dịch và thiết kế tạo dữ liệu ngẫu nhiên (entropy) của Blockstream có đáp ứng đúng nhu cầu của người dùng hay không.
Một điểm quan trọng là cuộc thảo luận về lỗ hổng CVE-2025-27840 chỉ liên quan đến các lệnh HCI ẩn trong bộ điều khiển Bluetooth của dòng chip ESP32 đời đầu. Espressif đã tuyên bố rằng các dòng chip ESP32-S bao gồm cả nền tảng ESP32-S3 được sử dụng trên Jade Plus không bị ảnh hưởng bởi các lệnh cụ thể này.
Dựa trên các thông tin hiện tại, chúng tôi không thấy có lý do thực tế nào để khuyên người dùng từ bỏ một trong hai dòng ví Jade. Đối với phần lớn những người nắm giữ Bitcoin, rủi ro khi lưu trữ một lượng tài sản lớn trên điện thoại, máy tính hoặc tài khoản sàn giao dịch vẫn lớn hơn rất nhiều so với những rủi ro mang tính lý thuyết trên các tiêu đề báo giật gân về ESP32.
Kết luận
Tóm lại, việc chip IoT giá rẻ ESP32 dính phốt lỗi Bluetooth (CVE-2025-27840) và bị đồn có “cửa sau” thực chất đã bị báo chí phóng đại, bởi kẻ xấu hoàn toàn không thể từ xa lấy cắp private key hay tự ký giao dịch của bạn. Độ an toàn của một chiếc ví lạnh phụ thuộc vào toàn bộ kiến trúc hệ thống của nó (cách tạo entropy, cô lập khóa, xác thực firmware) chứ không do một linh kiện quyết định. Cả Jade bản cũ và Jade Plus (chạy chip ESP32-S3 đời mới vốn không bị ảnh hưởng bởi lỗi này) đều an toàn. Vì vậy người dùng không cần hoang mang, chỉ cần mua ví từ nguồn uy tín và luôn cập nhật firmware mới nhất, bởi việc tự giữ Bitcoin trên ví lạnh vẫn an toàn hơn rất nhiều so với để trên sàn giao dịch, điện thoại hay máy tính.
Bạn đang tìm mua ví lạnh Blockstream Jade tại Việt Nam?
Nếu bạn đang ở Việt Nam và muốn nâng cao độ bảo mật cho số Bitcoin của mình, đối tác của chúng tôi tại BitcoinVN Shop là đại lý phân phối chính thức các dòng ví lạnh của Blockstream từ phiên bản quốc dân Blockstream Jade cho đến dòng nâng cấp Blockstream Jade Plus dành cho những ai thích trải nghiệm phần cứng cao cấp và mượt mà hơn.
Dù bạn đang bắt đầu tự lưu trữ crypto hay muốn nâng cấp giải pháp bảo mật hiện tại, đội ngũ của chúng tôi luôn sẵn sàng hỗ trợ để giúp bạn tìm ra phương án phù hợp nhất với nhu cầu bảo mật và ngân sách của mình.
Bạn cần tư vấn chuyên sâu về An ninh mạng & Lưu trữ Bitcoin?
Đối với các cá nhân sở hữu tài sản lớn, doanh nghiệp, hoặc người có nhu cầu lập kế hoạch thừa kế tài sản số, BitcoinVN Consulting cung cấp các buổi tư vấn 1-1 chuyên sâu về: tự lưu trữ an toàn, kiến trúc ví, kiểm soát quyền truy cập và bảo mật vận hành tổng thể.
Chúng tôi sẽ thiết kế giải pháp theo đúng nhu cầu của bạn, từ người mới bắt đầu đến những khách hàng muốn bảo vệ tài sản dài hạn.
Dịch vụ của chúng tôi được đúc kết từ hơn một thập kỷ kinh nghiệm vận hành thực tế trong ngành Bitcoin. Chứng kiến quá nhiều tổn thất đáng tiếc do sai lầm sơ đẳng và quy trình lỏng lẻo, BitcoinVN Consulting tự tin giúp bạn xây dựng một hệ thống lưu trữ và bảo mật tối ưu, tương xứng với quy mô tài sản của bạn.
