Trang chủ
Tin tức
Chi tiết

Khủng hoảng bảo mật DeFi: Người sáng lập OpenZeppelin cảnh báo tất cả các giao thức đều dễ bị tổn thương

icon MarsBit
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$83,2410,46%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18,692,91%
AI summary iconTóm tắt

expand icon
Người sáng lập OpenZeppelin, Manuel Aráoz, đã cảnh báo rằng tất cả các giao thức DeFi đều đang gặp rủi ro do các cuộc khai thác DeFi được hỗ trợ bởi AI. Ông đã khuyên những người thân cận rút tiền khỏi Aave, MakerDAO và các nền tảng khác. Một vụ vi phạm bảo mật lớn đã xảy ra với Drift Protocol vào tháng Tư, gây thiệt hại 2,8 tỷ USD, tiếp theo là hơn 100 triệu USD vào tháng Năm. Aráoz cho rằng AI hiện có thể phát hiện các lỗ hổng trong hợp đồng thông minh theo thời gian thực, khiến các nhà đầu tư DeFi phải đối mặt với những mối đe dọa mới.

Bản gốc | Odaily Star Daily (@OdailyChina)

Tác giả | Azuma (@azuma_eth)

DeFi

Tôi nghĩ tất cả các dự án DeFi đều không còn an toàn.

Câu khẳng định của Manuel Aráoz, người sáng lập OpenZeppelin, để lại trên X hôm qua, giống như một quả bom dưới nước,再一次冲击了本就如死水一潭的 DeFi 市场。

DeFi

Manuel thậm chí cho biết, anh ấy đã bắt đầu khuyên người thân và bạn bè rút vốn ra khỏi các giao thức DeFi lớn, bao gồm cả những giao thức từng được xem là blue-chip và ít rủi ro như Aave, MakerDAO và Compound.

Đây không phải là lời đe dọa từ một người ngoài ngành. Ngược lại, chính Manuel là một trong những người xây dựng cốt lõi nhất của hệ sinh thái bảo mật DeFi, còn OpenZeppelin là một trong những công ty kiểm toán bảo mật phổ biến nhất trong ngành, với thư viện hợp đồng, tiêu chuẩn bảo mật và khung kiểm toán của họ gần như thâm nhập vào toàn bộ thế giới DeFi.

Nguyên nhân khiến thái độ của Manuel thay đổi hoàn toàn là do AI. Manuel lo ngại rằng khả năng của AI Coding Agent trong việc phát hiện và khai thác lỗ hổng hợp đồng thông minh đang tăng theo cấp số nhân.

Điều này có nghĩa là những vấn đề trước đây cần đội ngũ white hat hàng đầu vài tuần mới phát hiện ra, giờ đây có thể được AI quét ra trong vài phút; trước đây hacker cần nghiên cứu lâu dài về logic giao thức, giờ đây có thể trực tiếp sử dụng AI để tự động phân tích đường đi tấn công; trước đây tính “minh bạch công khai” của DeFi là lợi thế, giờ đây lại trở thành kho dữ liệu huấn luyện tốt nhất cho kẻ tấn công.

Manuel còn đề cập đến một vấn đề nghiêm trọng hơn: bảo mật hợp đồng thông minh về bản chất là một trò chơi cực kỳ bất cân xứng — bên phòng thủ phải vá hết mọi lỗ hổng, trong khi bên tấn công chỉ cần tìm ra một lỗ hổng là đủ để đánh cắp tiền. Sau khi AI bắt đầu tăng hiệu quả tấn công theo cấp số nhân, sự bất cân xứng này đang nhanh chóng mất cân bằng.

Thực tế lạnh lùng: DeFi đã trở thành máy rút tiền của tin tặc

Nhìn lại các sự cố bảo mật DeFi trong vài tháng qua, bạn sẽ thấy nỗi lo của Manuel không hề phóng đại.

Tháng Tư gần như là tháng tồi tệ nhất trong lịch sử DeFi.

  • Vào ngày 1 tháng 4, nhân dịp Ngày Cá tháng Tư, Drift Protocol đã bị đánh cắp 280 triệu USD do lỗ hổng quyền quản trị và lỗ hổng thực thi đa chữ ký (xem thêm bài viết: “Cú lừa Ngày Cá tháng Tư? Drift Protocol bị đánh cắp hơn 280 triệu USD, có thể trở thành vụ trộm DeFi lớn thứ hai trong hệ sinh thái Solana”).
  • Sau đó, vào ngày 19 tháng 4, Kelp DAO bị đánh cắp 292 triệu USD do giao thức cầu bị xâm phạm (xem chi tiết bài viết “DeFi lại bị đánh cắp 292 triệu USD, lần này ngay cả Aave cũng không an toàn?”), kẻ tấn công sau đó sử dụng các giao thức cho vay như Aave để tẩu tán tài sản, khiến toàn bộ hệ sinh thái DeFi chìm trong bóng tối của nợ xấu và các tác động lan truyền.

Sau khi bước vào tháng Năm, sự cố không những không giảm mà còn lan rộng hơn.

  • Ngày 15 tháng 5, THORChain đã bị tấn công, các nhà vận hành nút mới đã khai thác lỗ hổng trong sơ đồ chữ ký ngưỡng GG20 (TSS) để tái tạo khóa riêng của kho, thực hiện trực tiếp các giao dịch ra ngoài, gây tổn thất hơn 10 triệu USD.
  • Vào ngày 18 tháng 5, giao thức cầu nối của Verus đã bị tấn công, khi kẻ tấn công giả mạo payload nhập khẩu liên chuỗi, vượt qua xác minh để rút tài sản từ kho dự trữ Ethereum, đánh cắp khoảng 11,58 triệu USD.
  • Ngày 19 tháng 5, Echo Protocol trên Monad đã bị tấn công do rò rỉ khóa riêng, kẻ tấn công đã đúc 1.000 eBTC (giá trị 76,7 triệu USD) và rút tiền thông qua kênh tấn công đã được kiểm tra trước đó qua Curvance.
  • Ngày 24 tháng 5, nhà phát hành stablecoin tuân thủ trong khung quy định MiCA, StablR, đã bị tấn công, kẻ tấn công kiếm lợi hơn 2,8 triệu USD thông qua việc phát hành thêm EURR và USDR, khiến EURR và USDR mất liên kết.
  • Ngày 25 tháng 5, mô-đun SquidRouter đã bị tấn công, khiến 86 ví Gnosis Safe bị đánh cắp khoảng 3 triệu USD tài sản.
  • Ngày 27 tháng 5, khóa riêng của người triển khai StakeDAO trên Arbitrum bị rò rỉ, kẻ tấn công đã đúc khoảng 5,45 nghìn tỷ vsdCRV và một phần đổi thành 43,7 ETH để trốn thoát.

Các sự kiện bảo mật xảy ra thường xuyên đã cảnh báo rằng, từ mã trên chuỗi đến quản lý ngoài chuỗi, DeFi dường như đang thất thủ trên toàn tuyến.

AI đã trở thành vũ khí hạt nhân của tin tặc

Tại sao cuộc tấn công và phòng thủ DeFi lại bùng nổ mạnh mẽ vào mùa hè năm nay? Ngoài sự tiến hóa của các kỹ thuật hack truyền thống, khả năng vượt bậc của các mô hình AI lớn đang trở thành trọng lượng quyết định phá vỡ sự cân bằng.

Trước đây, việc tìm kiếm lỗ hổng trong hợp đồng thông minh phức tạp (đặc biệt là liên quan đến cross-chain, lồng ghép nhiều lớp, hoặc logic reentrancy cực kỳ tinh vi) đòi hỏi các hacker hàng đầu hàng tuần乃至 hàng tháng để phân tích mã. Tuy nhiên, với sự trưởng thành của các AI Agent có khả năng xử lý ngữ cảnh siêu dài, suy luận logic mạnh mẽ và tự động gọi công cụ, mọi thứ đã thay đổi căn bản.

  • Quét theo giây và khai thác “lỗ hổng zero-day” trên toàn mạng: Kẻ tấn công chỉ cần cung cấp thư viện mã nguồn mở cho mô hình suy luận AI thế hệ mới, AI có thể trong vài giây suy diễn hàng trăm kịch bản tương tác cực đoan, giống như một chuyên gia bảo mật giàu kinh nghiệm, phát hiện chính xác các điều kiện biên mà các chuyên gia kiểm toán con người bỏ sót khi mệt mỏi.
  • Tạo script tấn công tự động: AI không chỉ có thể phát hiện lỗ hổng, mà còn tự động viết, kiểm thử và triển khai các “hợp đồng thông minh hacker” nhằm khai thác vốn.
  • Sự phối hợp hoàn hảo giữa DevOps ngoại tuyến và xã hội học: AI có thể giả dạng là nhà phát triển hoàn hảo để thực hiện các cuộc tấn công lừa đảo, hoặc giám sát liên tục các bản ghi commit của nhóm DeFi trên GitHub. Ngay khi nhóm tải lên các mã sửa lỗi chứa thông tin nhạy cảm hoặc chưa được xác minh, AI sẽ khởi động cuộc tấn công trong vài giây — nhanh hơn nhiều so với thời gian phản ứng của nhân viên an ninh con người.

Trong cuộc chiến phòng thủ và tấn công được hỗ trợ bởi AI này, tin tặc sử dụng AI để có lượng đạn gần như vô hạn và tốc độ tấn công trong vài giây, trong khi DeFi lại bị hạn chế bởi quy trình bỏ phiếu quản trị chậm chạp, xác nhận đa chữ ký và kiểm toán bảo mật chậm trễ, khiến việc phản ứng phòng thủ tương ứng trở nên khó khăn.

Tháng trước, công ty phát triển AI đằng sau Claude, Anthropic, chính thức công bố mô hình thế hệ mới Mythos (xem chi tiết trong bài viết “Anthropic đã tạo ra mô hình AI mạnh nhất mọi thời đại, nhưng chưa dám phát hành…”). Đây là mô hình đầu tiên trong lịch sử nhân loại có tổng tham số vượt quá mức mười nghìn tỷ (so với đó, các mô hình phổ biến hiện nay trên thị trường có tham số trong phạm vi hàng trăm tỷ đến một nghìn tỷ), với chi phí huấn luyện lên tới 10 tỷ USD.

Tuy nhiên, do khả năng chuyên sâu của Mythos trong lĩnh vực an ninh mạng (Anthropic từng tiết lộ rằng công ty đã xác định được hàng ngàn lỗ hổng zero-day chỉ trong vài tuần bằng cách sử dụng Mythos), Anthropic thậm chí không dám công bố trực tiếp mô hình này để tránh nguy cơ bị cộng đồng hacker lạm dụng, mà kế hoạch ban đầu là cho các công ty lớn hàng đầu thử nghiệm thông qua chương trình “Glass Wing” nhằm phát hiện và vá các lỗ hổng tiềm ẩn trước.

Tình hình bảo mật của DeFi hiện nay vẫn hết sức nghiêm trọng, khó có thể tưởng tượng được rằng sau khi Mythos được công bố, các biện pháp phòng thủ bảo mật trong ngành sẽ đối mặt với những mối đe dọa mới nào.

Vấn đề lớn nhất: Tỷ lệ rủi ro-lợi nhuận đã mất cân bằng từ lâu

Đối với những người tham gia DeFi thông thường, người cung cấp thanh khoản (LP) và các đại gia, vấn đề quan trọng nhất hiện nay là ngồi lại và tính toán một cách cẩn thận.

Trong thời gian dài, người dùng chọn gửi vốn vào DeFi nhằm theo đuổi lợi suất hàng năm cao gấp nhiều lần so với tài chính truyền thống. Trong các giai đoạn thị trường tăng điểm hoặc khi đào thanh khoản bùng nổ, lợi nhuận 10%, 20% hoặc cao hơn đủ để bù đắp kỳ vọng tâm lý của người dùng về “rủi ro công nghệ tiềm ẩn”.

Nhưng ngày nay, logic nền tảng này đã bị lung lay thậm chí đảo ngược, tỷ lệ rủi ro-lợi nhuận của DeFi đã mất cân bằng. Về phía lợi nhuận, khi thị trường bước vào giai đoạn cạnh tranh存量, lớp đệm an toàn được gia cố, lợi suất thực tế của hầu hết các giao thức DeFi chính thống và tương đối đáng tin cậy đã giảm xuống mức một chữ số; về phía rủi ro, vốn của người dùng đang phải đối mặt với một hộp đen có thể bị AI xâm phạm hoặc bị xóa sạch trong chớp mắt bởi các khoản vay chớp nhoáng — chỉ trong vài phút, nếu giao thức bị tấn công bởi hacker, token có thể về 0 và quỹ thanh khoản bị rút cạn, và không có bất kỳ pháp lý, bảo hiểm hay ngân hàng trung ương nào có thể bảo hiểm cho điều này.

Rủi ro mất 100% vốn để đánh cược với lợi nhuận hàng năm khoảng 5% rõ ràng không phải một thương vụ hợp lý.

Lời của Manuel có thể hơi tuyệt đối, nhưng nó đã lột trần lớp màn che giấu cuối cùng của DeFi. Trước thực tế rằng các tin tặc đã biến AI thành vũ khí thông thường và các sự cố bảo mật trong ngành liên tục bùng phát, nếu bạn chưa sẵn sàng tâm lý chấp nhận mất 100% vốn để đổi lấy một mức lợi nhuận nhất định, thì “rút vốn nhanh chóng và chốt lời” có lẽ là lựa chọn hợp lý nhất và tuân thủ tốt nhất nguyên tắc quản lý rủi ro trong chu kỳ thị trường hiện tại.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.