Trang chủ
Tin tức
Chi tiết

Khủng hoảng bảo mật DeFi: Kiểm toán viên hàng đầu cảnh báo tất cả các giao thức đều dễ bị tổn thương

iconOdaily
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$60,544-5,93%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$17,693,75%
AI summary iconTóm tắt

expand icon
Theo Manuel Aráoz, người sáng lập OpenZeppelin, rủi ro khai thác DeFi đang tăng nhanh, khi ông cảnh báo tất cả các giao thức hiện đều dễ bị tổn thương. Ông kêu gọi bạn bè và người thân rút tiền khỏi các nền tảng như Aave và Compound. Các sự cố vi phạm bảo mật đã gia tăng đột biến, với 2,8 tỷ USD bị đánh cắp từ Drift Protocol và 2,92 tỷ USD từ Kelp DAO vào tháng Tư. Aráoz liên hệ xu hướng này với các công cụ hack được hỗ trợ bởi AI, có khả năng nhanh chóng phát hiện lỗ hổng trong hợp đồng thông minh. Các nhà đầu tư DeFi hiện đối mặt với cân bằng rủi ro-lợi nhuận tồi tệ hơn, khi tổn thất có khả năng vượt quá lợi nhuận.

Bản gốc | Odaily Star Daily (@OdailyChina)

Tác giả | Azuma (@azuma_eth)

Tôi nghĩ tất cả DeFi đều không còn an toàn.

Câu khẳng định của Manuel Aráoz, người sáng lập OpenZeppelin, để lại trên X hôm qua, giống như một quả bom dưới nước,再一次冲击了本就如死水一潭的 DeFi 市场。

Manuel thậm chí cho biết, anh ấy đã bắt đầu khuyên người thân và bạn bè rút vốn ra khỏi các giao thức DeFi lớn, bao gồm cả những giao thức từng được xem là blue-chip và ít rủi ro như Aave, MakerDAO và Compound.

Đây không phải là lời đe dọa từ một người ngoài ngành. Ngược lại, chính Manuel là một trong những người xây dựng cốt lõi nhất của hệ sinh thái bảo mật DeFi, còn OpenZeppelin là một trong những công ty kiểm toán bảo mật phổ biến nhất trong ngành, với thư viện hợp đồng, tiêu chuẩn bảo mật và khung kiểm toán của họ gần như thấm nhuần toàn bộ thế giới DeFi.

Nguyên nhân khiến thái độ của Manuel chuyển biến hoàn toàn là do AI. Manuel lo ngại rằng khả năng của AI Coding Agent trong việc phát hiện và khai thác lỗ hổng hợp đồng thông minh đang tăng theo cấp số nhân.

Điều này có nghĩa là những vấn đề trước đây cần đội ngũ white hat hàng đầu vài tuần mới phát hiện ra, giờ đây có thể được AI quét ra trong vài phút; trước đây hacker cần nghiên cứu lâu dài về logic giao thức, giờ đây có thể trực tiếp sử dụng AI để tự động phân tích đường đi tấn công; trước đây tính “minh bạch công khai” của DeFi là lợi thế, giờ đây lại trở thành kho dữ liệu huấn luyện tốt nhất cho kẻ tấn công.

Manuel cũng đề cập đến một vấn đề nghiêm trọng hơn: bảo mật hợp đồng thông minh bản chất là một trò chơi cực kỳ bất cân xứng — bên phòng thủ phải vá hết tất cả lỗ hổng, trong khi bên tấn công chỉ cần tìm ra một lỗ hổng là đủ để đánh cắp tiền. Sau khi AI bắt đầu tăng hiệu quả tấn công theo cấp số nhân, sự bất cân xứng này đang nhanh chóng mất cân bằng.

Thực tế lạnh lùng: DeFi đã trở thành máy rút tiền của tin tặc

Nhìn lại các sự cố bảo mật DeFi trong vài tháng qua, bạn sẽ thấy nỗi lo của Manuel không hề quá đáng.

Tháng Tư gần như là tháng tồi tệ nhất trong lịch sử DeFi.

Sau khi bước vào tháng Năm, sự cố không những không giảm mà còn lan rộng hơn.

  • Ngày 15 tháng 5, THORChain đã bị tấn công, các nhà vận hành nút mới đã khai thác lỗ hổng trong sơ đồ chữ ký ngưỡng GG20 (TSS) để tái tạo khóa riêng của kho, thực hiện trực tiếp các giao dịch ra ngoài, gây tổn thất hơn 10 triệu USD.
  • Vào ngày 18 tháng 5, giao thức cầu nối của Verus đã bị tấn công, khi kẻ tấn công giả mạo payload nhập khẩu liên chuỗi, vượt qua xác minh để rút tài sản từ kho dự trữ Ethereum, đánh cắp khoảng 11,58 triệu USD.
  • Ngày 19 tháng 5, Echo Protocol trên Monad đã bị tấn công do rò rỉ khóa riêng, kẻ tấn công đã đúc 1.000 eBTC (giá trị 76,7 triệu USD) và rút tiền thông qua con đường tấn công đã được kiểm tra trước đó qua Curvance.
  • Ngày 24 tháng 5, StablR – nhà phát hành stablecoin tuân thủ trong khung quy định MiCA – đã bị tấn công, với hacker thu lợi hơn 2,8 triệu USD thông qua việc phát hành thêm EURR và USDR, khiến EURR và USDR mất liên kết.
  • Ngày 25 tháng 5, mô-đun SquidRouter đã bị tấn công, khiến 86 ví Gnosis Safe bị đánh cắp khoảng 3 triệu USD tài sản.
  • Ngày 27 tháng 5, khóa riêng của người triển khai StakeDAO trên Arbitrum bị rò rỉ, kẻ tấn công đã đúc khoảng 5,45 nghìn tỷ vsdCRV và một phần đổi thành 43,7 ETH để trốn thoát.

Các sự kiện bảo mật xảy ra thường xuyên đã cảnh báo rằng, từ mã trên chuỗi đến quản lý ngoài chuỗi, DeFi dường như đang thất thủ trên toàn tuyến.

AI đã trở thành vũ khí hạt nhân của tin tặc

Tại sao cuộc tấn công và phòng thủ DeFi lại bùng nổ mạnh mẽ vào mùa hè năm nay? Ngoài sự tiến hóa của các kỹ thuật hack truyền thống, khả năng đột phá của các mô hình AI lớn đang trở thành trọng lượng quyết định phá vỡ sự cân bằng.

Trước đây, việc tìm kiếm lỗ hổng trong hợp đồng thông minh phức tạp (đặc biệt là những liên quan đến cross-chain, lồng ghép nhiều lớp, hoặc logic reentrancy cực kỳ tinh vi) đòi hỏi các hacker hàng đầu hàng tuần乃至 hàng tháng để phân tích mã. Tuy nhiên, với sự trưởng thành của các AI Agent có khả năng xử lý ngữ cảnh siêu dài, suy luận logic mạnh mẽ và tự động gọi công cụ, mọi thứ đã thay đổi căn bản.

  • Quét theo giây và khai thác “lỗ hổng zero-day” trên toàn mạng: Kẻ tấn công chỉ cần cung cấp thư viện mã nguồn mở cho mô hình suy luận AI thế hệ mới, AI có thể trong vài giây suy diễn hàng trăm kịch bản tương tác cực đoan, giống như một chuyên gia bảo mật giàu kinh nghiệm, phát hiện chính xác các điều kiện biên mà các nhà kiểm toán con người bỏ sót khi mệt mỏi.
  • Tạo script tấn công tự động: AI không chỉ có thể phát hiện lỗ hổng, mà còn tự động viết, kiểm thử và triển khai các “hợp đồng thông minh hacker” nhằm khai thác vốn.
  • Sự phối hợp hoàn hảo giữa DevOps ngoại tuyến và xã hội học: AI có thể giả mạo nhà phát triển hoàn hảo để thực hiện các cuộc tấn công lừa đảo, hoặc giám sát liên tục các bản ghi gửi lên GitHub của đội ngũ DeFi. Ngay khi đội ngũ tải lên các mã sửa lỗi chứa thông tin nhạy cảm hoặc chưa được xác minh, AI sẽ khởi động cuộc tấn công trong vài giây — nhanh hơn nhiều so với thời gian phản hồi của nhân viên bảo mật con người.

Trong cuộc chiến phòng thủ và tấn công được hỗ trợ bởi AI này, tin tặc sử dụng AI để có gần như vô hạn đạn và tốc độ tấn công trong vài giây, trong khi DeFi lại bị giới hạn bởi quy trình bỏ phiếu quản trị chậm chạp, xác nhận đa chữ ký và kiểm toán bảo mật chậm trễ, khiến việc phản ứng phòng thủ tương ứng trở nên khó khăn.

Tháng trước, công ty phát triển AI đằng sau Claude, Anthropic, chính thức công bố mô hình thế hệ mới Mythos (xem chi tiết trong bài viết Anthropic đã tạo ra mô hình AI mạnh nhất mọi thời đại, nhưng không dám phát hành...). Đây là mô hình đầu tiên trong lịch sử nhân loại có tổng tham số vượt quá mức mười nghìn tỷ (so với các mô hình phổ biến hiện nay trên thị trường có tham số trong phạm vi hàng trăm tỷ đến một nghìn tỷ), với chi phí huấn luyện lên tới 10 tỷ USD.

Tuy nhiên, do khả năng chuyên sâu của Mythos trong lĩnh vực an ninh mạng (Anthropic từng tiết lộ rằng công ty này đã xác định được hàng ngàn lỗ hổng zero-day chỉ trong vài tuần sử dụng Mythos), Anthropic thậm chí không dám công bố trực tiếp mô hình này để tránh bị nhóm tin tặc lạm dụng, mà kế hoạch ban đầu là cho các công ty lớn hàng đầu thử nghiệm thông qua chương trình “Glass Wing” nhằm phát hiện và vá các lỗ hổng tiềm ẩn trước.

Tình hình bảo mật của DeFi hiện nay vẫn hết sức nghiêm trọng, khó có thể tưởng tượng được rằng sau khi Mythos được công bố, các biện pháp phòng vệ an toàn trong ngành sẽ đối mặt với những mối đe dọa mới nào.

Vấn đề lớn nhất: Tỷ lệ rủi ro-lợi nhuận đã mất cân bằng từ lâu

Đối với những người tham gia DeFi thông thường, người cung cấp thanh khoản (LP) và các đại gia, vấn đề quan trọng nhất hiện nay là ngồi lại và tính toán một cách cẩn thận.

Trong thời gian dài, người dùng chọn gửi vốn vào DeFi nhằm theo đuổi lợi suất hàng năm cao gấp nhiều lần so với tài chính truyền thống. Trong các giai đoạn thị trường tăng điểm hoặc khi đào thanh khoản đang sốt sắng, lợi nhuận 10%, 20% hoặc cao hơn đủ để bù đắp kỳ vọng tâm lý của người dùng về “rủi ro công nghệ tiềm ẩn”.

Nhưng ngày nay, logic nền tảng này đã bị lung lay thậm chí đảo ngược, tỷ lệ rủi ro-lợi nhuận của DeFi đã mất cân bằng. Về phía lợi nhuận, khi thị trường bước vào giai đoạn cạnh tranh存量, lớp đệm an toàn được gia cố, lợi suất thực tế của hầu hết các giao thức DeFi chính thống và tương đối đáng tin cậy đã giảm xuống mức một chữ số; về phía rủi ro, vốn của người dùng đang bị phơi bày trong một hộp đen có thể bị AI xâm phạm hoặc bị xóa sạch trong chớp mắt bởi các khoản vay chớp nhoáng — chỉ trong vài phút, khi giao thức bị tấn công bởi hacker, token có thể trở về 0 và quỹ thanh khoản bị rút cạn, và không có bất kỳ pháp lý, bảo hiểm hay ngân hàng trung ương nào có thể bảo hiểm cho điều này.

Rủi ro mất 100% vốn để đánh đổi lấy lợi nhuận hằng năm khoảng 5% rõ ràng không phải một thương vụ hợp lý.

Lời của Manuel có thể hơi tuyệt đối, nhưng nó đã lột trần tấm màn che giấu cuối cùng của DeFi. Trước thực tế rằng các tin tặc đã biến AI thành vũ khí thông thường và các sự cố bảo mật trong ngành liên tục bùng phát, nếu bạn chưa sẵn sàng tâm lý chấp nhận mất 100% vốn để đổi lấy một mức lợi nhuận nhất định, thì “rút vốn nhanh chóng, chốt lời” có lẽ là lựa chọn hợp lý nhất và phù hợp nhất với nguyên tắc quản lý rủi ro trong chu kỳ thị trường hiện tại.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.