Người tiên phong về an ninh tiền mã hóa: "Tôi hiện coi tất cả DeFi là không an toàn"

Các dự án tiền mã hóa trong lĩnh vực tài chính phi tập trung (DeFi) gần đây phải đối mặt với làn sóng sự cố bảo mật, và hiện tại, một trong những nhân vật tiên phong trong lĩnh vực kiểm toán hợp đồng thông minh đã tuyên bố toàn bộ không gian DeFi là không an toàn. Quan điểm này được Manuel Aráoz, đồng sáng lập OpenZeppelin, chia sẻ trên X. Ông thậm chí đã khuyên riêng bạn bè và gia đình rút tất cả các vị thế DeFi, bao gồm cả những tài sản mà nhiều người coi là “blue chips” rủi ro thấp như Aave, MakerDAO và Compound. Ông Aráoz chỉ ra những tiến bộ trong trí tuệ nhân tạo là lý do cốt lõi cho sự thay đổi này về độ tin cậy của các ứng dụng DeFi. Ông giải thích: “Các tác nhân mã hóa (coding agents) vượt trội trong việc tìm kiếm lỗ hổng, và bảo mật hợp đồng thông minh quá bất đối xứng: những người bảo vệ cần sửa mọi lỗi trong khi những kẻ tấn công chỉ cần một lỗ hổng để đánh cắp tiền”. Cuối năm ngoái, Anthropic đã công bố dữ liệu cho thấy các tác nhân AI đã trở nên có khả năng hơn nhiều trong việc phát hiện và có khả năng khai thác lỗi trong các hợp đồng thông minh tiền mã hóa. Ở giai đoạn đó, tiến bộ chủ yếu liên quan đến các vấn đề mà con người đã xác định. Mọi thứ đã thay đổi vào đầu năm nay với việc phát hành mô hình Mythos của Anthropic. Hệ thống này mạnh mẽ đến mức Anthropic giữ nó dưới sự kiểm soát chặt chẽ và chỉ cung cấp cho một nhóm đối tác hạn chế. Theo Anthropic, nó đã phát hiện ra các lỗi nghiêm trọng trong phần mềm đã chạy trong môi trường sản xuất hàng thập kỷ mà không ai nhận ra các lỗ hổng. Do những tác động bảo mật đối với không gian tiền mã hóa, các sàn giao dịch, chẳng hạn như Coinbase, được cho là đã liên hệ với Anthropic để có quyền truy cập vào Mythos. Theo quan điểm của ông Aráoz, một vụ tấn công DeFi lớn vào năm ngoái đã gây ra một làn sóng lo ngại trong lĩnh vực DeFi vì nó nhắm vào một lỗ hổng trong hợp đồng thông minh đã hoạt động trong nhiều năm, sống sót qua nhiều cuộc kiểm toán và có tiếng là vững chắc. Vụ khai thác trị giá 120 triệu USD diễn ra theo cách tương tự như vụ lừa đảo "penny-skimming" trong bộ phim Office Space. Gần đây hơn, tháng 4 nổi bật là tháng tồi tệ nhất được ghi nhận về số lượng lớn các vụ tấn công tiền mã hóa, với các sự cố xảy ra với tần suất gần như một vụ mỗi ngày. Triều Tiên đã được liên kết với phần lớn số tiền bị đánh cắp thông qua các cuộc tấn công này trong năm nay, mặc dù chế độ này đã đưa ra một lời phủ nhận hiếm hoi về sự liên quan vào tháng trước. Chỉ cuối tuần trước, một sự cố khác đã xảy ra khi nhà phát hành stablecoin StablR bị xâm phạm hệ thống. Hệ thống này dựa vào ví đa chữ ký 1-trong-3 để đúc tiền, nghĩa là một khóa duy nhất có thể phê duyệt các hành động, và một kẻ tấn công đã giành quyền kiểm soát một khóa, tự thêm mình làm quản trị viên, loại bỏ các nhà điều hành hợp pháp và đúc khoảng 13,5 triệu USD stablecoin không được hỗ trợ. Chúng đã hoán đổi các token trên các sàn giao dịch phi tập trung và thu về khoảng 1.115 ether, trị giá gần 3 triệu USD vào thời điểm đó. Như sự cố StablR đã minh họa, thực tế cho thấy không phải tất cả các vụ tấn công đều bắt nguồn từ lỗi hợp đồng thông minh. Các yếu tố tấn công kỹ thuật xã hội và tập trung thường đóng vai trò quyết định, ngay cả trong các dự án tự quảng bá là phi tập trung. Quyền quản trị, lỗi quản lý khóa và bảo mật vận hành kém thường mở ra cánh cửa rộng hơn bất kỳ lỗ hổng mã nào. Mặc dù những điểm tập trung này đã nhiều lần chứng tỏ là mắt xích yếu, một số người trong ngành tiền mã hóa đồng ý với Aráoz rằng một hình thức DeFi có kiểm soát có thể là con đường thực tế duy nhất cho hiện tại. Uttam Singh, kỹ sư quan hệ nhà phát triển cấp cao tại nhà cung cấp cơ sở hạ tầng blockchain Alchemy, đã kêu gọi áp dụng các cầu dao ngắt mạch, khóa thời gian đối với các thay đổi, hội đồng bảo mật có quyền tạm dừng khẩn cấp và giới hạn tỷ lệ đối với việc niêm yết tài sản mới. Ông lập luận rằng lĩnh vực này đơn giản là chưa đủ trưởng thành để hoạt động mà không có những biện pháp bảo vệ đó vào thời điểm hiện tại. Những người khác đã phản đối mạnh mẽ. Người sáng lập Aave Chan Initiative, Marc Zeller, gọi quan điểm của Aráoz là "một điều ngu ngốc để nói", lưu ý rằng chưa đến 10% các vấn đề DeFi trong năm qua bắt nguồn từ mã nguồn thực tế. Một số nhà phê bình còn đi xa hơn và gán nhãn các bình luận của Aráoz là không gì khác ngoài tiếp thị nỗi sợ hãi vì lợi ích của OpenZeppelin. Aráoz đã làm rõ rằng ông không bao giờ giới hạn vấn đề chỉ ở mã hợp đồng thông minh mà là ở bảo mật rộng hơn, bao gồm các tham số, thiết kế cơ chế và bảo mật vận hành (opsec). Ông viết: "Các tác nhân mã hóa cũng siêu phàm trong việc tìm ra những lỗ hổng đó, và quan điểm của tôi vẫn đúng". Cần lưu ý rằng OpenZeppelin đã lên X để làm rõ rằng các bình luận của Aráoz không phù hợp với quan điểm chính thức của công ty về vấn đề này, vì Aráoz đã rời công ty vào năm 2019. Cặp đôi người sáng lập Uniswap Hayden Adams và người sáng lập Aave Stani Kulechov cũng chỉ ra rằng các công cụ AI tương tự được những kẻ tấn công sử dụng cũng có thể được sử dụng để phòng thủ, điều này, trớ trêu thay, sẽ làm cho các hệ thống này trở nên kiên cường và an toàn hơn theo thời gian. Kulechov đã đăng trên X: "DeFi liên tục phát triển, nhưng giả vờ rằng ngành này chưa trưởng thành đáng kể hoặc AI chỉ là một yếu tố tiêu cực đối với bảo mật DeFi là hoàn toàn không đúng. Các khả năng AI tương tự mà những kẻ tấn công sử dụng cũng ngày càng được các nhà nghiên cứu bảo mật, kiểm toán viên và whitehat sử dụng để củng cố các giao thức. DeFi sẽ thắng". turing completeness is a bitch https://t.co/ZCs1yRTrSx — Alex B 👾 (@bergealex4) May 27, 2026 Bản thân Bitcoin được cho là an toàn hơn một chút trước cùng loại tấn công do AI điều khiển. Ethereum và các nền tảng tương tự dựa vào các ngôn ngữ hợp đồng thông minh hoàn chỉnh Turing như Solidity, và thiết kế đó cho phép logic phức tạp cao, có trạng thái với vô số tương tác có thể, điều này mở rộng bề mặt tấn công đáng kể. Ngược lại, ngôn ngữ kịch bản của Bitcoin cố ý không hoàn chỉnh Turing và nhằm mục đích giữ cho hệ thống đơn giản và dễ đoán hơn. Mặc dù vậy, Block của Jack Dorsey đã khởi động một sáng kiến có tên Project Loupe sử dụng các tác nhân AI để chủ động quét phần mềm mã nguồn mở liên quan đến Bitcoin để tìm lỗ hổng, giống như những gì Adams và Kulechov đã đề cập như một phản biện đối với tuyên bố của Aráoz. Dự án tạo ra các báo cáo chi tiết với các trường hợp thử nghiệm bằng chứng khái niệm và cung cấp dịch vụ quét miễn phí để giúp những người bảo trì duy trì.