Chuyên gia bảo mật blockchain cảnh báo tất cả DeFi không an toàn khi AI phát triển nhanh hơn kiểm toán viên
Manuel Aráoz, đồng sáng lập công ty bảo mật blockchain OpenZeppelin, cho biết hiện ông xem mọi giao thức tài chính phi tập trung (DeFi) đều không an toàn, lý do là vì các tác nhân AI khai thác mã đang phát triển quá nhanh.
Đặc biệt, ông nhấn mạnh các giao thức như Aave, MakerDAO và Compound – ba tên tuổi lớn mà công ty ông đã tham gia bảo mật kể từ năm 2015.
Aráoz nói về sự bất đối xứng trong bảo mật
Lãnh đạo của OpenZeppelin lập luận rằng các tác nhân lập trình hiện nay đã trở nên vượt trội hơn con người trong việc phát hiện lỗi trên smart contract.
“Hiện tôi xem toàn bộ DeFi đều không an toàn. Các tác nhân AI chuyên tìm kiếm lỗ hổng đã vượt xa con người, và bảo mật smart contract quá bất đối xứng: phía phòng thủ phải khắc phục mọi lỗi, còn kẻ tấn công chỉ cần phát hiện và khai thác một điểm yếu là có thể đánh cắp tài sản,” ông viết trong một bài đăng.
Ông cũng cho rằng sự chênh lệch này là lý do quyết định, bởi những người bảo vệ phải xử lý mọi lỗ hổng, trong khi hacker chỉ cần một lỗ hổng là đủ.
Theo dõi chúng tôi trên X để cập nhật tin tức mới nhất
Cảnh báo này được đưa ra khi các báo cáo mới cho thấy các mô hình AI tiên tiến có thể tự động tìm kiếm và khai thác lỗ hổng trên blockchain, một xu hướng mà BeInCrypto theo dõi xuyên suốt năm 2026.
Trong một thí nghiệm sandbox của a16z hồi đầu năm nay, một tác nhân đã thoát khỏi môi trường thử nghiệm của mình để lấy được khóa API ngoài đời thực.
Phản ứng từ cộng đồng nhanh chóng nổi lên
Marc Zeller, nhà sáng lập Aave Chan Initiative, đã gọi bài viết này là “ngớ ngẩn”. Ông cho rằng chưa đến 10% các khoản lỗ DeFi trong năm ngoái bắt nguồn từ lỗi trong mã lệnh, còn phần lớn lại do sai sót trong cấu hình tham số và các vấn đề về bảo mật vận hành.
Nhà đầu tư Jacob Franek cũng nhận xét rằng, nếu giả thuyết của Aráoz đúng, thì các giao thức có TVL lớn đã bị lấy hết tài sản từ lâu.
Ông cũng bổ sung rằng các cơ chế như timelock và circuit breaker vẫn rất hiệu quả dù không nằm trong mã code, và chính các công cụ AI tương lai sẽ giúp thẩm định và kiểm tra tính bảo mật các mã code mới một cách tự động.
“Đây chỉ là vấn đề tạm thời. Những nền tảng như Mythos, hoặc các mô hình tiếp theo sẽ đạt đến giới hạn tối đa trong việc tìm lỗ hổng, nên những người phát triển smart contract mới sẽ có thể dùng chính các mô hình này để kiểm tra và loại bỏ hầu hết các nguy cơ bị tấn công (ít nhất là với các rủi ro nội tại của ứng dụng, chưa tính đến các sự cố bên ngoài như sụp đổ tài sản thế chấp hoặc bị tấn công oracle) trước khi đưa code vào chạy thực tế,” Franek bình luận thêm.
Bản thân OpenZeppelin chưa hề xác nhận lời khuyên rút khỏi DeFi của Aráoz.
Công ty này đã công bố một khung quản trị rủi ro nhiều lớp cho DeFi vào đầu tháng 05 vừa qua, đồng thời ra mắt dịch vụ kiểm tra bảo mật liên tục hỗ trợ bởi AI nhằm bổ sung cho các đợt kiểm tra đơn lẻ.
Bài viết đề xuất
