# Bài viết Liên quan Lỗ hổng

Trung tâm Tin tức HTX cung cấp những bài viết mới nhất và phân tích chuyên sâu về "Lỗ hổng", bao gồm xu hướng thị trường, cập nhật dự án, phát triển công nghệ và chính sách quản lý trong ngành tiền kỹ thuật số.

Sự kiện Raydium bị đánh cắp gợi mở: Mối nguy mới trong DeFi, ẩn giấu trong các hợp đồng cũ bị lãng quên

Bài viết cảnh báo về một rủi ro bảo mật mới nổi trong lĩnh vực DeFi: các hợp đồng thông minh cũ đã ngừng hoạt động nhưng vẫn tồn tại trên chuỗi. Sự kiện Raydium mất 1.34 triệu USD gần đây là một ví dụ, khi hacker khai thác lỗ hổng trong nhóm thanh khoát AMM V3 cũ của giao thức, vốn đã bị bỏ quên sau khi Serum đóng cửa. Bài báo chỉ ra rằng đây không phải là trường hợp cá biệt. Từ tháng 3/2025, đã có ít nhất 8 vụ tấn công tương tự nhắm vào các hợp đồng cũ bị bỏ quên, gây tổng thiệt hại khoảng 22.5 triệu USD. Vấn đề cốt lõi nằm ở việc quản lý vòng đời hợp đồng kém: các dự án thường chỉ tuyên bố ngừng hỗ trợ một phiên bản trên tài liệu mà không thực sự vô hiệu hóa hợp đồng, chuyển tài sản còn sót lại, hoặc liên tục giám sát chúng. Những "nghĩa trang hợp đồng" này trở thành mục tiêu dễ dàng cho hacker. Để giải quyết, bài viết đề xuất cần phân loại "hợp đồng ma" (zombie contract) thành một nhóm rủi ro riêng biệt trong thống kê an ninh và thiết lập quy trình tiêu chuẩn gồm 7 bước để tắt hợp đồng an toàn, bao gồm thu hồi ủy quyền, chuyển tài sản, vô hiệu hóa chức năng chính và giám sát liên tục. Việc này phải được coi trọng ngang với kiểm tra mã nguồn.

Foresight News06/13 06:18

Sự kiện Raydium bị đánh cắp gợi mở: Mối nguy mới trong DeFi, ẩn giấu trong các hợp đồng cũ bị lãng quên

Foresight News06/13 06:18

Phiên bản công khai của Mythos chính thức ra mắt: Phân tích ưu điểm và hạn chế của kiểm toán hợp đồng thông minh AI

Bản phát hành công khai của Mythos (Claude Fable 5) đã được Anthropic chính thức ra mắt, thu hút sự chú ý với khả năng phát hiện lỗ hổng bảo mật. Sự kiện Zcash gần đây là một ví dụ điển hình, nơi AI phát hiện ra lỗ hổng nghiêm trọng trong nhóm Orchard chỉ sau vài giờ, một lỗi đã tồn tại 4 năm mà các cuộc kiểm tra thủ công bỏ sót. AI thể hiện ưu thế rõ rệt trong các tình huống như kiểm tra mẫu mã và sàng lọc ban đầu. Một nghiên cứu điển hình về lỗi va chạm vị trí lưu trữ cho thấy AI có thể nhanh chóng xác định các xung đột bố cục bộ nhớ phức tạp giữa các thành phần hoặc thư viện, vốn dễ bị bỏ qua trong kiểm tra thủ công. Tuy nhiên, Fable 5 vẫn có những hạn chế. Trong bài kiểm tra lại sự kiện tấn công Curve LlamaLend sDOLA, AI không thể xác định rủi ro cốt lõi. Đây là lỗ hổng tổ hợp xuyên giao thức, nơi mã của từng hợp đồng riêng lẻ là đúng, nhưng kẻ tấn công có thể khai thác sự tương tác giữa nhiều giao thức để thao túng giá và thực hiện thanh lý, tạo ra lợi nhuận. Những tình huống như vậy đòi hỏi sự hiểu biết sâu sắc về mô hình kinh doanh và logic nghiệp vụ phức tạp của toàn bộ hệ sinh thái. Tóm lại, AI xuất sắc trong việc phát hiện các lỗi chi tiết, tiêu chuẩn hóa như xung đột lưu trữ hoặc lỗi logic trong một hợp đồng, giúp tăng hiệu quả kiểm tra. Tuy nhiên, đối với các lỗ hổng tổ hợp phức tạp, tấn công đa hợp đồng hay mô hình kinh tế DeFi, vẫn cần sự phân tích chuyên sâu của các chuyên gia kiểm tra bảo mật.

marsbit06/11 08:07

Phiên bản công khai của Mythos chính thức ra mắt: Phân tích ưu điểm và hạn chế của kiểm toán hợp đồng thông minh AI

marsbit06/11 08:07

Phục Hồi Tính Riêng Tư Trong Crypto: ZCASH (ZEC) Thực Hiện Động Thái Sau Cú Sụp Giảm 50%

Zcash (ZEC) đang nỗ lực khôi phục niềm tin vào mạng lưới tập trung vào quyền riêng tư của mình sau một đợt bán tháo mạnh khiến giá giảm hơn 50%. Sự sụt giảm này được kích hoạt bởi phát hiện về một lỗ hổng nghiêm trọng trong mạch proof zero-knowledge Orchard, có khả năng cho phép tạo ra token ZEC giả mạo. Các nhà phát triển đã nhanh chóng vá lỗ hổng, giúp giá ZEC phục hồi khoảng 70%. Tuy nhiên, do tính chất bảo mật của Orchard, không thể xác minh liệu có đồng ZEC giả nào đã được tạo ra trước đó hay không. Để giải quyết vấn đề này và khôi phục khả năng xác minh nguồi cung lưu hành, một đề xuất mới có tên Ironwood đã được đưa ra bởi Shielded Labs, Zcash Foundation và các đối tác. Mục tiêu chính của Ironwood là trao cho mỗi người dùng khả năng tự xác minh tính toàn vẹn của nguồi cung ZEC. Đề xuất này sẽ chặn các giao dịch tạo coin mới trong pool Orchard và thiết lập một cơ chế "cửa quay" để kiểm soát dòng tiền ra. Hệ thống này cũng có thể cung cấp bằng chứng về việc lỗ hổng có từng bị khai thác hay không, đồng thời vô hiệu hóa bất kỳ đồng ZEC giả mạo nào nếu chúng cố gắng rời khỏi pool.

bitcoinist06/11 05:03

Phục Hồi Tính Riêng Tư Trong Crypto: ZCASH (ZEC) Thực Hiện Động Thái Sau Cú Sụp Giảm 50%

bitcoinist06/11 05:03

Beosin: Tháng 5 ghi nhận 36 sự kiện bảo mật chính, tổng thiệt hại vượt quá 76 triệu USD

Theo dữ liệu giám sát từ nền tảng Beosin Alert, tháng 5/2026 ghi nhận 36 sự kiện bảo mật nghiêm trọng với tổng thiệt hại khoảng 76,15 triệu USD. Nguyên nhân chính đến từ lỗ hổng hợp đồng thông minh (17 vụ) và rò rỉ khóa riêng tư (10 vụ). Sự cố lớn nhất nhắm vào cầu nối Verus-Ethereum Bridge, gây thiệt hại 11,58 triệu USD do lỗi xác minh thông điệp cross-chain. Echo Protocol cũng bị mất ~5,13 triệu USD sau vụ rò rỉ khóa riêng tư. Các cầu nối (bridge) chịu tổn thất tài chính lớn nhất (27,995 triệu USD), trong khi các dự án DeFi bị tấn công nhiều nhất (14 lần). Ethereum là blockchain bị ảnh hưởng nặng nề nhất với thiệt hại trên 48,76 triệu USD, tiếp theo là BNB Chain, Monad và TON. Bài viết phân tích chi tiết ba sự kiện tiêu biểu: lỗi xác minh trên Verus Bridge, lỗi tham số chữ ký trên Trusted Volumes và vụ rò rỉ khóa đa ký (multisig) tại StablR - minh họa cho những rủi ro trong vận hành và quản trị. Xu hướng cho thấy mối đe dọa bảo mật Web3 đang mở rộng sang nhiều mặt trận: mã nguồn, cơ sở hạ tầng, quy trình vận hành và yếu tố con người. Các dự án cần nâng cao an ninh tổng thể, kiểm tra lại các hợp đồng cũ, thiết lập cơ chế đa ký an toàn và có kế hoạch ứng phó sự cố. Người dùng nên thường xuyên kiểm tra và thu hồi các ủy quyền (approval) không cần thiết.

marsbit06/10 09:28

Beosin: Tháng 5 ghi nhận 36 sự kiện bảo mật chính, tổng thiệt hại vượt quá 76 triệu USD

marsbit06/10 09:28

Khi AI Bắt đầu Kiểm toán Thế giới: Từ Claude Phát hiện Lỗ hổng ZEC, Nhìn về Ngành Mã hóa đang Bước vào "Thời đại An ninh Đệ quy"

AI đang bước vào "Kỷ nguyên Bảo mật Đệ quy" trong ngành công nghiệp tiền mã hóa, một xu hướng được minh họa qua việc Claude Opus 4.8 phát hiện lỗ hổng trong hệ thống bằng chứng không kiến thức (zero-knowledge proof) của Zcash (ZEC). Sự kiện này không chỉ đơn thuần là một phát hiện lỗ hổng mà còn báo hiệu sự thay đổi cơ bản: AI bắt đầu tham gia sâu vào việc hiểu, phân tích và xác minh các hệ thống phức tạp. Trước đây, bảo mật blockchain chủ yếu dựa vào chuyên gia và kiểm toán thủ công. Ngày nay, với khả năng xử lý ngữ cảnh rộng và nhận diện mẫu phức tạp, AI có thể giảm đáng kể chi phí và thời gian phát hiện rủi ro, chuyển đổi bảo mật từ một quy trình kiểm tra định kỳ sang một khả năng giám sát liên tục. Điều này tạo ra một vòng phản hồi tương tự "Tự cải thiện Đệ quy" mà Anthropic mô tả trong nghiên cứu AI - nhưng áp dụng cho bảo mật. WEEX Labs gọi đây là "Bảo mật Đệ quy" (Recursive Security), nơi hệ thống liên tục tham gia vào việc tối ưu hóa và củng cố chính nó. Tuy nhiên, AI cũng trang bị công cụ tương tự cho cả kẻ tấn công, làm tăng tốc độ toàn bộ chu kỳ tấn công-phòng thủ. Thách thức trong tương lai không phải là loại bỏ mọi lỗ hổng, mà là rút ngắn vòng đời của chúng thông qua khả năng phát hiện, phản hồi và khắc phục nhanh chóng hơn. Do đó, giao thức dẫn đầu sẽ là giao thức có khả năng phục hồi mạnh mẽ và hiệu quả xử lý rủi ro cao, đánh dấu sự chuyển dịch từ trạng thái "an toàn tĩnh" sang một hệ thống bảo mật động, tiến hóa không ngừng.

marsbit06/08 13:29

Khi AI Bắt đầu Kiểm toán Thế giới: Từ Claude Phát hiện Lỗ hổng ZEC, Nhìn về Ngành Mã hóa đang Bước vào "Thời đại An ninh Đệ quy"

marsbit06/08 13:29

Zcash Chứng Kiến Sự Sụp Đổ Lịch Sử Khi Hàng Tỷ Đô La Biến Mất Khỏi Giá Trị Thị Trường

Thị trường tiền điện tử chấn động bởi sự sụp đổ mạnh mẽ của Zcash (ZEC), đồng tiền tập trung vào quyền riêng tư đã mất hơn một nửa giá trị chỉ trong 24 giờ. Sự sụt giảm đột ngột này xóa sổ khoảng 5 tỷ USD từ vốn hóa thị trường của nó. Nguyên nhân chính được cho là do lo ngại xung quanh một lỗ hổng bảo mật vừa được tiết lộ ảnh hưởng đến cơ sở hạ tầng riêng tư của mạng lưới. Lỗ hổng này, ẩn trong nhóm giao dịch riêng tư Orchard của Zcash từ tháng 5/2022, cho phép tạo ra ZEC giả mạo trong thử nghiệm. Mặc dù đã được vá vào ngày 2/6, thiết kế bảo mật của Zcash khiến không thể xác minh liệu có đồng ZEC giả nào đã được tạo ra trước đó hay không, dẫn đến sự hoang mang và bán tháo. Tình huống này làm nổi bật sự đánh đổi giữa tính riêng tư và minh bạch. Để khôi phục niềm tin, Shielded Labs đang xem xét một đề xuất nâng cấp mạng lưới cho phép xác minh tính toàn vẹn của tổng nguồn cung Zcash. Cộng đồng Zcash nhấn mạnh rằng việc phát hiện lỗ hổng là kết quả của quy trình nghiên cứu bảo mật đẳng cấp và chủ động, một dấu hiệu tích cực cho thấy mạng lưới liên tục được củng cố.

bitcoinist06/07 14:02

Zcash Chứng Kiến Sự Sụp Đổ Lịch Sử Khi Hàng Tỷ Đô La Biến Mất Khỏi Giá Trị Thị Trường

bitcoinist06/07 14:02

Claude Opus 4.8 Tìm Thấy Lỗ Hổng 4.5 Tỷ Đô La, Thời Đại AI Đang Sản Xuất Hàng Loạt Tin Tặc

Một nhà nghiên cứu đã sử dụng Claude Opus 4.8 để tìm ra lỗ hổng nghiêm trọng trong giao thức Orchard của Zcash, cho phép tạo token không giới hạn, làm bay hơi 45 tỷ USD vốn hóa thị trường chỉ sau thông báo chính thức. Sự việc cho thấy AI đang hạ thấp đáng kể ngưỡng phát hiện lỗ hổng, biến nó từ công việc của chuyên gia thành khả năng phổ cập. Điều đáng lo ngại không phải là mô hình mạnh nhất (như Claude Mythos), mà là những mô hình đủ mạnh, rẻ và phổ biến như Opus. Chúng cho phép cả người bảo vệ lẫn kẻ tấn công nhanh chóng hiểu hệ thống, dẫn đến hai hệ quả: một là tràn ngập báo cáo lỗi chất lượng thấp do AI tạo ra, làm kiệt quệ đội ngũ bảo trì mã nguồn mở; hai là các lỗ hổng ẩn sâu trước đây bị phát hiện với tốc độ chóng mặt. An ninh mạng vốn dựa vào một chuỗi hợp tác con người dài và mong manh để duy trì trải nghiệm "bình thường" cho người dùng. Tuy nhiên, khi AI làm gia tăng theo cấp số nhân cả lỗ hổng lẫn báo cáo, lực lượng phòng thủ vốn đã thiếu hụt nhân lực trầm trọng (khắp toàn cầu thiếu khoảng 4.8 triệu người) lại càng thêm quá tải. Chi phí phát hiện lỗi giảm, nhưng chi phí sửa chữa, phán đoán và phối hợp vẫn cao như cũ. Kỷ nguyên AI không phá hủy internet, mà giống như bật đèn sáng, cho chúng ta thấy sự thật: sự an toàn kỹ thuật số mà chúng ta hưởng thụ là thành quả của việc liên tục đè nén rủi ro bởi con người. Thứ đắt đỏ và khan hiếm thực sự bây giờ không phải là tìm ra lỗi, mà là có còn đủ người sẵn sàng sửa chữa chúng hay không.

marsbit06/06 09:25

Claude Opus 4.8 Tìm Thấy Lỗ Hổng 4.5 Tỷ Đô La, Thời Đại AI Đang Sản Xuất Hàng Loạt Tin Tặc

marsbit06/06 09:25

Lỗi Zcash Có Thể Đúc Vô Hạn ZEC Mà Không Bị Phát Hiện

Một lỗ hổng nghiêm trọng trong nhóm giao dịch được bảo vệ Orchard của Zcash có thể đã cho phép kẻ tấn công tạo ra lượng ZEC giả không giới hạn mà không bị phát hiện, theo tiết lộ mới từ Zooko Wilcox, Jason McGee và nhà nghiên cứu bảo mật Taylor Hornby. Lỗ hổng được phát hiện vào ngày 29 tháng 5, được khắc phục khẩn cấp trước ngày 2 tháng 6, và đã châm ngòi cho cuộc tranh luận về cách Zcash có thể chứng minh tính toàn vẹn nguồn cung trong một hệ thống bảo vệ quyền riêng tư. Lỗi nằm trong một quy tắc được viết thủ công trong mạch Orchard, khiến nó có thể chấp nhận thông tin sai nhưng vẫn cho phép giao dịch hợp lệ. Do tính chất bảo mật của Orchard, không có cách nào để chứng minh bằng mật mã liệu lỗ hổng có bị khai thác trước khi sửa chữa hay không, gây ra lo ngại về tính toàn vẹn nguồn cung. Để giải quyết, Shielded Labs đang xem xét đề xuất nâng cấp mạng để triển khai một nhóm bảo mật mới, nhằm cho phép bất kỳ ai cũng có thể xác minh nguồn cung ZEC. Họ cũng đang đẩy nhanh công việc xác minh chính thức mạch Orchard để ngăn chặn sự cố tương tự trong tương lai. Giá ZEC đã giảm gần 45% trong bối cảnh không chắc chắn này.

bitcoinist06/05 12:33

Lỗi Zcash Có Thể Đúc Vô Hạn ZEC Mà Không Bị Phát Hiện

bitcoinist06/05 12:33

Khủng hoảng niềm tin với coin riêng tư! ZEC sụp đổ hơn 56% trong một ngày

Ngày 5/6, đồng privacy coin hàng đầu ZEC đã lao dốc hơn 56% trong một ngày, xóa sổ toàn bộ lợi nhuận hai tháng gần đây và khiến vốn hóa thị trường mất khoảng 5 tỷ USD. Nguyên nhân bắt nguồn từ một lỗ hổng zero-knowledge tồn tại suốt 4 năm trong nhóm giao dịch riêng tư Orchard (ra mắt tháng 5/2022) của Zcash, về lý thuyết cho phép kẻ tấn công tạo ra ZEC giả mạo vô hạn một cách bí mật mà không thể bị phát hiện. Lỗ hổng đã được vá vĩnh viễn thông qua đợt hard fork NU6.2 vào ngày 3/6. Tuy nhiên, do thiết kế bảo mật của Orchard, không có cách nào chứng minh bằng mật mã rằng lỗ hổng này chưa từng bị khai thác trong quá khứ, khiến thị trường nghi ngờ về tính toàn vẹn của nguồn cung ZEC trong 4 năm qua. Sự không chắc chắn này đã làm dấy lên cuộc khủng hoảng niềm tin. Việc Arthur Hayes, đồng sáng lập BitMEX và là người ủng hộ ZEC công khai, tuyên bố thanh lý toàn bộ nắm giữ ZEC càng làm trầm trọng thêm tâm lý hoảng loạn. Đồng thời, các nhà đầu tư tổ chức lớn (cá voi) đã thu được lợi nhuận khổng lồ từ các vị thế bán khống. Khối lượng thanh lý hợp đồng ZEC trong 24 giờ đạt khoảng 100 triệu USD. Giới phân tích nhận định sự cố này làm nổi bật nghịch lý cố hữu giữa tính riêng tư và khả năng kiểm chứng nguồn cung. Để khắc phục, Shielded Labs đang đề xuất một bản nâng cấp mạng với "cửa xoay" kiểm toán bắt buộc cho các giao dịch rời khỏi nhóm Orchard trong tương lai, nhưng vẫn không thể giải quyết được những nghi ngờ về lịch sử. Sự kiện cũng cho thấy áp lực kiểm toán bảo mật trong ngành sẽ gia tăng khi các công cụ AI trở nên phổ biến hơn.

链捕手06/05 10:17

Khủng hoảng niềm tin với coin riêng tư! ZEC sụp đổ hơn 56% trong một ngày

链捕手06/05 10:17

Phía Sau Đà Sụt Giảm Hơn 30% Của ZEC: Một Lỗ Hổng ‘In Vô Hạn’ Không Thể Chứng Minh Đã Từng Bị Lợi Dụng

Vào ngày 5 tháng 6, Zooko Wilcox, người sáng lập Zcash, tiết lộ một lỗ hổng nghiêm trọng trong giao thức bảo mật Orchard, được phát hiện bởi nhà nghiên cứu bảo mật Taylor Hornby. Lỗ hổng này cho phép kẻ tấn công tạo ra số lượng ZEC giả mạo không giới hạn và không thể phát hiện bên trong Orchard. Vấn đề nằm ở một lỗi trong mạch bằng chứng không kiến thức (zero-knowledge proof circuit) của Orchard, khiến hệ thống có thể chấp nhận các giao dịch vi phạm nguyên tắc bảo toàn tài sản. Mặc dù lỗ hổng đã được vá khẩn cấp thông qua một đợt hard fork vào ngày 2-3/6, và hiện không có bằng chứng nào cho thấy nó đã bị khai thác, cộng đồng vẫn không thể chứng minh một cách chắc chắn rằng không có ZEC giả nào được tạo ra trong suốt gần 4 năm Orchard hoạt động (từ 5/2022 đến 6/2026). Sự không chắc chắn này đã khiến giá ZEC giảm hơn 30%. Thị trường lo ngại về tính toàn vẹn của tổng nguồn cung ZEC. Để khôi phục niềm tin, Shielded Labs đề xuất một bản nâng cấp mạng lưới, bao gồm việc triển khai một bể giao dịch riêng tư mới và áp dụng cơ chế "Turnstile Accounting" để xác minh rõ ràng tính hợp lệ của mọi tài sản chuyển ra từ Orchard. Đáng chú ý, lỗ hổng này được phát hiện với sự hỗ trợ của mô hình AI Claude Opus 4.8, cho thấy khả năng phát hiện lỗ hổng phức tạp đang trở nên dễ tiếp cận hơn. Hiện tại, câu hỏi then chốt vẫn chưa có lời giải đáp cuối cùng: liệu có bao giờ tồn tại ZEC giả mạo trong Orchard hay không?

marsbit06/05 06:54

Phía Sau Đà Sụt Giảm Hơn 30% Của ZEC: Một Lỗ Hổng ‘In Vô Hạn’ Không Thể Chứng Minh Đã Từng Bị Lợi Dụng