Công cụ AI phát hiện lỗi nghiêm trọng trên XRP Ledger trước khi các hacker có thể tấn công

• Thông báo -

Một công cụ kiểm toán an ninh do AI điều khiển đã phát hiện một lỗ hổng nghiêm trọng có khả năng bị chi tiêu hai lần (double-spend) trong sổ cái XRP vào tháng 2 năm 2026, có thể ngăn chặn việc mất đi hàng trăm triệu tài sản của người dùng trước khi chạm vào bất kỳ ví nào.

Bug Thực Sự Đã Làm Gì

Lỗ hổng nằm ở giao điểm của hai tính năng cụ thể của XRPL: Thanh toán một phần (Partial Payments) và một số logic hợp đồng thông minh kiểu escrow. Riêng từng tính năng không phải là vấn đề. Khi kết hợp trong những điều kiện nhất định, chúng đã tạo ra một con đường khai thác có thể cho phép kẻ tấn công lừa sổ cái ghi lại một khoản thanh toán là đã được thanh toán đầy đủ trong khi chỉ một phần XRP dự định thực sự được chuyển đi.

Mục tiêu thực tế cho kiểu khai thác này sẽ là các nhà tạo lập thị trường tự động và các sàn giao dịch phi tập trung (DEX) hoạt động trên sổ cái. Cả hai đều dựa vào logic thanh toán chính xác để hoạt động đúng. Một giao dịch trông như đã hoàn tất nhưng lại chỉ chuyển giá trị một phần chính là dạng sai lệch làm rút thanh khoản khỏi các AMM và DEX trước khi bất kỳ ai nhận ra rằng phần ghi sổ đang sai.

Lỗi này không hề đơn giản. Nó đòi hỏi phải mô phỏng các tương tác trong các tình huống biên (edge-case) mà các quy trình kiểm toán thủ công chuẩn hiếm khi phát hiện, và chính vì vậy nó vẫn chưa bị phát hiện cho đến khi một công cụ bảo mật sử dụng AI tìm ra.

Cách Nó Được Phát Hiện và Khắc Phục

Việc phát hiện được ghi nhận cho một công cụ kiểm toán AI sử dụng phương pháp xác minh hình thức (formal verification), được cho là từ một công ty hoạt động trong lĩnh vực CertiK hoặc Immunefi. Xác minh hình thức hoạt động bằng cách mô hình hóa toán học hành vi của mã trên hàng tỷ trạng thái giao dịch có thể xảy ra, bao gồm cả các tổ hợp mà các kiểm toán viên con người sẽ không nghĩ đến việc thử vì chúng nằm ngoài các mẫu sử dụng thông thường. Lỗ hổng nằm trong một trong những tổ hợp đó.

Sau khi phát hiện, Quỹ XRPL và đội kỹ thuật của Ripple đã làm việc riêng với công ty bảo mật để phát triển bản vá trước khi có bất kỳ công bố công khai nào. Sau đó, bản vá được nộp thông qua quy trình quản trị sửa đổi tiêu chuẩn của XRPL, quy trình này yêu cầu đạt 80% đồng thuận từ mạng trình xác thực (validator network) trong 14 ngày để được thông qua. Bản sửa đổi đã được thông qua. Không mất tiền. Không gì cả.

Bản sửa đã được tích hợp vào rippled phiên bản 2.3.0 và các phiên bản cao hơn.

                Thị Trường Crypto Còn Lại Một Chất Xúc Tác để Định Giá và Nó Sẽ Diễn Ra Vào Chủ Nhật

Tại Sao Phản Hồi Về Quản Trị Lại Quan Trọng

Bản sửa lỗi kỹ thuật chỉ là một phần của câu chuyện. Phản hồi về quản trị mới là phần còn lại. XRPL đã khắc phục một lỗ hổng bảo mật nghiêm trọng mà không cần hard fork, không có hiện tượng tách chuỗi (chain split), và không có bất kỳ khoảng thời gian nào mạng bị ngừng hoạt động. Quy trình sửa đổi, mà một số nhà phê bình về XRPL đôi khi mô tả là chậm hoặc quá thận trọng, đã xử lý một vấn đề bảo mật thực sự nghiêm trọng một cách hiệu quả và không gây thiệt hại nào cho người dùng.

Với những bên tham gia mang tính tổ chức sử dụng hạ tầng thanh toán của Ripple, kết quả đó mang ý nghĩa thực sự. Khả năng của một mạng Layer 1 lớn có thể vá một lỗ hổng nghiêm trọng ở cấp logic mã, trước khi bị khai thác, thông qua một quy trình đồng thuận của các trình xác thực diễn ra theo trật tự, là một kiểu hồ sơ vận hành quan trọng khi câu chuyện chuyển sang việc chấp nhận ở quy mô tổ chức.

Tín Hiệu Rộng Hơn

Sự cố này đại diện cho một trong những ví dụ ban đầu đáng kể hơn về các công cụ kiểm toán sử dụng AI tạo sinh (generative AI) trong việc phát hiện ra lỗ hổng trong hạ tầng blockchain vận hành (production) mà quá trình rà soát thủ công đã bỏ sót. Hàm ý không phải là các kiểm toán viên con người trở nên lỗi thời. Mà là sự kết hợp giữa xác minh hình thức ở quy mô máy và chuyên môn của con người tạo ra một tư thế bảo mật vững chắc hơn một cách đáng kể so với việc chỉ dựa vào một trong hai yếu tố đó tạo ra.