Công cụ AI phát hiện lỗi nghiêm trọng trên XRP Ledger trước khi các hacker có thể tấn công

• Quảng cáo -

Một công cụ kiểm toán bảo mật do AI điều khiển đã xác định một lỗ hổng chi tiêu kép (double-spend) nghiêm trọng trên Sổ Cái XRP (XRP Ledger) vào tháng 2 năm 2026, có khả năng ngăn chặn việc mất đi hàng trăm triệu tài sản của người dùng trước khi bất kỳ ví nào được chạm tới.

Bug Thực Sự Đã Làm Gì

Lỗ hổng nằm ở giao điểm của hai tính năng cụ thể của XRPL: Thanh toán từng phần (Partial Payments) và một số logic hợp đồng thông minh kiểu escrow. Từng tính năng riêng lẻ không phải là vấn đề. Khi được kết hợp trong những điều kiện cụ thể, chúng tạo ra một đường tấn công mà kẻ xấu có thể khiến sổ cái ghi nhận một khoản thanh toán là đã được thanh toán hoàn toàn, trong khi chỉ một phần giá trị XRP dự định thực sự được chuyển đi.

Mục tiêu thực tế của kiểu khai thác này có thể là các nhà tạo lập thị trường tự động và các sàn giao dịch phi tập trung (decentralized exchanges) hoạt động trên sổ cái. Cả hai đều dựa vào logic thanh toán chính xác để hoạt động đúng. Một giao dịch trông có vẻ hoàn tất nhưng lại chỉ cung cấp giá trị từng phần chính là loại sai lệch có thể rút thanh khoản khỏi các AMM và DEX trước khi bất kỳ ai nhận ra rằng phần kế toán đang sai.

Lỗi này không hề đơn giản. Nó đòi hỏi mô phỏng các tương tác trong trường hợp biên hiếm mà các quy trình kiểm toán thủ công thông thường hiếm khi phát hiện, và chính vì vậy nó đã không bị phát hiện cho đến khi một công cụ bảo mật bằng AI tìm ra.

Cách Nó Được Phát Hiện và Cách Được Khắc Phục

Việc phát hiện được ghi nhận cho một công cụ kiểm toán AI sử dụng phương pháp xác minh hình thức (formal verification), theo thông tin là từ một công ty hoạt động trong lĩnh vực CertiK hoặc Immunefi. Xác minh hình thức hoạt động bằng cách mô hình hóa toán học hành vi của mã trên hàng tỷ trạng thái giao dịch có thể xảy ra, bao gồm cả các tổ hợp mà các kiểm toán viên con người sẽ không nghĩ tới để thử, vì chúng nằm ngoài các mẫu sử dụng thông thường. Lỗ hổng nằm trong một trong những tổ hợp đó.

Sau khi được phát hiện, Quỹ XRPL (XRPL Foundation) và đội ngũ kỹ thuật của Ripple đã làm việc riêng với công ty bảo mật để phát triển bản vá trước bất kỳ công bố công khai nào. Sau đó, bản sửa lỗi được gửi thông qua quy trình quản trị sửa đổi (amendment) tiêu chuẩn của XRPL, quy trình này yêu cầu 80% sự đồng thuận từ mạng validator trong vòng 14 ngày để được thông qua. Bản sửa đổi đã được thông qua. Không có tiền nào bị mất. Không.

Bản vá đã được tích hợp vào rippled phiên bản 2.3.0 và các phiên bản cao hơn.

                Thị Trường Crypto Còn Một chất xúc tác để Định Giá và Nó Sẽ Diễn Ra Vào Chủ Nhật

Vì Sao Phản Ứng Quản Trị Quan Trọng

Bản sửa kỹ thuật chỉ là một phần của câu chuyện. Phản ứng quản trị là phần còn lại. XRPL đã giải quyết một lỗ hổng bảo mật nghiêm trọng mà không cần hard fork, không có sự tách chuỗi (chain split) và không có bất kỳ thời gian ngừng trệ nào của mạng. Quy trình sửa đổi—mà một số nhà phê bình của XRPL đôi khi mô tả là chậm hoặc quá thận trọng—đã xử lý một vấn đề bảo mật thực sự nghiêm trọng một cách hiệu quả, đồng thời không gây thiệt hại đi kèm cho người dùng.

Với các bên tham gia mang tính tổ chức sử dụng hạ tầng thanh toán của Ripple, kết quả đó có ý nghĩa thực sự. Khả năng của một mạng Layer 1 lớn vá một lỗ hổng nghiêm trọng ở cấp logic mã, trước khi bị khai thác, thông qua một quy trình đồng thuận validator có trật tự, là loại hồ sơ theo dõi vận hành quan trọng khi câu chuyện chuyển sang việc áp dụng mang tính tổ chức ở quy mô lớn.

Tín Hiệu Rộng Hơn

Sự cố này là một trong những ví dụ ban đầu đáng kể hơn cả về các công cụ kiểm toán bằng AI tạo sinh (generative AI auditing tools) phát hiện các lỗ hổng trong hạ tầng blockchain vận hành (production) mà việc rà soát bằng con người đã bỏ sót. Hàm ý không phải rằng các kiểm toán viên con người đã trở nên lỗi thời. Mà là sự kết hợp giữa xác minh hình thức ở quy mô máy móc và chuyên môn của con người tạo ra một tư thế bảo mật mạnh mẽ hơn một cách đáng kể so với việc chỉ dựa vào một trong hai.