Công cụ AI phát hiện lỗi nghiêm trọng trên XRP Ledger trước khi các hacker có thể tấn công

• Quảng cáo -

Một công cụ kiểm toán bảo mật do AI điều khiển đã phát hiện một lỗ hổng nghiêm trọng dẫn đến double-spend trong Sổ cái XRP vào tháng 2 năm 2026, có khả năng ngăn chặn việc mất đi hàng trăm triệu tài sản của người dùng trước khi chạm vào bất kỳ ví nào.

Bug thực sự đã làm gì

Lỗ hổng nằm ở giao điểm của hai tính năng cụ thể của XRPL: Thanh toán từng phần (Partial Payments) và một số logic hợp đồng thông minh kiểu escrow. Tự thân, không có tính năng nào là vấn đề. Khi kết hợp trong các điều kiện nhất định, chúng tạo ra một lối khai thác có thể khiến kẻ tấn công lừa sổ cái ghi nhận một khoản thanh toán là đã được thanh toán hoàn toàn trong khi chỉ một phần XRP dự định thực sự được chuyển.

Mục tiêu thực tế cho kiểu khai thác này có thể là các nhà tạo lập thị trường tự động và các sàn giao dịch phi tập trung (DEX) vận hành trên sổ cái. Cả hai đều dựa vào logic thanh toán chính xác để hoạt động đúng. Một giao dịch trông có vẻ hoàn chỉnh nhưng lại chỉ cung cấp giá trị một phần chính là kiểu sai lệch khiến thanh khoản bị rút khỏi AMM và DEX trước khi ai đó nhận ra rằng phần kế toán đang sai.

Lỗi này không hề đơn giản. Nó đòi hỏi phải mô phỏng các tương tác ở tình huống biên mà các quy trình kiểm toán thủ công tiêu chuẩn hiếm khi phát hiện ra—đó cũng chính là lý do vì sao nó không bị phát hiện cho đến khi một công cụ bảo mật do AI tìm thấy.

Cách thức được phát hiện và khắc phục

Việc phát hiện được ghi nhận cho một công cụ kiểm toán bằng AI sử dụng phương pháp xác minh hình thức (formal verification), được cho là từ một công ty hoạt động trong lĩnh vực CertiK hoặc Immunefi. Xác minh hình thức hoạt động bằng cách mô hình hóa toán học hành vi của mã trên hàng tỷ trạng thái giao dịch có thể xảy ra, bao gồm cả các tổ hợp mà các kiểm toán viên con người sẽ không nghĩ đến để kiểm thử vì chúng nằm ngoài các mẫu sử dụng thông thường. Lỗ hổng nằm trong một trong các tổ hợp đó.

Sau khi phát hiện, Quỹ XRPL (XRPL Foundation) và đội ngũ kỹ thuật của Ripple đã làm việc riêng tư với công ty bảo mật để phát triển bản vá trước bất kỳ thông báo công khai nào. Sau đó, bản sửa được nộp thông qua quy trình quản trị sửa đổi chuẩn của XRPL, quy định cần 80% sự đồng thuận từ mạng trình xác thực (validator network) trong vòng 14 ngày để được thông qua. Bản sửa đã được thông qua. Không có tiền bị mất. Không.

Bản vá được tích hợp vào rippled phiên bản 2.3.0 và các phiên bản cao hơn.

                Thị trường Crypto còn lại 1 chất xúc tác để đưa vào giá và nó đến vào Chủ nhật

Vì sao phản hồi về quản trị lại quan trọng

Bản sửa kỹ thuật chỉ là một phần của câu chuyện. Phản hồi về quản trị là phần còn lại. XRPL đã giải quyết một lỗ hổng bảo mật nghiêm trọng mà không cần hard fork, không tách chuỗi, và không có bất kỳ thời gian ngừng hoạt động nào của mạng. Quy trình sửa đổi—mà một số nhà phê bình của XRPL đôi khi mô tả là chậm hoặc quá thận trọng—đã xử lý hiệu quả một vấn đề bảo mật thực sự nghiêm trọng, đồng thời không gây thiệt hại kèm theo cho người dùng.

Đối với những người tham gia mang tính tổ chức sử dụng hạ tầng thanh toán của Ripple, kết quả này mang ý nghĩa thực sự. Khả năng của một mạng Layer 1 lớn vá một lỗ hổng nghiêm trọng ở cấp logic mã, trước khi bị khai thác, thông qua một quy trình đồng thuận validator có trật tự, là kiểu hồ sơ vận hành quan trọng khi câu chuyện chuyển sang việc áp dụng ở quy mô lớn trong lĩnh vực tổ chức.

Tín hiệu rộng hơn

Sự cố này là một trong những ví dụ ban đầu đáng kể hơn cả về các công cụ kiểm toán AI sinh (generative AI auditing tools) xác định các lỗ hổng trong hạ tầng blockchain vận hành thực tế mà phần kiểm tra của con người đã bỏ sót. Hàm ý không phải rằng các kiểm toán viên con người là lỗi thời. Mà là việc kết hợp xác minh hình thức ở quy mô máy và chuyên môn của con người tạo ra một tư thế bảo mật vững chắc hơn một cách đáng kể so với bất kỳ bên nào tự tạo ra một mình.