AI Có Thể Trở Thành Phép Thử Bảo Mật Tiếp Theo Của Crypto?
Việc phát hiện một lỗ hổng đã tồn tại nhiều năm trong vùng giao dịch bảo mật của Zcash, với sự hỗ trợ từ một mô hình AI của Anthropic chỉ vài ngày trước khi công ty này ra mắt phiên bản mạnh nhất từ trước đến nay, cho thấy một sự dịch chuyển có thể tái định hình bảo mật trong crypto. Khi AI khiến việc tìm ra các lỗi ẩn sâu trong những hệ thống phức tạp trở nên rẻ hơn và nhanh hơn, động lực này đặc biệt quan trọng với DeFi, nơi tính hợp thành, cầu nối và hạ tầng dùng chung tạo ra một bề mặt tấn công rộng hơn rất nhiều.
Việc phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến blockchain tập trung vào quyền riêng tư Zcash (ZEC) vào cuối tháng 5 năm 2026 nổi bật giữa nhiều sự cố bảo mật liên quan đến crypto trong năm nay vì một lý do đơn giản: nó được tìm ra với sự hỗ trợ của AI.
Được nhà nghiên cứu bảo mật độc lập Taylor Hornby xác định vào ngày 29 tháng 5 với sự hỗ trợ của Claude Opus 4.8 từ Anthropic, lỗ hổng trong vùng giao dịch riêng tư Orchard của Zcash được cho là đã không bị phát hiện trong nhiều năm. Nếu kẻ tấn công tìm ra lỗ hổng này trước, nó có thể cho phép tạo ra lượng ZEC giả mạo không giới hạn bên trong vùng giao dịch bảo mật của Zcash.
Lỗi này đã được vá trong vài ngày, và không có bằng chứng cho thấy nó từng bị khai thác. Dù vậy, ZEC đã giảm mạnh sau khi chi tiết về lỗ hổng được công bố, cho thấy niềm tin thị trường có thể thay đổi nhanh đến mức nào khi một lỗi nghiêm trọng bị tiết lộ.
Việc ra mắt Claude Fable 5 vào ngày 10 tháng 6 – một phiên bản công khai, có cơ chế bảo vệ của Mythos, mô hình mạnh nhất và được cho là “nguy hiểm nhất” của Anthropic cho đến nay – đã làm dấy lên những lo ngại mới về việc còn bao nhiêu lỗ hổng tương tự vẫn chưa được phát hiện trong crypto và DeFi.
Vì Sao AI Làm Thay Đổi Chi Phí Tìm Lỗi
Nghiên cứu có sự hỗ trợ của AI có thể khiến các lỗ hổng nghiêm trọng, bị chôn vùi từ lâu như trường hợp của Zcash trở nên dễ phát hiện hơn rất nhiều – và rẻ hơn – trong thời gian tới. Trong crypto, nơi các hệ thống công khai nắm giữ lượng giá trị lớn và dựa vào hạ tầng phức tạp, có tính hợp thành cao, điều này có thể biến những giả định kỹ thuật ẩn bên dưới thành rủi ro thị trường.
Điều khiến trường hợp Zcash đặc biệt đáng chú ý không chỉ nằm ở việc AI hỗ trợ tìm ra lỗi, mà còn ở chỗ lỗ hổng này được cho là đã vượt qua nhiều năm kiểm tra chuyên sâu đối với chính Zcash, một trong những privacy coin có nền tảng kỹ thuật phức tạp nhất trong crypto. Việc kiểm toán các hệ thống cơ chế chứng minh không tiết lộ dữ liệu trước đây thường đòi hỏi chuyên môn hiếm, chi phí cao và nhiều tuần phân tích thủ công. Quy trình có sự hỗ trợ của AI mà Hornby sử dụng đã nén quá trình đó xuống chỉ còn vài ngày.
Sự rút ngắn này làm thay đổi kinh tế học của kiểm toán, và do đó làm thay đổi cả kinh tế học của rủi ro. Cho đến nay, các hệ thống mật mã phức tạp như các cơ chế chứng minh, smart contract phức tạp và logic xác thực bridge phần nào được “bảo vệ” bởi chính độ khó của việc rà soát toàn diện. Dù không loại bỏ nhu cầu về chuyên môn con người, các mô hình AI tiên tiến làm giảm đáng kể rào cản đó, giúp quá trình rà soát kỹ thuật nhanh hơn và dễ mở rộng hơn.
Đây là một yếu tố quan trọng trong một thị trường nơi việc rà soát thủ công chuyên sâu vừa chậm vừa đắt đỏ, trong khi nhiều giao thức không thể thuê kiểm toán thường xuyên tương xứng với mức độ phức tạp của chúng. Điều này cũng có hai mặt. Với bên phòng thủ, AI có thể giúp kiểm tra nhiều giả định hơn, truy vết nhiều trường hợp ngoại lệ hơn và bao phủ diện tấn công của hệ thống rộng hơn. Với bên tấn công, AI có thể tự động hóa quá trình trinh sát và thu hẹp phạm vi tìm kiếm điểm yếu, để lại nhiều thời gian hơn cho những phần của một vụ khai thác vẫn cần phán đoán của con người.
Đối với thị trường crypto, một khi đã chứng minh được rằng một lỗi nghiêm trọng có thể tồn tại qua nhiều năm rà soát, mối lo lớn hơn sẽ là còn những gì khác vẫn đang ẩn bên trong các hệ thống mà nhà đầu tư từng cho rằng đã an toàn.
Phương Diện Tấn Công Của DeFi Vượt Xa Code
Trong một thế giới nơi các lỗ hổng ngày càng dễ bị tìm thấy và khai thác hơn, DeFi là khu vực đặc biệt dễ bị tổn thương. Đặc tính cốt lõi của DeFi là tính hợp thành – các giao thức xây dựng chồng lên giao thức khác, sử dụng tài sản, oracle và thanh khoản của nhau – đồng nghĩa với việc một lỗ hổng ở một thành phần không nhất thiết sẽ được khoanh vùng tại chỗ.
Điều này khiến vấn đề lớn hơn nhiều so với riêng mật mã smart contract. Bridge và các lớp nhắn tin xuyên chuỗi thường là mắt xích yếu nhất, nơi tập trung lượng tài sản thế chấp lớn và phụ thuộc vào hạ tầng xác thực off-chain để xác nhận điều đã xảy ra trên một chuỗi khác. Nếu hạ tầng đó thất bại, các hợp đồng kết nối với nó vẫn có thể vận hành đúng như thiết kế, nhưng thiệt hại vẫn có thể lan rộng sang những nơi khác.
Dù không trực tiếp liên quan đến AI, vụ khai thác KelpDAO trị giá 292 triệu USD vào tháng 4 năm 2026 cho thấy loại bề mặt tấn công rộng mà AI có thể khiến việc lập bản đồ và thăm dò trở nên dễ dàng hơn. Phân tích hậu sự cố cho thấy bản thân các hợp đồng rsETH bị ảnh hưởng không có lỗi. Thay vào đó, thất bại nằm ở hạ tầng xác thực off-chain phía sau cơ chế nhắn tin của LayerZero, cho phép lượng rsETH không có tài sản bảo chứng được dùng làm tài sản thế chấp trên Aave và rút cạn thanh khoản thật.
Dù AI có trở nên giỏi đến đâu trong việc đọc và viết code, nhiều thất bại lớn nhất của crypto hiện nay lại xảy ra bên ngoài code: ở mạng lưới xác thực, hạ tầng node và các phụ thuộc vận hành. Điều này mở rộng luận điểm bảo mật liên quan đến AI ra ngoài phạm vi smart contract, bởi cùng những hệ thống giúp kiểm toán viên đọc hợp đồng cũng có thể giúp kẻ tấn công lập bản đồ phụ thuộc và thăm dò hạ tầng off-chain.
Khi Độ Phức Tạp Trở Thành Rủi Ro Thị Trường
Đối với các tổ chức đang đánh giá mức độ tiếp xúc với blockchain công khai, từ staking và chiến lược DeFi cho đến tài sản token hóa và quan hệ đối tác hạ tầng, sự bất định về bảo mật do AI thúc đẩy khiến việc định giá rủi ro trở nên khó hơn. Với các chiến lược tạo lợi suất, mức lợi nhuận trông hấp dẫn khi so với tỷ lệ khai thác trong quá khứ có thể kém hấp dẫn hơn nếu các lỗi nghiêm trọng trong những hệ thống đã được kiểm toán có thể bị phát hiện nhanh hơn và khó dự đoán hơn trước.
Sự bất định đó có thể củng cố xu hướng dịch chuyển của tổ chức sang các môi trường blockchain riêng tư, không nhất thiết vì chúng tự động an toàn hơn, mà vì rủi ro của chúng dễ định nghĩa và dễ giải trình hơn với cơ quan quản lý.
Mặt trái là các hệ thống riêng tư chỉ đổi một nhóm vấn đề này lấy một nhóm vấn đề khác. DeFi công khai có bề mặt tấn công lớn, nhưng cũng hưởng lợi từ rà soát mã nguồn mở, kiểm thử đối kháng, các chương trình săn lỗi bảo mật chủ động và sự giám sát rộng rãi từ cộng đồng. Một blockchain có cấp phép thu hẹp bề mặt tấn công, nhưng đồng thời cũng thu hẹp nhóm người có thể nhìn thấy và kiểm tra code. Bất kỳ kết nối nào từ mạng riêng tư trở lại blockchain công khai cũng sẽ đưa rủi ro quay lại ngay tại điểm nối. AI có thể giúp giám sát những điểm nối này dễ hơn, nhưng cũng có thể khiến các mắt xích yếu dễ bị tìm thấy hơn.
Bitcoin nằm ở đầu thận trọng hơn trong môi trường rủi ro này, dù không hoàn toàn đứng ngoài. Ví, các triển khai Lightning, phần mềm lưu ký và hạ tầng khai thác đều có bề mặt tấn công có thể bị thăm dò. Trong khi đó, các sản phẩm Wrapped-BTC và những hệ thống liền kề Bitcoin, bao gồm chuỗi phụ, có thể bổ sung thêm các giả định về bridge, cơ chế neo hai chiều hoặc smart contract mà lớp cơ sở tránh được.
Điểm khác biệt là các quy tắc đồng thuận và triển khai lớp cơ sở của Bitcoin đã được rà soát trong hơn mười lăm năm, trong khi phát triển chậm hơn đáng kể so với hầu hết hệ thống DeFi. Điều đó không khiến Bitcoin miễn nhiễm, nhưng nó để lại ít nơi có khả năng bị tấn công có tính biểu đạt cao, thay đổi nhanh cho các công cụ tự động khai thác hơn.
Trong một môi trường nơi AI khiến độ phức tạp dễ bị thăm dò hơn, sự bảo thủ của Bitcoin có thể trở nên giá trị hơn nữa – và hấp dẫn hơn với các tổ chức.
Liệu AI Có Thể Khiến Crypto An Toàn Hơn?
Khi nghiên cứu có sự hỗ trợ của AI khiến các lỗ hổng ẩn lâu năm dễ bị phát hiện hơn, nhiều lỗi nghiêm trọng hơn có khả năng sẽ xuất hiện trong ngắn hạn ở những hệ thống mà người dùng, nhà đầu tư và nhà phát triển từng cho rằng đã an toàn. Một số sẽ được vá theo cách có trách nhiệm. Một số khác có thể bị khai thác trước. Ngay cả khi phản ứng kỹ thuật diễn ra nhanh chóng, như trường hợp Zcash, phản ứng ban đầu của thị trường có thể khó kiểm soát hơn nhiều.
Cơ hội dài hạn nằm ở chỗ AI nhiều khả năng sẽ khiến công việc bảo mật nghiêm túc trở nên rẻ hơn và liên tục hơn. Thay vì chủ yếu dựa vào các đợt kiểm toán một lần với chi phí cao, các giao thức có thể chạy kiểm tra tự động trên code, phụ thuộc hệ thống, kết nối, khóa và các điểm yếu vận hành khác như một phần của quy trình phát triển thông thường. Điều này sẽ không loại bỏ nhu cầu đối với kiểm toán viên chuyên gia, nhưng có thể giúp phạm vi bảo mật sâu hơn được thực hiện thường xuyên hơn và ít phụ thuộc hơn vào nguồn lao động chuyên môn khan hiếm.
AI nhiều khả năng sẽ không phải là dấu chấm hết của DeFi. Thay vào đó, nó có thể buộc DeFi phải tiến tới một mô hình bảo mật trưởng thành hơn, trong đó các hệ thống phức tạp được giám sát và kiểm thử liên tục, còn bảo mật trở thành một phần trong hoạt động vận hành hằng ngày của giao thức.
Trong lúc đó, giai đoạn chuyển tiếp có thể sẽ khá hỗn loạn, với nhiều bản vá khẩn cấp hơn, nhiều phản ứng thị trường mạnh hơn và một số giao thức buộc phải nhanh chóng chứng minh rằng các giả định bảo mật của mình vẫn đứng vững.
