Tin tức 
Thông tin Coin 
Về chúng tôi 
Sự xuất hiện của hệ thống bảo mật AI *“Mythos”* đang tạo ra thay đổi lớn trong cách ngành *tiền mã hóa* và *blockchain* kiểm tra lỗ hổng *hợp đồng thông minh*. Nhiều chuyên gia nhận định, chi phí và thời gian cho hoạt động kiểm toán bảo mật có thể giảm mạnh, mở đường cho mô hình *“giám sát liên tục”* thay vì chỉ kiểm tra theo từng đợt như trước đây.
Theo CoinDesk đưa tin ngày 20 tháng 1 năm 2024 (giờ địa phương), *Mythos* là hệ thống AI có khả năng tự phát hiện lỗ hổng trong mã nguồn, được giới thiệu vào đầu tháng nhưng sau đó đã tạm rút khỏi thị trường Mỹ. Dù thời gian thử nghiệm ngắn, công cụ này vẫn tạo ấn tượng mạnh trong ngành. Khi các công cụ bảo mật AI trở nên rẻ hơn và nhanh hơn, tiêu chuẩn *“kiểm chứng bảo mật tối thiểu”* mà nhà phát triển và tổ chức phải tuân thủ đang thay đổi rõ rệt.
Trong nhiều năm, kiểm toán *hợp đồng thông minh* luôn bị coi là rào cản lớn vì chi phí cao và mất nhiều thời gian. Để thực hiện một cuộc kiểm toán chuyên sâu, các dự án thường phải chờ vài tuần và trả khoản phí không nhỏ, khiến không ít nhóm phát triển nhỏ chấp nhận bỏ qua giai đoạn này. Alexander Urbelis, Giám đốc an ninh thông tin (CISO) tại ENS Labs, cho rằng chi phí cho những bước kiểm tra cơ bản có thể “tiệm cận *zero*”. Nghĩa là, những gì trước đây cần vài tuần để hoàn tất, nay có thể rút xuống chỉ còn vài phút, mở ra cơ hội để các dự án vừa và nhỏ chủ động kiểm tra bảo mật thường xuyên hơn.
So với các công cụ tự động truyền thống như *fuzzer* – vốn chỉ dùng dữ liệu đầu vào ngẫu nhiên để dò tìm lỗi – AI như *Mythos* đi xa hơn một bước. Thay vì chỉ tìm lỗi thuần túy, hệ thống cố gắng suy luận “*ý đồ*” của đoạn mã rồi so sánh với hành vi thực tế khi triển khai. Urbelis nhận định đây không chỉ là cải thiện về hiệu năng mà là “bước nhảy về chất”, khi máy móc bắt đầu chuyển từ việc “quét lỗi” sang “phân tích dựa trên suy luận”.
David Schwed, Giám đốc vận hành (COO) của SVRN, cũng cho rằng mức độ thay đổi là rất lớn. Ông nhận xét AI giờ đây “hành động giống một kẻ tấn công con người”, có khả năng diễn giải tình huống theo thời gian thực và quyết định bước tiếp theo. Nếu các công cụ cũ chỉ làm việc theo quy tắc định sẵn, AI mang đến cách tiếp cận linh hoạt và thích nghi hơn nhiều.
Một trong những xu hướng quan trọng được giới chuyên môn nhấn mạnh là *“kiểm toán liên tục”*. Thay vì chỉ đánh giá bảo mật tại một thời điểm (trước khi triển khai hoặc sau một bản nâng cấp lớn), các dự án có thể duy trì cơ chế giám sát thường xuyên. Schwed nhấn mạnh, khả năng thực hiện kiểm toán liên tục với chi phí thấp và đi kèm gợi ý sửa lỗi tự động mới là điểm đột phá thực sự của làn sóng này.
*bình luận*
Nếu công cụ AI bảo mật tiếp tục rẻ và phổ biến, chuẩn mực tối thiểu về bảo mật *hợp đồng thông minh* sẽ buộc phải nâng lên, đặc biệt với các dự án kêu gọi vốn từ cộng đồng.
Đi cùng với đó, tiêu chuẩn trách nhiệm trong toàn ngành *tiền mã hóa* cũng có thể bị siết chặt. Trước đây, việc bỏ qua một số bước kiểm chứng vì “thiếu ngân sách” đôi khi vẫn được chấp nhận. Nhưng khi chi phí kiểm tra cơ bản gần như về 0, lý do này sẽ khó đứng vững. Urbelis cảnh báo, báo cáo AI “sạch lỗi” cũng không thể là lá chắn trách nhiệm tuyệt đối. Trong tương lai, cộng đồng và cơ quan quản lý có thể đặt câu hỏi: “Tại sao không sử dụng những công cụ giá rẻ, sẵn có để kiểm tra?” khi xảy ra sự cố.
Hệ quả là nhà đầu tư có nhiều khả năng sẽ yêu cầu dự án phải trải qua quy trình kiểm tra bảo mật bằng AI trước khi rót vốn. Nếu không đáp ứng được, rủi ro bị xem là “cẩu thả” hoặc “thiếu trách nhiệm” trong quản lý an toàn hệ thống sẽ tăng lên.
Dù vậy, phần lớn chuyên gia đồng thuận rằng AI khó có thể thay thế hoàn toàn kiểm toán viên con người. AI tỏ ra rất mạnh trong việc phát hiện lỗi mã, nhưng lại hạn chế khi xử lý những vấn đề liên quan đến cấu trúc kinh tế, thiết kế cơ chế khuyến khích (incentive) hoặc động lực tấn công từ bên ngoài. Urbelis giải thích, nhiều vụ tổn thất lớn bắt nguồn từ “ý đồ” và “động cơ tấn công”, đây là vùng mà phán đoán của chuyên gia con người vẫn đóng vai trò quyết định.
Thực tế, không ít vụ tấn công lớn gần đây bắt nguồn từ yếu tố con người chứ không phải lỗi mã. Vụ tấn công Drift là kết quả của chiến dịch lừa đảo xã hội kéo dài nhiều tháng. Các sự cố tại Ronin và Bybit cũng chủ yếu xuất phát từ việc đánh cắp khóa và can thiệp quy trình phê duyệt. Schwed nhận định, không một công cụ phân tích mã nào có thể chặn được kịch bản “một chữ ký hợp lệ phê duyệt giao dịch sai” nếu quy trình nội bộ và quản trị rủi ro bị bỏ qua.
Cuối cùng, dù *Mythos* và các giải pháp AI khác không thể xử lý mọi vấn đề bảo mật, chúng vẫn đang làm thay đổi nền tảng của ngành: từ *“chi phí phát hiện lỗ hổng”* cho đến *“kỳ vọng về mức độ an toàn”* của cộng đồng. Với khả năng đưa kiểm tra *hợp đồng thông minh* trở thành quy trình liên tục, rẻ và phổ biến, nhiều chuyên gia cho rằng ngành *tiền mã hóa* đang tiến gần tới một “điểm bùng phát” mới, nơi tiêu chuẩn bảo mật được nâng lên một nấc rõ rệt.
Bình luận 0