Back to top
  • 공유 Chia sẻ
  • 인쇄 In
  • 글자크기 Cỡ chữ
URL đã được sao chép

Ethereum(ETH) phát hiện lỗ hổng P2P nghiêm trọng, AI góp công tìm bug, nút phải cập nhật gấp

Ethereum(ETH) phát hiện lỗ hổng P2P nghiêm trọng, AI góp công tìm bug, nút phải cập nhật gấp / Tokenpost

Theo CoinDesk đưa tin ngày 9 (giờ địa phương), mạng **“Ethereum(ETH)”** vừa ghi nhận một lỗ hổng nghiêm trọng ở tầng giao tiếp cốt lõi, buộc các nhà vận hành nút phải **cập nhật phần mềm ngay lập tức**. Chỉ với một thông điệp duy nhất, kẻ tấn công có thể khiến nút bị treo hoàn toàn, đặt dấu hỏi lớn về độ ổn định của hạ tầng thị trường xoay quanh **“Ethereum(ETH)”**.

Theo thông báo từ quỹ **Ethereum(ETH)** ngày 9, nhóm bảo mật giao thức đã phát hiện lỗ hổng “CVE-2026-34219” trong quá trình phân tích mã nguồn bằng tác nhân AI. Lỗi nằm ở tầng “gossipsub” của libp2p, cho phép kẻ tấn công chưa xác thực dùng một thông điệp được chế tạo đặc biệt để đánh sập nút. Lỗ hổng đã được vá trong bản libp2p-gossipsub v0.49.4 và tất cả nhà vận hành sử dụng phiên bản cũ hơn đều được khuyến nghị nâng cấp ngay.

**“Ethereum(ETH)”**: lỗi ở “gossipsub” có thể làm tê liệt lớp cốt lõi mạng lưới

Tầng gossipsub là lớp nhắn tin P2P dùng để truyền khối và dữ liệu xác thực (attestation) cho hầu hết các client đồng thuận của **Ethereum(ETH)**. Lỗ hổng lần này xuất phát từ cách xử lý thông điệp PRUNE, cụ thể là việc không kiểm soát chặt chẽ quá trình tính toán thời gian “backoff”.

Kẻ tấn công chỉ cần gửi một thông điệp PRUNE gắn giá trị backoff rất lớn. Khi nút tiếp nhận và xử lý, phép tính thời gian sẽ bị tràn (overflow), dẫn đến lỗi và tiến trình bị buộc dừng. Công ty bảo mật SentinelOne cho biết quy trình khai thác lỗ hổng này “rất đơn giản và dễ tái hiện”.

Cơ sở dữ liệu lỗ hổng quốc gia Mỹ (NVD) chấm lỗ hổng “CVE-2026-34219” mức CVSS 8,2 – thuộc nhóm “nguy cơ cao”. Lý do là tấn công có thể thực hiện hoàn toàn qua mạng, không cần đặc quyền hệ thống hay tương tác từ người dùng. Kẻ tấn công còn có thể liên tục kết nối lại và gửi đi cùng một thông điệp, duy trì trạng thái từ chối dịch vụ (DoS) dài hạn.

Phạm vi ảnh hưởng cũng không nhỏ. Tất cả validator, indexer và các công cụ phụ trợ sử dụng phiên bản Rust của libp2p-gossipsub dễ tổn thương đều nằm trong vùng rủi ro. Nguy cơ không chỉ giới hạn trong hệ sinh thái **Ethereum(ETH)** mà còn mở rộng tới mọi dự án khác tích hợp cùng thư viện này.

bình luận Việc một lỗi đơn giản nhưng có sức phá hoại lớn như vậy tồn tại ở tầng P2P cho thấy bề mặt tấn công của các hạ tầng blockchain cơ bản – bao gồm cả **“Ethereum(ETH)”** – vẫn còn khá rộng mở, đặc biệt ở những thành phần ít được để ý hơn so với smart contract.

AI tham gia tìm lỗi bảo mật trong hạ tầng **“Ethereum(ETH)”**

Điểm đáng chú ý là lỗ hổng “CVE-2026-34219” được phát hiện thông qua hệ thống phân tích bảo mật dùng nhiều tác nhân AI phối hợp. Đại diện quỹ **Ethereum(ETH)**, ông Nikos Paxevanis (Nikos Paxevanis), cho biết nhóm đã vận hành song song nhiều tác nhân AI để rà quét, phân tích và xác thực các đường tấn công.

Hệ thống này không có trung tâm điều phối cố định mà dựa trên kho mã Git làm “khung làm việc” chung. Mỗi tác nhân AI đảm nhận một vai trò: phân tích bề mặt tấn công, lần theo đường đi của dữ liệu trong code, tạo mã khai thác thử nghiệm, rồi xác minh lại kết quả.

Tiêu chí then chốt là “tái hiện được” trên mã thực. Chỉ những lỗi có thể được bất kỳ người nào lặp lại một cách nhất quán mới được ghi nhận là lỗ hổng bảo mật hợp lệ. Nhờ vậy, các lỗi chỉ xuất hiện trong môi trường test, hoặc những trường hợp gần như không thể khai thác trong thực tế, đều bị loại bỏ như “dương tính giả”.

Paxevanis thừa nhận: so với khâu “tìm bug”, việc **phân loại** xem đó có thật sự là một lỗ hổng bảo mật nghiêm trọng hay không tiêu tốn tài nguyên hơn nhiều. Điều này phản ánh hạn chế hiện tại của bảo mật ứng dụng AI: mô hình có thể tạo ra lượng lớn “ứng cử viên” lỗ hổng, nhưng bước sàng lọc cuối cùng vẫn phải dựa vào con người.

bình luận Sự kiện này cho thấy các dự án lớn như **Ethereum(ETH)** đang đưa AI từ khâu kiểm tra smart contract xuống tận lớp mạng và hệ thống. Tuy nhiên, “AI phát hiện – con người xác minh” nhiều khả năng sẽ là mô hình chủ đạo trong giai đoạn vài năm tới.

Chuỗi lỗi nghiêm trọng, áp lực kiểm tra lại kiến trúc gossipsub

“CVE-2026-34219” không phải là lỗi đơn lẻ. Trước đó, lỗ hổng “CVE-2026-33040” với cơ chế tấn công khá tương tự, cũng liên quan đến xử lý backoff trong PRUNE, đã được công bố cùng mức đánh giá rủi ro cao hơn (CVSS 8,7).

Việc các bản vá liên tiếp phải xử lý những vấn đề cùng nhóm cho thấy toàn bộ kiến trúc xử lý PRUNE trong gossipsub đang được “gia cố có hệ thống”. Đồng thời, nó cũng báo hiệu khu vực này nhiều khả năng sẽ tiếp tục là “điểm ngắm” của giới tấn công trong tương lai.

Bên cạnh đó, hệ sinh thái **Ethereum(ETH)** đang chứng kiến làn sóng áp dụng AI vào bảo mật lan rộng từ smart contract sang cả code mạng và hệ điều hành. Về dài hạn, điều này được kỳ vọng nâng cao độ an toàn hạ tầng. Nhưng đi kèm là bài toán mới: xử lý khối lượng khổng lồ “ứng viên lỗ hổng” mà các hệ thống AI phát hiện.

Quỹ **Ethereum(ETH)** nhìn nhận, trọng tâm bảo mật đang dịch chuyển từ “khả năng phát hiện” sang “chất lượng xác minh”. Khi việc tìm ra lỗi trở nên dễ hơn nhờ AI, vai trò phán đoán cuối cùng của chuyên gia an ninh mạng lại trở nên quan trọng hơn.

bình luận Chuỗi lỗ hổng liên quan tới PRUNE cho thấy bất kỳ thành phần chung nào được nhiều dự án blockchain tái sử dụng – như libp2p gossipsub – đều có thể trở thành “điểm đơn lỗi” (single point of failure) cho cả ngành, nếu không được kiểm tra định kỳ ở cấp kiến trúc.

Nút **Ethereum(ETH)** cần làm gì lúc này?

Giải pháp trước mắt khá rõ ràng: tất cả nhà vận hành sử dụng libp2p-gossipsub cần nâng cấp tối thiểu lên v0.49.4. Bản vá này bổ sung cơ chế kiểm tra phạm vi giá trị backoff trong thông điệp PRUNE, đóng hẳn đường dẫn có thể gây tràn số.

Với các validator, indexer và dịch vụ hạ tầng xây dựng trên **Ethereum(ETH)** hoặc những mạng khác dùng chung libp2p-gossipsub, việc trì hoãn cập nhật để “tránh downtime” có thể khiến rủi ro DoS tăng vọt nếu lỗ hổng bị khai thác đại trà.

bình luận Vụ việc “CVE-2026-34219” là lời nhắc rằng bảo mật hạ tầng **Ethereum(ETH)** đang bước sang giai đoạn mới: tần suất phát hiện lỗ hổng có thể tăng lên nhờ AI, nhưng mức độ phức tạp trong việc đánh giá và xử lý chúng cũng tăng theo. Với nhà vận hành nút, cập nhật kịp thời và theo dõi sát thông báo bảo mật từ quỹ **Ethereum(ETH)** sẽ là “tuyến phòng thủ” quan trọng nhất.

<Bản quyền ⓒ TokenPost, nghiêm cấm sao chép và phân phối trái phép>

Phổ biến nhất

Các bài viết liên quan khác

Bình luận 0

Mẹo bình luận

Bài viết tuyệt vời. Mong có bài tiếp theo. Phân tích xuất sắc.

0/1000

Mẹo bình luận

Bài viết tuyệt vời. Mong có bài tiếp theo. Phân tích xuất sắc.
1