Công cụ AI phát hiện lỗi nghiêm trọng trên XRP Ledger trước khi các hacker có thể tấn công

• Quảng cáo -

Một công cụ kiểm toán bảo mật do AI điều khiển đã phát hiện một lỗ hổng chi tiêu kép (double-spend) nghiêm trọng trong Sổ cái XRP vào tháng 2 năm 2026, có khả năng ngăn chặn việc mất đi hàng trăm triệu tài sản của người dùng trước khi bất kỳ ví nào bị chạm vào.

Bug thực sự đã làm được gì

Lỗ hổng nằm ở giao điểm của hai tính năng cụ thể của XRPL: Thanh toán từng phần (Partial Payments) và một số logic hợp đồng thông minh kiểu “ký quỹ” (escrow). Tự thân từng tính năng không phải là vấn đề. Khi kết hợp trong các điều kiện cụ thể, chúng đã tạo ra một lối khai thác có thể khiến sổ cái ghi nhận một khoản thanh toán là đã được hoàn tất đầy đủ trong khi chỉ một phần nhỏ XRP dự định thực sự được chuyển.

Mục tiêu thực tế của kiểu khai thác này sẽ là các nhà tạo lập thị trường tự động và các sàn giao dịch phi tập trung hoạt động trên sổ cái. Cả hai đều dựa vào logic quyết toán chính xác để hoạt động đúng. Một giao dịch trông có vẻ như hoàn chỉnh nhưng lại chỉ cung cấp giá trị một phần chính là dạng sai lệch có thể rút thanh khoản khỏi các AMM và DEX trước khi bất kỳ ai nhận ra phần kế toán đang sai.

Lỗi này không hề đơn giản. Nó đòi hỏi phải mô phỏng các tương tác ở “biên” mà các quy trình kiểm toán thủ công thông thường hiếm khi phát hiện ra—và chính vì vậy nó đã không bị phát hiện cho đến khi một công cụ bảo mật bằng AI tìm thấy.

Cách thức nó được phát hiện và cách khắc phục

Việc phát hiện được ghi công cho một công cụ kiểm toán AI sử dụng phương pháp xác minh hình thức (formal verification), được cho là từ một công ty hoạt động trong mảng CertiK hoặc Immunefi. Xác minh hình thức hoạt động bằng cách mô hình hóa toán học hành vi của mã trên hàng tỷ trạng thái giao dịch có thể xảy ra, bao gồm cả các tổ hợp mà các kiểm toán viên con người sẽ không nghĩ tới việc kiểm thử vì chúng nằm ngoài các mẫu sử dụng thông thường. Lỗ hổng nằm trong một trong những tổ hợp như vậy.

Sau khi phát hiện, Quỹ XRPL (XRPL Foundation) và nhóm kỹ thuật của Ripple đã làm việc riêng với công ty bảo mật để phát triển bản vá trước bất kỳ công bố công khai nào. Sau đó, bản vá được gửi qua quy trình quản trị sửa đổi (amendment) tiêu chuẩn của XRPL, quy trình này yêu cầu đạt 80% đồng thuận từ mạng trình xác thực (validator network) trong thời hạn 14 ngày để được thông qua. Bản sửa đổi đã được thông qua. Không mất một khoản tiền nào. Không có gì cả.

Bản sửa đã được tích hợp vào rippled phiên bản 2.3.0 và cao hơn.

                Thị trường Crypto còn lại 1 chất xúc tác cần định giá và nó sẽ đến vào Chủ nhật

Vì sao phản hồi về quản trị lại quan trọng

Bản khắc phục kỹ thuật chỉ là một phần của câu chuyện. Phản hồi về quản trị là phần còn lại. XRPL đã xử lý một lỗ hổng bảo mật nghiêm trọng mà không cần hard fork, không có tình trạng tách chuỗi (chain split), và không có bất kỳ giai đoạn ngừng hoạt động của mạng nào. Quy trình sửa đổi—mà một số người chỉ trích XRPL đôi khi mô tả là chậm hoặc quá thận trọng—đã xử lý một vấn đề bảo mật thực sự nghiêm trọng một cách hiệu quả, đồng thời không gây thiệt hại kèm theo cho người dùng.

Với các bên tham gia theo hướng tổ chức (institutional) sử dụng hạ tầng thanh toán của Ripple, kết quả đó có ý nghĩa thực sự. Khả năng của một mạng Layer 1 lớn vá một lỗi nghiêm trọng ở mức logic mã, trước khi bị khai thác, thông qua một quá trình đồng thuận trình xác thực diễn ra trật tự, là dạng hồ sơ vận hành quan trọng khi câu chuyện chuyển sang việc áp dụng theo quy mô bởi các tổ chức.

Tín hiệu rộng hơn

Sự cố này đại diện cho một trong những ví dụ ban đầu đáng kể hơn cả về các công cụ kiểm toán bằng AI tạo sinh (generative AI) phát hiện lỗ hổng trong hạ tầng blockchain sản xuất mà việc rà soát thủ công đã bỏ sót. Hàm ý không phải là các kiểm toán viên con người là lỗi thời. Mà là sự kết hợp giữa xác minh hình thức ở quy mô máy móc và chuyên môn của con người tạo ra một tư thế bảo mật vững chắc hơn một cách đáng kể so với việc chỉ dựa vào một trong hai yếu tố đó.