Tin tức
Lỗ hổng của Solana được sửa chữa âm thầm, dấy lên quan ngại về sự thông đồng của các trình xác thực

Lỗ hổng của Solana được sửa chữa âm thầm, dấy lên quan ngại về sự thông đồng của các trình xác thực

Kostiantyn Tsentsura3 giờ trước
#Solana
Lỗ hổng của Solana được sửa chữa âm thầm, dấy lên quan ngại về sự thông đồng của các trình xác thực

Vào cuối tháng 4 năm 2025, Solana blockchain âm thầm khắc phục những gì mà các chuyên gia cho rằng là một trong những lỗ hổng quan trọng nhất trong lịch sử của nó. Một lỗ hổng nghiêm trọng trong tiêu chuẩn Token-2022 có thể đã cho phép kẻ xấu đúc không giới hạn các token và rút tài khoản của người dùng theo ý muốn.

Mặc dù Solana Foundation và các nhà phát triển cốt lõi đã thành công phối hợp sửa chữa trước khi bất kỳ hành vi khai thác nào xảy ra, phương pháp của họ - phối hợp riêng tư với hơn 70% các trình xác thực mà không thông báo công khai cho đến sau khi thực hiện - đã làm dấy lên cuộc tranh luận sôi nổi trong hệ sinh thái tiền mã hóa về bản chất cơ bản của sự phân quyền, quản trị và lòng tin trong các hệ thống blockchain.

Lỗ hổng được phát hiện trong tiêu chuẩn Token-2022 của Solana đại diện cho một mối đe dọa tiềm tàng cho một trong những mạng lớp-1 đầy hứa hẹn của blockchain. Cơ bản, vấn đề nằm trong chương trình -ZK ElGamal Proof - một thành phần tiên tiến được thiết kế để cho phép giao dịch bảo mật, bí mật thông qua mật mã không tiết lộ tri thức.

Các nhà nghiên cứu bảo mật tại Asymmetric Research đã xác định một lỗi nghiêm trọng trong logic kiểm tra bằng chứng mà thực sự bỏ qua các biện pháp bảo vệ mật mã nhằm bảo vệ các hoạt động token. Nếu lỗ hổng này bị khai thác trước khi khắc phục, kẻ tấn công có thể:

  1. Tạo ra nguồn cung không giới hạn của bất kỳ tài sản nào sử dụng tiêu chuẩn Token-2022, có thể tạo ra siêu lạm phát trong các token bị ảnh hưởng
  2. Rút token từ bất kỳ ví hoặc hợp đồng nào đang giữ tài sản dễ bị tổn thưởng mà không có sự cho phép
  3. Thao túng các oracles giá và bể thanh khoản bằng cách làm ngập các thị trường với các token giả

"Lỗ hổng này đặc biệt nhắm vào tính năng chuyển giao bảo mật trong Token-2022," Dr. Sophia Chen, nhà nghiên cứu mật mã tại Solana Labs giải thích. "Thuật toán kiểm tra không tiết lộ chuẩn chứa một trường hợp cạnh nơi các chứng cứ bị định dạng xấu có thể lọt qua các kiểm tra xác nhận, bản chất là tạo ra một sự tự do cho kẻ tấn công thực hiện các hoạt động không được phép."

Theo tài liệu kỹ thuật được phát hành sau khi sửa lỗi, lỗ hổng chỉ ảnh hưởng đến các token thực hiện phần mở rộng chuyển giao bảo mật của Token-2022 - không phải hệ sinh thái SPL token rộng hơn tạo thành xương sống của Tổng Giá Trị Khóa (TVL) $14.7 tỷ của Solana.

Token-2022 của Solana: Đổi mới với cái giá của bảo mật?

Để hiểu đầy đủ bối cảnh của lỗ hổng này, người ta phải đánh giá cao tại sao Token-2022 tồn tại ngay từ đầu. Được giới thiệu vào cuối năm 2022 như một nâng cấp tham vọng cho chương trình SPL token gốc của Solana, Token-2022 đã được thiết kế để cho phép các chức năng tiên tiến có thể định vị Solana như một blockchain hàng đầu cho các ứng dụng tài chính phức tạp.

Tiêu chuẩn đã giới thiệu một số khả năng đột phá:

  • Chuyển giao Bảo mật: Giao dịch bảo mật bảo vệ số lượng và thông tin người tham gia
  • Móc chuyển giao: Logic lập trình thực thi khi token đổi
  • điều hành, cho phép thuế tự động, tiền bản quyền, hoặc kiểm tra tuân thủ
  • Điều kiện Không Chuyển Nhượng: Hạn chế có thể làm cho token không thể chuyển nhượng trong
  • các điều kiện cụ thể (quan trọng cho tuân thủ, trái phiếu, và quản trị)
  • Token Cầm Lãi: Tính năng lợi nhuận gốc mà không cần hợp đồng ngoại vi
  • Sự Bền vững của Metadata: Metadata token không thể thay đổi, on-chain

Các tính năng này được đặt vị trí như một phản ứng cạnh tranh với các tiêu chuẩn token tiên tiến của Ethereum như ERC-20, ERC-721, và ERC-1155, vốn thống trị các không gian DeFi và NFT mặc dù chi phí gas cao hơn và thông lượng thấp hơn.

"Token-2022 đại diện cho một bước nhảy vọt lượng tử trong những gì mà tài sản dựa trên blockchain có thể thực hiện tự nhiên," Marco Rodriguez, kiến trúc sư giao thức DeFi tại Marinade Finance nói. "Nhưng mật mã tiên tiến luôn đi kèm với các cân nhắc về bảo mật cao độ - không có cách nào khác ngoài sự đánh đổi đó."

Quả thật, lỗ hổng đã xuất hiện đặc biệt trong việc thực hiện việc chuyển giao bảo mật, một trong những thành phần kỹ thuật đầy tham vọng nhất của tiêu chuẩn. Tính năng này tận dụng các chứng cớ không tiết lộ để cho phép các giao dịch bảo mật - công nghệ mà ngay cả các dự án blockchain lão luyện cũng tiếp cận với sự thận trọng cực độ vì độ phức tạp toán học của nó.

Sửa Chữa Âm Thầm: Cách Solana Xử Lý Khủng Hoảng

Sau khi xác nhận lỗ hổng, các nhà phát triển cốt lõi của Solana đã thực hiện cái mà họ sau này mô tả như một "cuộc phản ứng bảo mật được phối hợp." Thay vì ngay lập tức tiết lộ lỗ hổng - cái mà có thể đã mời gọi khai thác - họ đã

  1. Thông báo riêng tư cho một nhóm nhỏ các trình xác thực và nhà điều hành nút
  2. Cửa sổ nâng cấp phối hợp nơi các trình xác thực tham gia (đại diện cho trên 70% khối lượng cổ phần) đã vá
  3. Tiết lộ sau khi hoàn thành cho cộng đồng rộng lớn hơn một khi phần lớn mạng đã được bảo vệ

Cách tiếp cận này chứng tỏ hiệu quả về kỹ thuật - lỗ hổng đã được vá mà không có bất kỳ khai thác nào được biết đến. Tuy nhiên, chính quá trình sửa chữa này đã gây tranh cãi trong cộng đồng crypto.

"Nhóm phản ứng bảo mật đã làm đúng với những gì bạn mong đợi trong bảo mật phần mềm truyền thống," Jackson Williams, giám đốc bảo mật tại Neodyme, một trong những công ty đã hỗ trợ sửa chữa nhận định. "Khái niệm tiết lộ có trách nhiệm có nghĩa là sửa trước khi công bố. Nhưng blockchain hoạt động theo các hợp đồng xã hội khác với phần mềm tập trung."

Lo ngại về Trung tâm hóa: Trái tim của cuộc Tranh Cãi

Sự chỉ trích chính nhắm vào cách tiếp cận của Solana không phải về việc sửa chữa kỹ thuật chính nó, mà là về những tác động quản trị nó cho thấy. Các nhà phê bình đã trỏ ra một số khía cạnh đáng quan ngại:

Điều phối Mạng Riêng Tư

Khả năng điều phối nhanh chóng trên 70% các trình xác thực mạng gợi ý về sự tồn tại của các kênh thông tin liên lạc riêng tư và một nhóm nhỏ các nhà quyết định có thể kiểm soát hiệu quả các hoạt động mạng. Trong ngôn ngữ tiền mã hóa, điều này gợi ý về một "liên minh trình xác thực" - một cấu trúc quyền lực tập trung có thể được sử dụng lý thuyết để kiểm duyệt hoặc các hình thức kiểm soát khác.

Thiếu tín hiệu On-Chain

Không giống như một số blockchain lớn khác yêu cầu bỏ phiếu hoặc tín hiệu on-chain cho các thay đổi quan trọng, nâng cấp của Solana đã diễn ra qua điều phối off-chain, không để lại hồ sơ minh bạch về quá trình ra quyết định.

Bất Cân thông tin

Lỗ hổng thông tin tạm thời giữa những người trong nội bộ (nhà phát triển cốt lõi và những người xác thực được chọn) và cộng đồng chung đã tạo ra một kịch bản nơi các bên ưu đãi có kiến thức quan trọng về các hoạt động mạng mà người dùng, nhà phát triển và chủ sở hữu token không có.

Nhà nghiên cứu crypto nổi tiếng và nhà toán học Vitalik Buterin bình luận về sự cố trên mạng xã hội của ông: "Bảo mật là rất quan trọng, nhưng quy trình cũng vậy. Các giải pháp tốt nhất duy trì bảo mật trong khi tối đa hóa sự minh bạch và giảm thiểu phối hợp đáng tin cậy."

Bối cảnh Lịch sử: Tiền Lệ Ngành cho Việc Sửa Lỗi Quan Trọng

Sự căng thẳng giữa bảo mật và phi tập trung không phải là độc quyền của Solana. Nhiều mạng blockchain lớn khác đã đối mặt với những tình huống tiến thoái lưỡng nan tương tự, mỗi mạng giải quyết chúng theo triết lý quản trị riêng:

Lỗi Lạm phát Bitcoin (2018)

Vào tháng 9 năm 2018, các nhà phát triển Bitcoin đã âm thầm vá lỗi CVE-2018-17144, một lỗ hổng nghiêm trọng có thể cho phép các thợ mỏ tạo ra BTC không giới hạn thông qua các đầu ra cặp đôi. Đội ngũ Bitcoin Core đã thông báo cho các bể khai thác một cách riêng tư trước khi công bố - một động thái tương tự với cách tiếp cận của Solana. Tuy nhiên, cảnh quan khai thác phân phối cao của Bitcoin (với hàng ngàn thợ mỏ độc lập) đã tạo ra một hồ sơ rủi ro tập trung khác so với tập hợp trình xác thực tập trung hơn của Solana.

Trì hoãn Constantinople của Ethereum (2019)

Giờ trước khi diễn ra hard fork được lên lịch, các nhà nghiên cứu Ethereum đã phát hiện một vector tấn công tiềm tàng trong việc thực hiện EIP-1283. Các nhà phát triển cốt lõi đã tổ chức một cuộc gọi khẩn cấp được phát trực tiếp công khai, trì hoãn nâng cấp qua một quá trình minh bạch. Trong khi điều này cho phép tối đa hóa sự minh bạch, nó cũng tạo ra một bước cửa sổ nơi lỗ hổng là công khai nhưng chưa được sửa chữa.

Việc Khắc phục Âm thầm $2.2 tỷ của Polygon (2021)

Có lẽ gần giống nhất với tình huống của Solana, Polygon âm thầm vá một lỗ hổng mà đã đe dọa đến $2.2 tỷ, cập nhật 90% các nút trước khi công bố. Họ đã trả một khoản thưởng lỗi kỷ lục $2 triệu cho hacker mũ trắng đã xác định vấn đề, nhưng cũng đối mặt với các chỉ trích tương tự về trung tâm hóa.

"Điều thú vị là mọi chuỗi lớn đều đã đối mặt với tình huống này và giải quyết nó hơi khác đi một chút," Dr. Lei Zhang, nhà nghiên cứu quản trị blockchain tại UC Berkeley nhận định. "Không có giải pháp hoàn hảo - chỉ có cân bằng khác nhau giữa sự thực dụng bảo mật và lý tưởng phi tập trung."

Kiến Trúc Kỹ Thuật của Solana: Tốc độ so với Phi tập trung

Các lựa chọn thiết kế cơ bản của Solana luôn phản ánh sự ưu tiên về hiệu suất và trải nghiệm người dùng, đôi khi phải đánh đổi với sự phi tập trung tối đa:

Yêu Cầu Phần cứng Trình xác thực

Chạy một trình xác thực Solana yêu cầu phần cứng mạnh mẽ hơn nhiều so với nhiều mạng cạnh tranh, tạo ra các rào cản nhập cảnh cao hơn. Tính đến tháng 5 năm 2025, các thông tin kỹ thuật khuyên dùng bao gồm 24 lõi CPU, 128GB RAM, và 2TB lưu trữ NVMe tốc độ cao - yêu cầu này hạn chế ai có thể tham gia vào sự đồng thuận mạng.

Proof-of-History và Lựa chọn Leader

Cơ chế đồng thuận Proof-of-History của Solana tạo ra một lợi thế hiệu quả nhưng yêu cầu các trình xác thực duy trì thời gian và điều phối chính xác, ưu tiên các hoạt động chuyên nghiệp hơn đối với những người tham gia bình thường.

Phân Phối Cổ phần Tập trung

Mặc dù về mặt kỹ thuật có hơn 1.900 trình xác thực, phân tích từ DefiLlama chỉ ra rằng 20 thực thể hàng đầu kiểm soát khoảng 33% tổng số cổ phần, tạo ra một cấu trúc quyền lực tập trung.

"Solana đã thực hiện những lựa chọn kiến trúc rõ ràng ưu tiên hiệu suất, và điều đó mang đến những hệ quả quản trị," nhận định của chuyên gia". Nội dung: cố vấn Michael Chen. "Mạng có thể xử lý 65,000 giao dịch mỗi giây với thời gian hoàn tất dưới một giây, đặc biệt là vì nó chấp nhận một mức độ chuyên nghiệp hóa và tập trung hóa của các nhà xác thực."

Phản Ứng Của Thị Trường Và Hệ Sinh Thái

Bất chấp tranh cãi, hệ sinh thái của Solana đã cho thấy sự bền bỉ đáng kể. Trong hai tuần sau khi thông tin được tiết lộ:

  • Giá token SOL ban đầu giảm 7% trước khi phục hồi phần lớn thiệt hại
  • Hoạt động của các nhà phát triển trên GitHub vẫn ổn định theo dõi của Electric Capital
  • Tổng Giá Trị Khóa (TVL) trong các giao thức DeFi trên Solana giảm tạm thời 4% trước khi trở lại mức trước khi thông tin bị tiết lộ

Jupiter Aggregator, giao thức DeFi lớn nhất của Solana với hơn 3 tỷ đô la trong TVL, đã đưa ra tuyên bố ủng hộ cách Solana Foundation xử lý sự cố: "Mặc dù sự minh bạch của quản trị là rất quan trọng, việc bảo vệ quỹ người dùng phải được ưu tiên. Thực tế là không có khai thác nào xảy ra chứng tỏ quản lý khủng hoảng hiệu quả."

Không phải tất cả các dự án đều ủng hộ như vậy. Marinade Finance, nhà cung cấp staking liquid lớn nhất trên Solana, đã công bố kế hoạch triển khai hệ thống cảnh báo nhà xác thực của riêng họ và thúc đẩy sự minh bạch hơn trong việc sửa chữa bảo mật trong tương lai.

Con Đường Phía Trước: Cân Bằng Giữa Bảo Mật Và Phi Tập Trung

Sự cố này đã kích động một số sáng kiến quản trị trong hệ sinh thái Solana:

Khung Tiết Lộ Bảo Mật Chính Thức

Solana Foundation đã công bố công việc trên khung tiết lộ bảo mật toàn diện, rõ ràng định nghĩa cách thức xử lý lỗ hổng, bao gồm tiêu chí cho thông báo riêng tư và thông báo công khai cũng như quy trình phối hợp nhà xác thực.

Hệ Thống Cảnh Báo Sớm Phi Tập Trung

Một số nhóm phát triển độc lập đang xây dựng hệ thống cảnh báo phi tập trung cho phép các nhà xác thực cùng nhau báo hiệu những vấn đề tiềm năng mà không phải phụ thuộc vào các kênh truyền thông tập trung.

Đa Dạng Hóa Quản Trị

Các thành viên chính trong hệ sinh thái bao gồm ví Phantom, Magic Eden, và Orca đã kêu gọi đa dạng hóa quyền lực quản trị thông qua các ưu đãi uỷ quyền và cấu trúc subDAO cho nhà xác thực.

"Vụ việc này buộc chúng tôi phải đối mặt với thực tế khó chịu - phản ứng với bảo mật và phi tập trung không phải lúc nào cũng hoàn hảo tương thích," thừa nhận Anatoly Yakovenko, đồng sáng lập của Solana, trong một cuộc gọi với các nhà phát triển gần đây. "Chúng ta cần xây dựng các hệ thống tối đa hóa cả hai thay vì coi chúng như những lựa chọn nhị phân."

Tác Động Rộng Hơn Đối Với Ngành Công Nghệ Chuỗi Khối

Sự cố và cách xử lý lỗ hổng của Solana đem lại nhiều bài học quan trọng cho hệ sinh thái chuỗi khối rộng lớn hơn:

  1. Các tính năng tiên tiến yêu cầu bảo mật tiên tiến: Khi các chuỗi khối triển khai các kỹ thuật mật mã phức tạp hơn, bề mặt tấn công sẽ mở rộng theo những cách yêu cầu sự chuyên môn bảo mật chuyên biệt.

  2. Minh bạch trong quản trị đòi hỏi thiết kế có chủ ý: Các mạng phải xây dựng hệ thống quản trị cho phép đáp ứng bảo mật trong khi vẫn duy trì lòng tin và sự minh bạch.

  3. Các lớp kỹ thuật và xã hội không thể tách rời: Hợp đồng xã hội của một chuỗi khối quan trọng như mã của nó - thường còn quan trọng hơn trong các tình huống khủng hoảng.

  4. Sự trưởng thành của thị trường đang tăng: Phản ứng thị trường tương đối cân nhắc cho thấy sự tinh tế ngày càng tăng trong số các nhà đầu tư tiền điện tử, những người có thể phân biệt giữa các lỗ hổng kỹ thuật và khuyết điểm thiết kế cơ bản.

Kết Luận: Nghịch Lý Của Hệ Thống Không Cần Niềm Tin

Lỗ hổng token Solana cuối cùng nổi bật một nghịch lý cơ bản tại trung tâm của công nghệ chuỗi khối: các hệ thống được thiết kế để loại bỏ niềm tin thường vẫn yêu cầu điều đó ở các thời điểm quan trọng.

Khi một lỗi có thể gây thảm họa xuất hiện, sự phi tập trung hoàn hảo có thể phải tạm nhường chỗ cho những lo ngại về bảo mật thực tiễn. Câu hỏi không phải là liệu những sự thỏa hiệp như vậy có xảy ra hay không, mà là chúng được cấu trúc, truyền tải và giới hạn ra sao.

Khi công nghệ chuỗi khối tiếp tục tiến tới sự chấp nhận chính thống, mỗi mạng lưới sẽ cần tìm ra sự cân bằng của riêng mình giữa chủ nghĩa thực tế về bảo mật và lý tưởng tính phi tập trung. Với Solana, sự cố này đại diện cho cả một câu chuyện thành công kỹ thuật và là một hồi chuông cảnh tỉnh về quản trị - điều sẽ ảnh hưởng đến cách tất cả các chuỗi khối hiệu năng cao tiếp cận với việc cân bằng tế nhị giữa bảo vệ và độ tinh sạch của giao thức.

Mạng lưới giành được niềm tin lớn nhất cuối cùng có thể không phải là mạng lưới không bao giờ đối mặt với lỗ hổng, mà là mạng lưới xử lý chúng với cân bằng tối ưu giữa hiệu quả và sự minh bạch.

Tuyên bố miễn trừ trách nhiệm: Thông tin được cung cấp trong bài viết này chỉ nhằm mục đích giáo dục và không được coi là lời khuyên tài chính hoặc pháp lý. Luôn tự nghiên cứu hoặc tham khảo ý kiến chuyên gia khi giao dịch với tài sản tiền điện tử.
Tin tức mới nhất
Xem tất cả tin tức
Các vụ tấn công tiền điện tử tháng 4 năm 2025 đạt 92,5 triệu USD: Ethereum, Chuỗi BNB và Base bị nhắm mục tiêu
13 phút trước
Các vụ tấn công vào các giao thức tài chính phi tập trung trong tháng 4 năm 2025 đã gây tổn thất 92,5 triệu USD qua 15 vụ việc riêng biệt—tăng 27.3% so với
Visa muốn hệ thống AI điều hành thẻ tín dụng của bạn, hợp tác với OpenAI, Perplexity
29 phút trước
Visa hợp tác với các nhà phát triển AI hàng đầu để hợp nhất hệ thống của họ với mạng thanh toán của Visa, biến đổi cách người tiêu dùng mua sắm.
Tether AI ra mắt ví tự quản với tính năng hỗ trợ Bitcoin và USDT
2 giờ trước
Nền tảng Tether AI sẽ hỗ trợ thanh toán tiền mã hóa, sử dụng hạ tầng ngang hàng và khung ví tự quản để tương tác tài chính không ma sát và chống kiểm duyệt.
Vitalik Buterin Công Bố Kế Hoạch 5 Năm Để Làm Cho Ethereum "Đơn Giản Như Bitcoin"
4 giờ trước
Nhà sáng lập Ethereum công bố kế hoạch 5 năm đầy tham vọng nhằm đơn giản hóa mạng lưới blockchain khi giá vẫn thấp hơn 63%.
Deutsche Bank dự báo suy giảm đồng đô la, nhìn thấy tỷ giá EUR/USD đạt 1.30 vào cuối thập kỷ
7 giờ trước
Deutsche Bank dự báo xu hướng giảm lớn cho USD, với EUR/USD đạt 1.30 do thay đổi chính sách toàn cầu.
Bitcoin ETFs thu hút 1,81 tỷ USD hàng tuần khi nhà đầu tư quay trở lại thị trường tiền số
8 giờ trước
Các quỹ ETF Bitcoin thu hút 1,81 tỷ USD tiền gửi ròng trong tuần kết thúc vào ngày 2/5, đánh dấu lần gửi hàng tuần lớn thứ ba kể từ năm 2025.
Nhịp Đập Thị Trường Toàn Cầu Hàng Tuần – Đàm Phán Thương Mại Gợi Hy Vọng, Nhưng Dầu Mỏ và Ô Tô Gây Thận Trọng
22 giờ trước
Thị trường toàn cầu tuần này phản ứng với hàng loạt biến cố vĩ mô và địa chính trị, nổi bật là các cuộc đàm phán thương mại Mỹ–Trung tiềm năng.