Moonwell, một giao thức cho vay phi tập trung (DeFi) hoạt động trên các hệ sinh thái Base và Optimism, đã trở thành mục tiêu của một cuộc khai thác có tính toán khiến các hacker thu về khoảng 1,78 triệu đô la. Nguyên nhân chính bắt nguồn từ một oracle định giá cho Coinbase Wrapped Staked ETH (cbETH) trả về giá trị bất thường thấp—khoảng 1,12 đô la thay vì mức giá đúng gần 2.200 đô la—tạo ra sự sai lệch giá mà các đối tượng tinh vi có thể lợi dụng để kiếm lợi nhuận. Sự cố này nhấn mạnh tính dễ tổn thương của hạ tầng DeFi liên chuỗi khi các feed giá bị sai lệch và các hệ thống tự động mắc kẹt vào dữ liệu sai lệch. Nó cũng làm nổi bật vai trò của phát triển hỗ trợ AI trong an ninh hợp đồng thông minh, một chủ đề ngày càng gây tranh cãi khi các nhóm dựa vào các công cụ AI để tăng tốc lập trình và kiểm tra.
Câu chuyện liên kết một sự sai lệch kỹ thuật về giá cả với các câu hỏi về quản trị và kỹ thuật vượt ra ngoài một vụ khai thác đơn lẻ. Sau sự cố, hoạt động phát triển của Moonwell đã bị đặt trong tầm ngắm sau khi nhà nghiên cứu bảo mật Leonid Pashov đăng tải lo ngại trên mạng xã hội về các đóng góp hỗ trợ AI trong mã nguồn cơ bản. Các pull request liên quan đến các hợp đồng bị ảnh hưởng cho thấy nhiều lần commit được đồng tác giả bởi Claude Opus 4.6, một tham chiếu đến công cụ AI của Anthropic, khiến Pashov công khai mô tả vụ việc như một ví dụ về mã Solidity do AI viết hoặc hỗ trợ gây ra sự cố. Cuộc thảo luận không chỉ về AI; nó tập trung vào việc liệu việc tự động tạo mã có đi kèm các biện pháp bảo vệ phù hợp hay không.
Trong cuộc trò chuyện với Cointelegraph, Pashov mô tả quá trình phát hiện: nhóm đã liên kết vụ việc với Claude vì nhiều commit trong pull request được gán cho quy trình làm việc hỗ trợ AI của Claude, cho thấy nhà phát triển đã sử dụng AI để viết một phần mã. Ý nghĩa rộng hơn, ông lập luận, không phải AI bản thân đã có lỗi mà là quá trình đã thiếu các kiểm tra nghiêm ngặt và xác thực toàn diện. Sự phân biệt này quan trọng vì nó đặt vụ việc như một bài học cảnh báo về quản trị, kỷ luật kiểm tra và độ tin cậy của quy trình thử nghiệm—những yếu tố cần thiết cho bất kỳ dự án DeFi nào thử nghiệm phát triển dựa trên AI.
Mã nguồn dễ tổn thương dẫn đến vụ khai thác Moonwell. Nguồn: Pashov
Các bình luận ban đầu từ nhóm Moonwell cho thấy ban đầu chưa có nhiều thử nghiệm hoặc kiểm tra kỹ lưỡng. Sau đó, nhóm khẳng định rằng các bài kiểm tra đơn vị và tích hợp đã tồn tại trong một pull request riêng và rằng đã có một cuộc kiểm tra độc lập từ Halborn. Đánh giá của Pashov vẫn cho rằng sự sai lệch giá có thể đã được phát hiện bằng một bài kiểm tra tích hợp đủ nghiêm ngặt, kết nối logic trên chuỗi và ngoài chuỗi, mặc dù ông từ chối chỉ đích danh bất kỳ công ty kiểm toán nào. Cuộc tranh luận xoay quanh việc liệu mã do AI tạo ra hoặc hỗ trợ có nên được xem là dữ liệu không đáng tin cậy, cần phải qua các quy trình quản trị chặt chẽ, kiểm soát phiên bản và xem xét đa người, đặc biệt trong các lĩnh vực rủi ro cao như kiểm soát truy cập, tương tác oracle, logic định giá và các lộ trình nâng cấp.
Ngoài các chi tiết kỹ thuật, vụ việc Moonwell đã làm rõ hơn cuộc trò chuyện rộng lớn về vai trò của AI trong chu trình phát triển crypto. Fraser Edwards, đồng sáng lập kiêm CEO của cheqd, một nhà cung cấp hạ tầng danh tính phi tập trung, lập luận rằng cuộc tranh luận về “lập trình vibe” che giấu hai thực tế khác nhau trong việc sử dụng AI. Một mặt, các nhà sáng lập không kỹ thuật có thể dựa vào AI để soạn thảo mã mà họ không thể tự kiểm tra; mặt khác, các nhà phát triển dày dạn kinh nghiệm có thể tận dụng AI để tăng tốc các chỉnh sửa, khám phá mẫu và thử nghiệm ý tưởng trong một môi trường kỹ thuật đã trưởng thành. Edwards nhấn mạnh rằng phát triển hỗ trợ AI có thể hữu ích ở giai đoạn MVP nhưng không bao giờ thay thế hạ tầng sẵn sàng cho sản xuất trong các môi trường đòi hỏi vốn lớn như DeFi.
Edwards kêu gọi rằng bất kỳ mã hợp đồng thông minh nào do AI tạo ra cũng cần được xem như dữ liệu không đáng tin cậy, yêu cầu kiểm soát phiên bản chặt chẽ, quyền sở hữu rõ ràng, xem xét đa người và thử nghiệm nâng cao—đặc biệt đối với các mô-đun quản lý kiểm soát truy cập, oracle, logic định giá và cơ chế nâng cấp. Ông bổ sung rằng việc tích hợp AI có trách nhiệm cuối cùng phụ thuộc vào quản trị và kỷ luật, với các cổng xem xét rõ ràng và sự phân chia giữa tạo mã và xác thực. Mục tiêu là đảm bảo rằng các triển khai trong môi trường đối đầu tiềm ẩn rủi ro có thể được giảm thiểu chủ động.
Thiệt hại nhỏ, câu hỏi quản trị lớn
Vụ việc Moonwell nằm trong bối cảnh rộng hơn nơi mà khẩu vị rủi ro của DeFi gặp phải các thực hành phát triển đang tiến hóa. Trong khi số tiền của vụ khai thác này còn nhỏ so với một số vụ vi phạm nổi tiếng nhất của DeFi—như vụ hack cầu Ronin tháng 3 năm 2022 hơn 600 triệu đô la—tình huống này phơi bày cách các quyết định quản trị, độ nghiêm ngặt của thử nghiệm và lựa chọn công cụ có thể ảnh hưởng đến kết quả theo thời gian thực. Sự kết hợp giữa chỉnh sửa hỗ trợ AI, sai lệch oracle và mã đã được kiểm toán sẵn đặt ra câu hỏi sắc nét: các dự án nên cân bằng thế nào giữa tốc độ, đổi mới và an toàn khi AI là một phần trong quy trình phát triển? Những bài học này áp dụng cho bất kỳ giao thức nào dựa vào feed giá bên ngoài và các lộ trình nâng cấp phức tạp, đặc biệt khi các nâng cấp đó liên quan đến thế chấp và rủi ro thanh khoản.
Khi ngành công nghiệp cân nhắc các yếu tố này, vụ việc Moonwell như một bài kiểm tra thực tế về các mô hình an ninh cố gắng mở rộng phát triển dựa trên AI mà không làm giảm các biện pháp bảo vệ thiết yếu. Nó nhấn mạnh rằng ngay cả khi đã có kiểm toán và thử nghiệm, việc xác thực toàn diện bao gồm các tương tác trên chuỗi và ngoài chuỗi vẫn là điều cần thiết. Mâu thuẫn giữa việc phát triển nhanh và xác minh toàn diện có khả năng sẽ còn kéo dài, đặc biệt khi nhiều giao thức khám phá các công cụ hỗ trợ AI để duy trì tốc độ đổi mới trong khi vẫn đảm bảo an ninh.
“Lập trình vibe” vs sử dụng AI có kỷ luật
Cuộc thảo luận về lập trình hỗ trợ AI trong crypto đã chuyển từ một phản đối nhị nguyên về AI so với nhà phát triển con người sang một cuộc tranh luận tinh tế về quy trình. Những phản ánh của Edwards nhấn mạnh rằng AI có thể là một trợ giúp hiệu quả khi được tích hợp trong một khung kỷ luật nhấn mạnh các giới hạn, quyền sở hữu và thử nghiệm nghiêm ngặt. Vụ việc Moonwell củng cố quan điểm rằng mã do AI tạo ra vẫn cần được kiểm tra kỹ lưỡng như mã viết tay, thậm chí còn nhiều hơn nữa, do các rủi ro cao trong DeFi.
Về mặt thực tế, vụ việc này mời gọi một sự đánh giá lại cách các quy trình hỗ trợ AI được quản lý trong nhóm phát triển hợp đồng thông minh: ai sở hữu đầu ra do AI tạo ra, cách các thay đổi được xem xét, và các bài kiểm tra tự động phản ánh các kịch bản thực tế trên blockchain như thế nào. Điểm trung tâm là không chống lại công nghệ mà là đảm bảo rằng các kênh quản trị, quy trình kiểm toán và xác thực trên chuỗi vẫn đủ mạnh để phát hiện các sai lệch cấu hình và sai lệch giá trước khi vốn bị rủi ro.
Điều cần chú ý tiếp theo
Moonwell đề xuất các bước khắc phục và thay đổi quản trị sau vụ khai thác, bao gồm các thay đổi trong tích hợp oracle và lộ trình nâng cấp.
Các kiểm toán viên và nhóm Moonwell công bố báo cáo hậu sự cố chi tiết và khung thử nghiệm sửa đổi, liên kết rõ ràng các kịch bản trên chuỗi với các bài kiểm tra đơn vị và tích hợp.
Các kiểm toán độc lập bổ sung tập trung vào quy trình phát triển hỗ trợ AI và tác động của chúng đối với các thành phần quan trọng của hợp đồng thông minh.
Các cải tiến theo dõi và cảnh báo trên chuỗi được triển khai để phát hiện các bất thường về giá theo thời gian thực và kích hoạt các biện pháp bảo vệ như circuit breaker hoặc tạm dừng hoạt động.
Nguồn & xác minh
Pull request hợp đồng Moonwell v2 đã phát hiện vấn đề sai lệch giá: https://github.com/moonwell-fi/moonwell-contracts-v2/pull/578
Thảo luận công khai của nhà nghiên cứu bảo mật Pashov về các commit hỗ trợ AI trong Moonwell: https://x.com/pashov/status/2023872510077616223
Bối cảnh về các vụ khai thác DeFi và các tác động quản trị (Ronin, Nomad, v.v.) được đề cập trong các bài viết liên quan: https://cointelegraph.com/news/battle-hardened-ronin-bridge-to-axie-reopens-following-600m-hack và https://cointelegraph.com/news/suspect-behind-190-million-nomad-bridge-hack-extradited-us
Các cuộc thảo luận liên quan về AI trong quản trị crypto và các thực hành phát triển hỗ trợ AI được trích dẫn trong các diễn đàn ngành
Lập trình hỗ trợ AI, sai lệch giá và quản trị Moonwell: ý nghĩa đối với DeFi
Kinh nghiệm của Moonwell minh họa một mâu thuẫn thực tế tại điểm giao thoa giữa công cụ hỗ trợ AI và an ninh DeFi. Một sai lệch giá có thể khai thác trong feed giá cbETH cho thấy rằng ngay cả những lỗi số nhỏ trong oracle cũng có thể dẫn đến thiệt hại đáng kể khi chiến lược và dòng vốn dựa vào đó. Bài học rộng hơn rõ ràng: phát triển hỗ trợ AI có thể thúc đẩy quá trình lặp lại nhanh hơn, nhưng không loại bỏ được nhu cầu kiểm tra toàn diện mô phỏng các tương tác thực tế trên blockchain.
Trong ngắn hạn, vụ việc này nên thúc đẩy các nhóm dự án xem xét lại cấu trúc quản trị liên quan đến tạo mã, quyền sở hữu xem xét và cân bằng giữa công cụ tự động và sự giám sát của con người. Nó cũng nhấn mạnh tầm quan trọng của các bài kiểm tra tích hợp mạnh mẽ kết nối trạng thái trên chuỗi với dữ liệu bên ngoài, đảm bảo rằng sai lệch giá không thể bị khai thác theo cách vượt qua các biện pháp kiểm soát rủi ro. Khi các dự án khác thử nghiệm các quy trình phát triển hỗ trợ AI, trường hợp của Moonwell có thể trở thành một tham chiếu về cách cân bằng giữa tốc độ và an ninh, cũng như ai chịu trách nhiệm khi mã hỗ trợ AI góp phần tạo ra lỗ hổng.
