Zcash đã mất hơn 5 tỷ USD giá trị thị trường sau khi các nhà phát triển của nó, sử dụng Anthropic's Claude AI, phát hiện ra một lỗ hổng tồn tại lâu dài trong một trong những hệ thống bảo mật của mình, có thể đã cho phép tạo ra các token giả mạo mà không dễ bị phát hiện.
Phản ứng trước thông tin này, dữ liệu từ CryptoSlate cho thấy ZEC đã giảm hơn 50%, xuống mức thấp nhất là 255 USD, trước khi phục hồi lên khoảng 321 USD tính đến thời điểm báo chí. Đây là sự đảo chiều mạnh mẽ đối với một tài sản từng tăng hơn 1.000% trong năm qua, khi các nhà giao dịch khôi phục niềm tin vào quyền riêng tư tài chính.
Sự sụt giảm giá khiến vốn hóa thị trường của token tập trung vào quyền riêng tư giảm từ khoảng 10 tỷ USD xuống còn khoảng 4,5 tỷ USD trong giai đoạn báo cáo. Tính đến thời điểm báo chí, vốn hóa đã tăng lên 5,3 tỷ USD.
Vốn hóa thị trường của Zcash (Nguồn: Tradingview)
Tuy nhiên, các nhà phát triển Zcash khẳng định rằng lỗ hổng đã được phát hiện trước khi kẻ tấn công có thể lợi dụng nó, được vá trong vòng vài ngày và đã được khắc phục thông qua một bản nâng cấp mạng khẩn cấp.
Tuy nhiên, việc tiết lộ này đặt ra một câu hỏi khó khăn hơn cho các nhà đầu tư Zcash: thị trường cần bao nhiêu sự đảm bảo khi hệ thống bị ảnh hưởng được thiết kế để che giấu số tiền giao dịch và lịch sử ví theo mặc định.
Một cuộc biểu tình về tiền riêng tư bị phá vỡ bởi một công bố công khai
Zcash ra mắt vào năm 2016 như một trong những nỗ lực sớm nhất nhằm xây dựng tiền kỹ thuật số riêng tư. Không giống như Bitcoin, nơi sổ cái cho phép bất kỳ ai truy xuất số dư và giao dịch,
Zcash cho phép người dùng chuyển tiền thông qua các địa chỉ được che giấu, giúp ẩn đi số tiền, người gửi và người nhận. Thiết kế này đã mang lại cho token này sự quan trọng mới, khi các chính phủ, sàn giao dịch và các công ty phân tích mở rộng khả năng giám sát các blockchain công khai.
Dữ liệu từ Zechub cho thấy khoảng 30% lượng ZEC đang lưu hành, tương đương hơn 5 triệu đồng coin, hiện nằm trong các địa chỉ được che giấu.
Nguồn cung được che giấu của Zcash (Nguồn: Zechub)
Cuộc biểu tình gần đây phản ánh sự thay đổi đó. Các nhà giao dịch từng coi ZEC là một trong những phương tiện rõ ràng nhất cho giao dịch quyền riêng tư, nhờ sự gia tăng lo ngại về giám sát, trí tuệ nhân tạo và khả năng tiếp cận dữ liệu tài chính của nhà nước.
Tuy nhiên, đà tăng này đột ngột đảo ngược sau khi Shielded Labs công bố chi tiết về một lỗ hổng trong Orchard, pool được che giấu tiên tiến nhất của Zcash.
[
Bài đọc liên quan
Zcash được đồn đại là ngừng hoạt động – rồi trở thành người chiến thắng duy nhất của crypto
Zcash tăng mạnh sau khi một lỗi nghiêm trọng trong Orchard được vá, dù thị trường crypto rộng lớn hơn đang chịu áp lực thanh lý.
4 tháng 6, 2026 · Oluwapelumi Adejumo
Shielded Labs cho biết lỗ hổng này được phát hiện vào ngày 29 tháng 5 bởi Taylor Hornby, một kỹ sư bảo mật mà họ thuê vào tháng 4 để tìm kiếm các lỗ hổng giao thức trước khi các tác nhân xấu có thể phát hiện chúng.
Hornby đã sử dụng mô hình trí tuệ nhân tạo Opus 4.8 của Anthropic trong quá trình kiểm tra chuyên sâu mạch mã hóa của Orchard.
Kết quả kiểm tra phát hiện một lỗi có thể cho phép kẻ tấn công tạo ra ZEC giả mạo trong Orchard mà không bị phát hiện. Shielded Labs cho biết Hornby đã viết một exploit hoàn chỉnh và thử nghiệm nó trong môi trường cục bộ, nơi nó tạo ra vô hạn ZEC giả mạo trông hợp lệ.
Hornby lập tức báo cáo vấn đề này cho Zcash Open Development Lab, nơi phối hợp phản ứng khẩn cấp.
Sau đó, các nhà phát triển mạng đã đưa ra một thay đổi tạm thời để vô hiệu hóa các hành động bị ảnh hưởng của Orchard trước khi triển khai bản nâng cấp hard-fork sửa lỗi và khôi phục đầy đủ chức năng.
Lỗi này tồn tại trong pool được che giấu của Zcash suốt nhiều năm
Lỗ hổng này đặc biệt nhạy cảm vì Orchard đã hoạt động từ tháng 5 năm 2022. Điều này có nghĩa là lỗ hổng tồn tại khoảng bốn năm dù đã trải qua nhiều lần rà soát bởi các nhà mật mã, kỹ sư và kiểm toán viên.
Tổng số token trong Pool Orchard của Zcash (Nguồn: Zechub)
Đối với người không chuyên, vấn đề này có thể hiểu như một lỗi trong quy tắc quản lý các giao dịch riêng tư của Zcash.
Một giao dịch được che giấu bao gồm một bằng chứng toán học chứng minh rằng giao dịch tuân thủ đúng quy tắc của giao thức mà không tiết lộ số tiền hay lịch sử của các đồng coin. Trong trường hợp của Orchard, một trong những quy tắc này được viết khá lỏng lẻo, nên thông tin sai vẫn có thể được chấp nhận là hợp lệ.
Thực chất, lỗi này nằm ở cách triển khai mạch Orchard, tập hợp các hướng dẫn xác định xem một giao dịch riêng tư có nên được chấp nhận hay không.
Trong một blockchain minh bạch, vấn đề nguồn cung dễ kiểm tra hơn vì số dư và các giao dịch đều hiển thị rõ ràng. Trong một pool được che giấu, hệ thống cố ý ẩn thông tin đó, và người dùng phụ thuộc vào tính đúng đắn của mạch để đảm bảo mọi giao dịch riêng tư đều tuân thủ quy tắc.
Mert Mumtaz, đồng sáng lập và CEO của Helius, chỉ ra rằng hầu hết các giao thức bảo mật đều có lỗ hổng này, lập luận rằng:
“Về lý thuyết, với một giao thức bảo mật zk (không chỉ Zcash), bạn có thể có một lỗi trong mạch làm tăng nguồn cung nếu ai đó cực kỳ tinh vi phát hiện ra và khai thác nó mà không bị phát hiện (điểm khác biệt so với một vụ khai thác DeFi thông thường là nó khó phát hiện hơn).”
Đây là một trong những lý do khiến phản ứng của thị trường đối với trường hợp của Zcash trở nên nghiêm trọng.
Trong khi các nhà phát triển Zcash nói rằng chưa có bằng chứng nào cho thấy lỗ hổng này bị lợi dụng, và nhiều người ủng hộ Zcash cho rằng việc công bố và vá lỗi nhanh chóng cho thấy quy trình bảo mật của mạng lưới đang hoạt động hiệu quả.
Để đặt trong bối cảnh, Gemini đồng sáng lập Cameron Winklevoss nói:
“Zcash có các nhà mật mã, kỹ sư bảo mật và nhà nghiên cứu bảo mật vô địch. Cộng đồng cũng tập trung mạnh vào việc cải tiến liên tục và tăng cường độ an toàn của mạng lưới. Đó là lý do tại sao họ mời các nhà nghiên cứu bảo mật đẳng cấp thế giới tìm kiếm lỗi. Và đó là lý do tại sao lỗ hổng tiềm năng vừa được phát hiện. Nó không phải là tình cờ và là một sự tín nhiệm, chứ không phải nguyên nhân gây hoảng sợ.”
Tuy nhiên, các đồng tiền riêng tư phải đối mặt với biên độ nghi ngờ hẹp hơn. Giá trị của chúng không chỉ phụ thuộc vào sự bí mật mà còn vào niềm tin rằng sự bí mật không làm suy yếu các đảm bảo tiền tệ bên dưới.
Do đó, BitMEX đồng sáng lập Arthur Hayes cho biết ông đã bán hết vị thế ZEC của mình sau khi đánh giá lại luận điểm về quyền riêng tư. Hayes nói rằng rất khó có chuyện ZEC giả mạo đã được tạo ra, nhưng việc không thể chứng minh điều đó một cách chính thức đã thay đổi cách ông nhìn nhận giao dịch này.
Ông chia sẻ:
“Quyền riêng tư từ AI, chính phủ, công nghệ lớn đòi hỏi sự hoàn hảo, chứ không phải khả năng xảy ra.”
Shielded Labs thừa nhận rằng sự không chắc chắn này trực tiếp và thừa nhận rằng không có cách nào chắc chắn để xác định bằng mật mã đơn thuần liệu có vụ lợi dụng nào xảy ra trước khi sửa lỗi hay không.
Biện pháp sửa lỗi đề xuất chuyển gánh nặng trở lại cho việc xác minh
Do tình trạng bất định hiện nay trên thị trường, Shielded Labs đề xuất một bản nâng cấp mạng sẽ tạo ra một pool che giấu mới và sử dụng kế toán turnstile cho các đồng coin di chuyển khỏi Orchard.
Giới quan sát thị trường nhận định rằng đề xuất này là nỗ lực giải quyết mối lo ngại trung tâm của thị trường. Nếu Zcash không thể chứng minh chỉ dựa trên hồ sơ nội bộ của Orchard rằng các đồng coin giả mạo chưa từng được tạo ra, thì nó có thể cố gắng buộc một lộ trình di chuyển giúp cân bằng giá trị khi các đồng coin chuyển sang hệ thống mới.
Quá trình này sẽ phức tạp về mặt kỹ thuật và nhạy cảm về mặt xã hội. Nếu không có ZEC giả mạo, việc di chuyển có thể giúp khôi phục lòng tin. Nếu phát hiện sự không khớp, cộng đồng sẽ phải đối mặt với những câu hỏi khó hơn về việc nên tôn trọng số dư nào và làm thế nào để bảo vệ những người dùng giữ tiền trong pool bị ảnh hưởng.
Trong khi đó, Josh Swihart, nhà sáng lập công ty chuyên về Zcash ZODL, cho rằng vấn đề quan trọng dài hạn hơn là làm thế nào để ngăn chặn các lỗ hổng tương tự tái diễn. Ông nhấn mạnh tới việc xác minh chính thức, một quy trình sử dụng các bằng chứng toán học để đảm bảo rằng cách triển khai mạch phù hợp với các quy tắc dự kiến.
Xác minh chính thức sẽ giảm bớt sự phụ thuộc vào việc kiểm tra thủ công một quyển luật lớn và phức tạp. Thay vì yêu cầu các kiểm toán viên bắt từng trường hợp ngoại lệ bằng cách kiểm tra, các nhà phát triển có thể tạo ra một đặc tả ngắn gọn và sử dụng các bằng chứng được máy tính kiểm tra để xác minh rằng cách triển khai tuân thủ đặc tả đó.
Phương pháp này ngày càng trở nên quan trọng khi các hệ thống bảo mật trở nên tinh vi hơn. Orchard được xây dựng để tối ưu hiệu suất và chứa các trường hợp đặc biệt khiến việc kiểm tra thủ công trở nên khó khăn hơn. Một mạch đơn giản và được xác minh chính thức có thể giảm diện tích bề mặt cho loại sai sót này.
Các nhà phát triển Zcash và các nhóm liên kết hiện đang theo đuổi nhiều nỗ lực bảo mật, bao gồm tiếp tục làm việc với Hornby, xác minh chính thức mạch Orchard và tuyển thêm nhân sự bảo mật.
Shielded Labs cũng cho biết một đề xuất chi tiết về nâng cấp xác minh nguồn cung có thể được đưa ra trong thời gian tới.
AI biến các lỗi cũ thành rủi ro thị trường ngay lập tức
Vụ tiết lộ về Zcash nhấn mạnh một sự thay đổi căn bản trong kinh tế bảo mật phần mềm. Dù trí tuệ nhân tạo không tạo ra lỗ hổng Orchard, nó đã rút ngắn đáng kể khoảng thời gian giữa một rủi ro ẩn và việc phát hiện công khai.
Sự tăng tốc này đặt ra thách thức hệ thống cho toàn bộ lĩnh vực tài sản kỹ thuật số.
Các giao thức tiền điện tử dựa vào mã nguồn mở và logic tài chính phức tạp để quản lý các pool vốn khổng lồ, khiến chúng trở thành mục tiêu hấp dẫn. Các ứng dụng tài chính phi tập trung (DeFi), cầu xuyên chuỗi và blockchain lớp 1 đều từng mắc phải các lỗi cơ bản bị bỏ sót trong các cuộc kiểm tra ban đầu.
Mối đe dọa này đang diễn ra đủ nhanh để khiến các chuyên gia lâu năm trong ngành lo ngại. Tháng trước, đồng sáng lập OpenZeppelin Manuel Aráoz kêu gọi các nhà đầu tư rời khỏi DeFi hoàn toàn, cảnh báo rằng các tác nhân AI giờ đây có thể phát hiện lỗ hổng nhanh hơn nhiều so với con người.
Việc thận trọng này diễn ra khi lĩnh vực DeFi đang chịu áp lực ngày càng lớn, đã mất hơn 1,1 tỷ USD vì các vụ khai thác trong năm qua.
Gấp gáp hơn nữa là việc Anthropic lặng lẽ ra mắt Claude Mythos. Mô hình AI tìm kiếm lỗ hổng này được công ty có trụ sở tại San Francisco đánh giá là quá nguy hiểm để công khai, nhấn mạnh khả năng tổn thất đột ngột, không thể khắc phục nếu những công cụ này rơi vào tay kẻ xấu.
Trong một cuộc phỏng vấn với CryptoSlate, Deddy Lavid, giám đốc điều hành công ty bảo mật blockchain Cyvers, nhấn mạnh quy mô của vấn đề, ước tính rằng mức độ rủi ro tài chính của ngành đối với các vụ khai thác do AI dễ dàng dao động từ hàng trăm triệu đến hàng tỷ đô la.
Cuối cùng, AI là con dao hai lưỡi đối với hạ tầng blockchain. Khi các mô hình này ngày càng tinh vi, chúng giảm mạnh chi phí và nỗ lực để kẻ tấn công tìm ra điểm yếu, đồng thời cung cấp cho các nhà nghiên cứu phòng thủ công cụ để vá lỗi nhanh hơn.
Thực tế hai mặt này đã định hình phản ứng từ các lãnh đạo nổi bật trong ngành crypto. Chủ tịch Grayscale Barry Silbert gắn kết vụ Zcash như một minh chứng rõ ràng rằng tài sản kỹ thuật số đã bước vào môi trường đe dọa "được hỗ trợ bởi AI".
Tuy nhiên, các nhà vận động trong ngành khẳng định rằng nền tảng bảo vệ giao thức vẫn giữ nguyên.
Đồng sáng lập Gemini Tyler Winklevoss nhận định rằng bảo mật phần mềm luôn là cuộc chạy đua liên tục giữa các nhà phát triển và các tác nhân xấu.
Theo ông, trí tuệ nhân tạo chỉ làm tăng tốc độ cho cả hai phía. Ông chia sẻ:
“AI không thay đổi trò chơi mèo và chuột này, nó chỉ đẩy nhanh tốc độ. Mọi phần mềm đều phải chạy cuộc đua này. Không có cách nào thoát khỏi nó.”
Bài đăng Zcash mất hơn 5 tỷ USD sau khi AI phát hiện lỗi 4 năm có thể tạo ra đồng coin giả mạo ẩn xuất hiện lần đầu trên CryptoSlate.