Cardano lần đầu tiên xảy ra chia rẽ lớn! Nhà phát triển dựa vào AI để kiểm tra giao dịch, nhà sáng lập báo cáo FBI

Cardano trị giá 14 tỷ USD lần đầu tiên sau 8 năm vận hành đối mặt với sự kiện phân tách chuỗi nghiêm trọng, tạm thời chia thành hai chuỗi cạnh tranh nhau. Một nhà phát triển đã thừa nhận trách nhiệm trên X, cho biết họ đã “ngu ngốc tin tưởng chỉ dẫn của AI” khi thử nghiệm giao dịch độc hại. Nhà sáng lập Charles Hoskinson gọi hành động của nhà phát triển là “hoàn toàn do tư thù cá nhân” và tuyên bố “FBI đã vào cuộc”.

Toàn cảnh sự kiện phân tách chuỗi đầu tiên của Cardano sau 8 năm

(Nguồn: Intersect)

Sự cố bắt đầu vào khoảng 08:00 UTC, khi một giao dịch ủy nhiệm sai định dạng đã vượt qua kiểm tra xác thực của các node phiên bản mới, nhưng lại bị cơ sở hạ tầng phiên bản cũ từ chối đúng cách, dẫn đến trạng thái sổ cái không tương thích trên toàn mạng lưới. Theo báo cáo sự kiện do tổ chức hệ sinh thái Cardano là Intersect công bố, tình huống bất thường này rất giống với sự cố trên testnet Cardano một ngày trước đó, cho thấy lỗ hổng này đã được thử nghiệm trước khi phát tán lên mainnet.

Lỗ hổng này tồn tại trong phần mềm node suốt 3 năm, nhưng chỉ khi giao dịch được thiết kế kỹ lưỡng này được phát tán lên mainnet mới bị kích hoạt và gây hậu quả nghiêm trọng. Báo cáo của Intersect lưu ý: “Điều đáng chú ý là mạng lưới không bị đình trệ. Trong suốt sự kiện, sản xuất block trên cả hai chuỗi vẫn diễn ra liên tục và ít nhất một số giao dịch giống nhau xuất hiện trên cả hai chuỗi.”

Kiểu “phân tách hoạt động” về mặt kỹ thuật này còn nguy hiểm hơn cả việc ngưng hoạt động hoàn toàn, bởi nó khiến các node khác nhau xử lý giao dịch dựa trên trạng thái sổ cái khác nhau, có thể dẫn tới chi trả kép hoặc giao dịch được xác nhận trên một chuỗi nhưng bị từ chối trên chuỗi còn lại. Trong thời gian phân tách, các block explorer bị treo hoặc hiển thị thông tin mâu thuẫn. Giao thức DeFi bị trạng thái không nhất quán sau phân tách, tương tác smart contract có thể thực thi trên một chuỗi còn giao dịch liên quan lại rơi vào chuỗi khác.

Thời gian xác nhận giao dịch Cardano thường chỉ vài giây, nhưng do mạng gặp sự cố phân tách, đã kéo dài lên tới vài phút hoặc thậm chí thất bại hoàn toàn. Trải nghiệm người dùng suy giảm nghiêm trọng đã lập tức khiến cộng đồng cảnh giác, các nhà phát triển và vận hành node bắt đầu báo cáo bất thường trên mạng xã hội và kênh Discord.

Sàn giao dịch tạm ngừng giao dịch, giá ADA lao dốc 16%

Dù mạng lưới Cardano về mặt kỹ thuật vẫn hoạt động, các sàn giao dịch lớn đã đồng loạt tạm ngừng giao dịch ADA để theo dõi chuỗi nào sẽ đạt được đồng thuận cuối cùng. Sàn giao dịch tiền số lớn nhất Mỹ đã gián đoạn lâu nhất, từ 12:15 ngày 21/11 đến 02:10 ngày 22/11 theo giờ UTC, chức năng nạp/rút bị tạm dừng khoảng 14 tiếng. Các sàn lớn khác cũng tạm dừng ngắn hơn trong thời gian xác minh tính toàn vẹn của sổ cái.

Cách tiếp cận thận trọng của các sàn là rất cần thiết. Trong thời gian blockchain bị phân tách, nếu sàn xử lý nạp/rút trên chuỗi sai có thể dẫn đến mất tiền. Trong lịch sử, sự phân tách giữa Ethereum Classic (ETC) và Ethereum (ETH) từng khiến một số sàn thiệt hại hàng triệu USD do không xử lý đúng tấn công phát lại.

Phản ứng thị trường rất nhanh và dữ dội. Sau sự kiện, giá ADA giảm 16%, từ khoảng 0,49 USD xuống còn 0,41 USD. Đợt bán tháo này phản ánh lo ngại của nhà đầu tư về sự ổn định của mạng Cardano. Dù giá sau đó hồi nhẹ, nhưng theo trang giá Cardano của The Block, hiện vẫn giao dịch quanh 0,41 USD, cho thấy niềm tin thị trường chưa hồi phục hoàn toàn.

Trong thời gian IOG, Cardano Foundation, Intersect và EMURGO phối hợp ứng phó khẩn cấp, mạng lưới bị phân tách kéo dài hàng giờ. Nhóm phát triển Cardano đã triển khai bản vá khẩn cấp chỉ sau ba tiếng phát hiện sự cố, phản ứng nhanh này phần nào xoa dịu hoảng loạn thị trường. Mạng lưới trở lại bình thường vào ngày 22/11 nhờ đồng thuận tự nhiên, nghĩa là đa số node cuối cùng chọn cùng một chuỗi làm chuỗi chính, chuỗi còn lại bị bỏ rơi.

Nhà phát triển xin lỗi, thừa nhận “ngu ngốc tin AI chỉ dẫn”

Chỉ vài giờ sau sự cố, người dùng X có tên “Homer J” công khai thừa nhận mình gây ra phân tách chuỗi, gọi đó là tai nạn thử nghiệm “bất cẩn” và gửi lời xin lỗi tới cộng đồng Cardano. Lời giải thích của anh tiết lộ một chi tiết gây sốc: sự cố này xuất phát từ việc mù quáng tin vào công cụ AI.

“Lúc đầu tôi chỉ muốn thử thách bản thân, xem có thể tái hiện giao dịch lỗi đó không, ai ngờ tôi ngu ngốc tới mức tin chỉ dẫn của AI, khóa toàn bộ luồng vào/ra của server Linux mà không kiểm tra kỹ trên testnet trước,” Homer J viết trên X. “Tôi xấu hổ vì sự bất cẩn của mình và sẵn sàng chịu toàn bộ trách nhiệm.”

Lời tự thú này phơi bày một vấn đề ngày càng nghiêm trọng trong phát triển phần mềm hiện nay: lập trình viên quá phụ thuộc vào trợ lý lập trình AI (như ChatGPT, GitHub Copilot…), nhưng không hiểu hoặc kiểm thử đầy đủ mã do AI sinh ra. Trong trường hợp này, AI có thể đã gợi ý một cấu hình mạng hoặc cách tạo giao dịch, và lập trình viên thực hiện mà không xác minh kỹ, cuối cùng kích hoạt lỗ hổng trên mainnet.

Quy trình thao tác sai của Homer J

Bước một: Thử tái hiện giao dịch lỗi trên testnet tại máy cá nhân

Bước hai: Hỏi công cụ AI cách tạo giao dịch đó

Bước ba: Làm theo gợi ý AI mà không kiểm tra trên testnet

Bước bốn: Vô tình kích hoạt lỗ hổng ba năm tuổi trên mainnet

Bước năm: Gây ra sự phân tách chuỗi đầu tiên trong lịch sử Cardano

Hoskinson phản ứng cứng rắn, FBI được mời vào cuộc

Dù Homer J đã xin lỗi, nhà sáng lập Cardano kiêm đồng sáng lập IOG – Charles Hoskinson – vẫn đăng tải trên X cho rằng hành động của nhà phát triển là “tấn công cố ý”. Hoskinson viết: “Đây hoàn toàn là tư thù cá nhân, giờ anh ta muốn rút lại vì biết FBI đã vào cuộc.”

Intersect và Hoskinson cũng công bố một bản thông cáo cho biết “các cơ quan chức năng và thực thi pháp luật đã được thông báo” về hành vi của nhà phát triển. Việc hình sự hóa một sự cố kỹ thuật như vậy đã gây tranh cãi gay gắt trong cộng đồng crypto. Người ủng hộ cho rằng, nếu hành động của Homer J là cố ý thì sự can thiệp của cơ quan thực thi pháp luật là hợp lý, vì có thể cấu thành lừa đảo máy tính hoặc tấn công mạng.

Tuy nhiên, người phản đối cho rằng phản ứng của Hoskinson là thái quá và có thể tạo hiệu ứng lạnh lùng với cộng đồng phát triển mã nguồn mở. Nếu lập trình viên phải đối mặt nguy cơ bị điều tra hình sự vì sai sót vô ý, họ có thể sẽ ngần ngại đóng góp cho Cardano hoặc các dự án blockchain khác. Bản chất của blockchain là phi tập trung và chống kiểm duyệt, việc kêu gọi cơ quan nhà nước vào cuộc dường như đi ngược lại triết lý này.

Nhân viên IOG từ chức, cộng đồng phát triển hoảng loạn

Quyết định mời FBI vào cuộc của Hoskinson đã khiến một nhân viên IOG công khai tuyên bố từ chức khỏi công ty phát triển Cardano. Người dùng X “Effectfully” cho biết anh tên là Roman, là lập trình viên ngôn ngữ Plutus của IOG, được xác nhận trong podcast Haskell Foundation 2024. Anh cho biết từng mắc sai lầm khi mô phỏng tấn công mạng và lo ngại sai sót lập trình trong tương lai có thể dẫn tới hậu quả pháp lý.

“Tôi không nghĩ rằng sẽ bị nhà chức trách đột kích chỉ vì nói những lời cay nghiệt trên mạng,” Effectfully đăng trên X. “Thông tin thêm, phần lớn các lỗ hổng ở tầng tính toán hoặc do tôi phát hiện trực tiếp, hoặc xuất phát từ ý tưởng của tôi.” Điều này ám chỉ nhiều cải tiến bảo mật của Cardano thực chất đến từ việc các lập trình viên chủ động tìm kiếm và báo cáo lỗ hổng. Nếu hành động như vậy có thể bị điều tra pháp lý, các nhà phát triển sẽ trở nên thận trọng hoặc rời bỏ dự án.

Sự từ chức này đã kéo theo sự suy ngẫm sâu sắc trong cộng đồng Cardano. Dự án blockchain mã nguồn mở phụ thuộc vào đóng góp tự nguyện của các lập trình viên toàn cầu, mà những đóng góp đó thường liên quan tới việc khám phá giới hạn hệ thống và tìm kiếm lỗ hổng tiềm ẩn. Nếu lập trình viên có thể bị điều tra hình sự chỉ vì vô tình kích hoạt lỗ hổng, toàn bộ mô hình phát triển mã nguồn mở có thể bị đe dọa.