Ngày 28 tháng 5 năm 2026, Anthropic phát hành Claude Opus 4.8. Chưa đầy 24 giờ sau, một chuyên gia bảo mật tên Taylor Hornby dùng mô hình này để tìm ra thứ mà các chuyên gia mật mã hàng đầu thế giới đã bỏ sót suốt bốn năm: một lỗ hổng nghiêm trọng trong giao thức Zcash cho phép tạo ra tiền giả không giới hạn mà không để lại bất kỳ dấu vết nào trên chuỗi khối.
Zcash là một đồng tiền mã hóa ra mắt năm 2016, được xây dựng bởi đội ngũ các nhà mật mã học và nhà khoa học máy tính hàng đầu, trong đó có nhiều người từng làm việc tại Đại học Johns Hopkins và MIT.
Điểm khác biệt cốt lõi của Zcash so với Bitcoin hay Ethereum là khả năng giao dịch hoàn toàn ẩn danh: người gửi, người nhận và số tiền đều được che giấu hoàn toàn, không ai có thể truy vết dù có quyền truy cập toàn bộ dữ liệu chuỗi khối. Công nghệ nền tảng tạo ra khả năng này là zero-knowledge proof, một thành tựu mật mã học cho phép một bên chứng minh họ biết một thông tin mà không cần tiết lộ bản thân thông tin đó.
Tính đến cuối tháng 5 năm 2026, Zcash được giao dịch ở mức giá khoảng 570 USD mỗi đồng với vốn hóa thị trường 9,5 tỷ USD, xếp hạng 12 toàn thị trường tiền mã hóa toàn cầu.
Lỗ hổng từ năm 2022 mà không ai biết
Vào tháng 4, Shielded Labs, tổ chức đứng sau phát triển Zcash, chủ động thuê Taylor Hornby để kiểm tra toàn diện mạch Orchard. Hornby kết hợp Claude Opus 4.8 với một framework kiểm toán tùy chỉnh do ông tự xây dựng, biến AI thành công cụ hỗ trợ chuyên môn thay vì để nó hoạt động độc lập.
Kết quả của sự kết hợp đó là phát hiện ra lỗ hổng mà nhiều vòng kiểm tra thủ công của các chuyên gia mật mã hàng đầu thế giới đã không tìm thấy từ năm 2022. Lỗ hổng nằm trong Orchard, lớp giao dịch bảo mật tiên tiến nhất của Zcash, hoạt động từ tháng 5 năm 2022.
Orchard sử dụng hệ thống bằng chứng không tiết lộ thông tin, gọi là zero-knowledge proof, để xác nhận giao dịch mà không cần công khai số tiền hay danh tính các bên tham gia. Đây chính là tính năng cốt lõi khiến Zcash trở thành một trong những đồng tiền bảo mật được đánh giá cao nhất thị trường.
Thế nhưng trong hai dòng code của mạch Orchard tồn tại một lỗi logic: một bước kiểm tra đầu vào giao dịch vốn phải thực thi các quy tắc nghiêm ngặt lại không thực sự làm điều đó. Kẻ tấn công có thể đưa vào dữ liệu giả mạo và bước kiểm tra vẫn thông qua, trong khi hệ thống zero-knowledge proof đóng dấu xác nhận giao dịch gian lận đó là hoàn toàn hợp lệ.
Kết quả là các đồng ZEC mới có thể bị làm giả hàng loạt, không giới hạn số lượng, không thể phân biệt với đồng tiền thật, không để lại dấu vết nào trên sổ cái công khai.
Để xác nhận điều này, Hornby viết một mã khai thác hoàn chỉnh, chạy thử trong môi trường cục bộ và xác nhận nó hoạt động. Chỉ trong vòng một ngày, ông lập tức báo cáo cho ZODL, tổ chức điều phối phát triển Zcash, thay vì triển khai trên mạng lưới thật.
Câu hỏi không lời giải trong nền tảng ZCash
Điều khiến sự việc trở nên đặc biệt nghiêm trọng không chỉ là bản thân lỗ hổng, mà là câu hỏi không có lời giải đi kèm theo nó.
Vì Orchard là một pool bảo mật, toàn bộ các giao dịch diễn ra bên trong đều được che giấu theo thiết kế. Điều đó có nghĩa là không có cách nào về mặt mật mã học để xác định liệu lỗ hổng này đã bị khai thác trong khoảng thời gian từ tháng 5 năm 2022 đến khi được vá vào ngày 1 tháng 6 năm 2026 hay không.
Shielded Labs thừa nhận thẳng thắn trong thông báo công khai: "Không có cách nào dứt khoát để xác định, chỉ dựa vào mật mã học, liệu hành vi khai thác như vậy có xảy ra hay không." Đội ngũ cho rằng khả năng đã bị khai thác là thấp, vì lỗ hổng này qua nhiều vòng kiểm tra mà chuyên gia không phát hiện, và công cụ AI tiên tiến cần thiết để tìm ra nó cho đến gần đây mới có. Tuy nhiên họ nói rõ: người dùng không nên chỉ dựa vào đánh giá của họ.
Thị trường phản ứng tức thì sau khi thông tin được công bố. ZEC lao từ mức đỉnh 635 USD trong ngày xuống còn 309 USD, mất 38% giá trị chỉ trong một đêm. Tính theo vốn hóa thị trường 9,5 tỷ USD tại thời điểm sự kiện, đây là một trong những đợt bán tháo lớn nhất trong lịch sử của đồng coin này.
Trong ngày 5-6, có lúc đồng ZEC còn giảm xuống mức 259 USD, tương đương mức giảm gần 60% so với đỉnh một ngày trước đó. Hiện tại dù ZEC đã hồi phục lên mức 433 USD, mức giảm vẫn tương đương gần 30% so với mức cao mấy ngày trước đó.
Đáng chú ý, nhà đầu tư crypto kỳ cựu Arthur Hayes đã thanh lý toàn bộ vị thế ZEC của mình, với lý do là sự bất định của nền tảng: khi không thể chứng minh bằng mật mã học rằng lỗ hổng chưa từng bị khai thác trong suốt 4 năm qua, mọi cam kết về nguồn cung cố định của Zcash trở nên không thể tin cậy hoàn toàn.
AI đang làm thay đổi cuộc chơi
Vụ việc còn kéo theo một thay đổi mang tính cấu trúc trong cách ngành bảo mật blockchain nhìn nhận quy trình kiểm toán. Trước đây, việc rà soát một mạch zero-knowledge proof đòi hỏi đội ngũ chuyên gia mật mã hàng đầu và nhiều tuần làm việc thủ công.
Hornby, một chuyên gia với một mô hình AI tiên tiến và một framework tự xây dựng, rút ngắn quy trình đó xuống còn một ngày và tìm ra thứ mà quy trình thủ công bỏ sót suốt nhiều năm. Đây không còn là câu chuyện của riêng Zcash mà là tín hiệu cho toàn bộ hệ sinh thái crypto về chi phí và hiệu quả của kiểm toán bảo mật trong kỷ nguyên AI.
Đây là bằng chứng thực tế rõ ràng nhất từ trước đến nay về khả năng của AI trong lĩnh vực kiểm toán bảo mật. Và Opus 4.8 chưa phải mô hình mạnh nhất đang được phát triển. Mỗi giao thức crypto đang đứng trước lựa chọn không thể trì hoãn: hoặc chủ động thuê chuyên gia bảo mật dùng AI để tìm lỗ hổng trước, hoặc chờ đến khi kẻ xấu làm điều đó thay.
Về giải pháp kỹ thuật, Shielded Labs đang đề xuất một đợt nâng cấp mạng lưới triển khai pool bảo mật mới và áp dụng cơ chế kế toán cửa khẩu bắt buộc cho toàn bộ đồng ZEC từ Orchard pool.
Cơ chế này sẽ buộc mọi đồng coin hiện có phải đi qua một điểm kiểm tra có thể xác minh, qua đó phát lộ bất kỳ lượng cung giả mạo nào nếu có. Song song đó, tổ chức này khởi động dự án xác minh toán học toàn bộ mạch Orchard từ đầu và tuyển dụng chuyên gia bảo mật cùng chuyên gia mật mã mới.
Nguyễn Hải
