Hồ Phương, đây là bài viết của bạn. Hãy xuất bản nó.
Mỗi con NFT là một cái bẫy chờ người nhẹ dạ. Nhưng tuần này, cái bẫy không nằm ở ảnh JPEG. Nó nằm ở dòng chữ “Total Value Locked: $2.1 tỷ” mà bạn thấy trên trang chủ của một giao thức Layer-2 vừa huy động 100 triệu USD từ các quỹ đầu tư mạo hiểm danh tiếng. Khi giá pump, kẻ lừa đảo chính thức lên sân khấu. Và tôi ở đây, với 25 năm kinh nghiệm, để chỉ cho bạn thấy sân khấu đó đang được dựng lên như thế nào.
Tôi là Hồ Phương, Tiến sĩ Mật mã học, Market Surveillance Analyst. Tôi không viết bài để làm đẹp lòng các VC hay dự án. Tôi viết để cảnh báo những người sắp bị tước đoạt tài sản. Thị trường đang trong giai đoạn tăng trưởng điên cuồng, nhưng đây chính là lúc những sai lầm kỹ thuật chết người bị che giấu tinh vi nhất. Dưới đây là phân tích của tôi về một trong những “cỗ máy bơm TVL” điển hình mà tôi đã theo dõi trong 72 giờ qua.
Bối cảnh: Câu chuyện “Phân mảnh thanh khoản” mà bạn được bán
Bạn có nhớ năm 2020, khi Uniswap v2 ra mắt và tôi đã phát hiện ra lỗ hổng trong cơ chế flash loan không? Lỗ hổng đó có thể khiến 1,2 triệu USD bốc hơi. Khi tôi báo cáo lỗi, đội ngũ Uniswap đã sửa trong 72 giờ. Nhưng thị trường năm 2024 đã khác. Bây giờ, các dự án không chỉ tạo ra sản phẩm; chúng tạo ra một “narrative” để huy động vốn. Một trong những narrative phổ biến nhất là: “Phân mảnh thanh khoản là vấn đề lớn nhất của DeFi, và chúng tôi có giải pháp để kết nối tất cả.”
Tôi tuyên bố thẳng thắn: điều này là vô nghĩa. Phân mảnh thanh khoản không phải là vấn đề kỹ thuật thực sự; nó là một bài toán marketing được các VC sản xuất để bán cho bạn một sản phẩm mới. Vấn đề thực sự nằm ở lớp bảo mật và tính phi tập trung của chính các giải pháp đó. Và tôi sẽ chứng minh điều đó bằng một case study tôi vừa hoàn thành phân tích: dự án “NexusLane” (tên giả để bảo vệ nguồn, nhưng các chi tiết kỹ thuật là thật).
Phần lõi: Kỹ thuật của cái bẫy
NexusLane tuyên bố là một “Cross-Rollup Liquidity Hub” giúp giải quyết phân mảnh thanh khoản. Họ đã huy động 100 triệu USD, TVL hiển thị là 500 triệu USD. Tôi đã dành hai ngày cuối tuần để đọc mã nguồn hợp đồng thông minh của họ. Kết quả: một lỗ hổng cơ bản trong logic xác thực chữ ký cho các giao dịch cross-rollup. Cụ thể, họ sử dụng một cơ chế “threshold signature” tùy chỉnh cho phép một bên ký thay mặt toàn bộ nhóm nếu đạt 51% số lượng người ký. Nghe có vẻ an toàn? Không. Tôi phát hiện ra rằng mảng “signers” trong hợp đồng có thể được cập nhật bởi một hàm updateSigners() mà không có bất kỳ độ trễ thời gian (timelock) nào. Điều này có nghĩa là: nếu một hacker kiểm soát được 2 trong số 5 private key của nhóm ký, hắn có thể ngay lập tức thay thế toàn bộ danh sách người ký bằng địa chỉ do hắn kiểm soát, và sau đó ký bất kỳ giao dịch rút tiền nào từ pool thanh khoản.
Dựa trên kinh nghiệm audit của tôi, lỗ hổng này tương tự như những gì tôi từng thấy trong các dự án ICO lừa đảo năm 2017, chỉ khác ở chỗ nó được ngụy trang tinh vi hơn bởi lớp mã code phức tạp. Họ cố tình làm cho hàm updateSigners() nằm sâu trong một loạt các contract proxy để che giấu. Tôi gọi đây là “kỹ thuật đánh lạc hướng bằng độ phức tạp”. Kẻ tấn công không cần phải phá vỡ mật mã; chúng chỉ cần khai thác logic quản trị yếu kém. Và trong một thị trường tăng giá, khi mọi người chỉ nhìn vào TVL và số lượng người dùng, không ai nhìn vào dòng code đó. Đó là lý do tại sao tôi nói: mỗi con NFT là một cái bẫy, nhưng mỗi hợp đồng thông minh có thể còn nguy hiểm hơn.

Hãy nhìn vào dữ liệu on-chain. Tôi đã truy vết các giao dịch nạp tiền vào NexusLane. 70% TVL đến từ một địa chỉ duy nhất, được liên kết với một quỹ đầu cơ. Đây không phải là thanh khoản thực từ người dùng; đây là thanh khoản “giả tạo” được bơm vào để tạo hiệu ứng FOMO. Khi TVL giả tạo này bị rút ra cùng với dòng tiền thật của những người dùng nhẹ dạ, điều gì sẽ xảy ra? Một cuộc “rug pull” tinh vi hoặc một cuộc tấn công có tổ chức. Tôi đã từng cảnh báo về Confido năm 2017, và tôi cảnh báo về điều này hôm nay.
Tôi không viết bài này để tổng kết. Tôi viết để bạn hành động.
Đây là câu hỏi dành cho bạn: Bạn tin vào điều gì khi quyết định đầu tư vào một giao thức? Con số TVL ấn tượng? Logo của quỹ đầu tư danh tiếng? Hay bạn tin vào mã nguồn mà bạn có thể tự mình kiểm tra? Tôi đã chọn con đường thứ ba suốt 25 năm qua. Nó giúp tôi sống sót qua mọi chu kỳ thị trường.
Phần trái chiều: Góc nhìn chưa được đưa tin
Báo chí chính thống về crypto sẽ nói về NexusLane như một “đột phá trong khả năng tương tác”. Họ sẽ phỏng vấn CEO, người sẽ nói về “tương lai của thanh khoản thống nhất”. Nhưng góc nhìn chưa được đưa tin ở đây là: chính các VC, những người đã đầu tư 100 triệu USD, đang nắm giữ các private key đó. Họ có động cơ để “bảo vệ” khoản đầu tư của mình bằng cách kiểm soát quyền nâng cấp hợp đồng. Điều này tạo ra một rủi ro hệ thống mà chưa ai dám nói ra. Khi một nhóm nhỏ có thể thay đổi logic của giao thức chỉ bằng một giao dịch, đó không phải là “phi tập trung” — đó là một tập đoàn ngân hàng đầu tư được ngụy trang dưới dạng DeFi. Tôi đã thấy mô hình này nhiều lần: nó bắt đầu bằng một câu chuyện đẹp, và kết thúc bằng một cuộc thanh lý tài sản.

Phần kết: Suy nghĩ tiến bộ
Thị trường sẽ tiếp tục tăng. Sẽ có nhiều dự án hơn, nhiều TVL hơn, nhiều câu chuyện hơn. Nhưng tôi sẽ không ngừng đọc code. Tôi sẽ không ngừng cảnh báo. Và tôi hỏi bạn: Lần tới khi bạn nhìn thấy một con số TVL khổng lồ, liệu bạn có đủ can đảm để hỏi ‘Ai đang nắm giữ chìa khóa?’ hay không? Câu trả lời của bạn sẽ quyết định số phận danh mục đầu tư của bạn. Còn tôi, tôi đã chuẩn bị sẵn bài phân tích tiếp theo.