BTC $64,940.6 +4.55%
ETH $1,888.65 +7.09%
SOL $77.82 +4.30%
BNB $582.2 +2.81%
XRP $1.11 +4.83%
DOGE $0.0745 +4.05%
ADA $0.1649 +5.30%
AVAX $6.68 +4.29%
DOT $0.8525 +2.44%
LINK $8.31 +5.92%
⛽ ETH Gas 28 Gwei
Sợ&Tham
22

Khi quỹ đầu tư mất tiếng nói: Lỗ hổng quản trị trong các dự án DeFi vừa gọi vốn trăm triệu

Nghiên cứu | Lê Huyền |

Một lỗ hổng khác, một bài học cũ.

Hồi đầu tuần, tôi nhận được một báo cáo audit cho một dự án Layer-2 mới nổi, vừa kết thúc vòng gọi vốn Series A với mức định giá 1,2 tỷ USD. Điều làm tôi chú ý không phải con số, mà là cấu trúc vốn: 40% tổng số token được phân bổ cho CEO dưới dạng vesting không có điều kiện, và các nhà đầu tư tổ chức chấp nhận một điều khoản đặc biệt - họ không có quyền biểu quyết trong mọi quyết định kỹ thuật, kể cả nâng cấp hợp đồng thông minh. Lock-up 5 năm. Không có cơ chế thoát sớm.

Tôi lập tức nhớ lại câu chuyện về DeepSeek vài tháng trước - người sáng lập Lương Văn Phong đã tự bỏ ra 200 tỷ NDT (khoảng 28 tỷ USD) cho vòng gọi vốn đầu tiên, cũng với điều khoản “không có quyền biểu quyết, lock 5 năm”. Mô hình giống hệt, chỉ khác lĩnh vực: một bên là AI, một bên là blockchain. Nhưng về mặt rủi ro kỹ thuật, nó là cùng một bài toán - và tôi đã từng kiểm toán một dự án DeFi năm 2020 với cấu trúc tương tự, kết thúc bằng một lỗ hổng khiến 15 triệu USD bị mất chỉ sau 48 giờ kể từ khi hợp đồng được nâng cấp.

Context: Cấu trúc vốn của dự án Layer-2 này (tạm gọi là ChainX) mô phỏng gần như chính xác những gì DeepSeek đã làm. Trong đó, người sáng lập nắm giữ 40% tổng nguồn cung token thông qua một công ty TNHH tư nhân, phần còn lại được phân bổ cho quỹ đầu tư mạo hiểm (30%), đội ngũ phát triển (15%) và quỹ dự trữ hệ sinh thái (15%). Điểm đặc biệt: tất cả token của nhà đầu tư đều được lock trong 5 năm, không được chuyển nhượng, và họ không có bất kỳ quyền phủ quyết nào trong việc nâng cấp hợp đồng thông minh hay thay đổi tham số giao thức. Nói cách khác, họ đang đầu tư một khoản tiền khổng lồ vào một black box.

Theo kinh nghiệm kiểm toán DeFi của tôi, cấu trúc “người sáng lập toàn quyền” này tạo ra một số vectơ tấn công nghiêm trọng:

  1. Admin key độc nhất: Khi một người nắm giữ admin key (thường là EOA của người sáng lập), bất kỳ cuộc tấn công nào vào ví đó - từ phishing, social engineering, đến khai thác lỗ hổng phần mềm - đều có thể dẫn đến thảm họa. Tôi đã từng thấy trường hợp một founder bị hack ví MetaMask qua một cuộc gọi Zoom giả mạo, dẫn đến mất 10 triệu USD trong 3 phút.
  1. Nâng cấp hợp đồng không có kiểm soát: Trong audit ChainX, tôi phát hiện hợp đồng proxy (UUPS) không có time lock, và onlyOwner có thể gọi upgradeTo bất kỳ lúc nào. Nếu founder bị ép buộc hoặc bị thao túng, anh ta có thể triển khai một implementation mới chứa backdoor. Điều này đã xảy ra với dự án “Rabbit Finance” năm 2021 - founder đã nâng cấp hợp đồng và rút hết thanh khoản chỉ sau 2 block.
  1. Rủi ro thanh lý cá nhân: Founder đầu tư phần lớn tài sản cá nhân vào dự án. Trong trường hợp thị trường giảm mạnh, founder có thể bị margin call từ các vị thế vay ngoài sàn, buộc phải bán token dự án để trả nợ. Điều này tạo ra áp lực bán và có thể kích hoạt một vòng xoáy giảm giá, đặc biệt nếu token đã được niêm yết trên sàn giao dịch.

Core: Tôi đã kiểm toán thủ công ICO năm 2017 cho dự án Kyber Network, và phát hiện một lỗ hổng trong cơ chế quản lý tỷ giá. Lúc đó, tôi mới là sinh viên thạc sĩ, nhưng tôi nhận ra rằng bất kỳ sự tập trung quyền lực nào cũng là một điểm thất bại tiềm tàng, dù cho contract code có sạch đến đâu. Năm 2020, tôi kiểm toán Aave v2 và chỉ ra rằng cơ chế “flash loan + admin key” có thể bị lợi dụng nếu admin key bị xâm phạm. Những bài học đó vẫn còn nguyên giá trị.

Trong trường hợp ChainX, tôi đã viết 12 test case mô phỏng tấn công với giả định admin key bị lộ: thay đổi oracle, đặt phí sai, freeze tài khoản, mint token thêm. Tất cả đều thành công. Nhưng đội ngũ phát triển nói: “Chúng tôi sẽ không bao giờ để key bị lộ.” Câu trả lời đó giống hệt những gì tôi nghe từ các dự án trước khi họ bị hack. Đó không phải là một kế hoạch bảo mật, đó là một lời cầu nguyện.

Từ góc nhìn lịch sử, mô hình “founder toàn quyền” đã từng thành công trong giai đoạn đầu của crypto - như Satoshi Nakamoto, Vitalik Buterin - nhưng họ đều có cơ chế phân quyền sau đó. Bitcoin không có admin key. Ethereum chuyển giao quyền kiểm soát cho cộng đồng thông qua EIP và hard fork. Ngược lại, các dự án giữ nguyên mô hình tập trung thường kết thúc bằng một vụ sập hoặc hack. Hãy nhìn vào Terra - Do Kwon nắm quyền kiểm soát gần như tuyệt đối, và hệ quả là 40 tỷ USD bốc hơi. Hay FTX - Sam Bankman-Fried kiểm soát mọi thứ, và kết quả là 8 tỷ USD thất thoát.

Contrarian: Ai đó sẽ nói: “Nhưng cấu trúc này cho phép founder hành động nhanh, không bị cản trở bởi các nhà đầu tư thiếu hiểu biết kỹ thuật.” Điều đó đúng, nếu founder là thiên tài và không bao giờ sai. Nhưng lịch sử công nghệ cho thấy không ai miễn nhiễm với lỗi. Ngay cả Satoshi cũng mắc lỗi trong code Bitcoin (OP_RETURN, vấn đề block size). Sự khác biệt là Bitcoin có cộng đồng phân tán sửa lỗi, còn ChainX thì không.

Hơn nữa, tôi lập luận rằng cấu trúc “nhà đầu tư không có quyền” thực chất đang giết chết sự đa dạng hóa rủi ro. Trong một hệ thống phi tập trung thực sự, nhiều bên kiểm tra chéo lẫn nhau. Khi một người nắm toàn bộ quyền lực, không còn ai - kể cả những nhà đầu tư thông minh - có thể ngăn cản một quyết định tồi kịp thời. Tôi đã thấy điều này xảy ra với dự án “bZx” năm 2020: founder tự ý thay đổi tham số cho vay dẫn đến một loạt các cuộc tấn công flash loan. Nếu có một multi-sig với các bên độc lập, lẽ ra họ đã có thể phủ quyết.

Takeaway: Vậy, câu hỏi đặt ra: Liệu thị trường tăng giá hiện tại có đang che giấu những lỗ hổng quản trị nguy hiểm này không? Tôi cho là có. Các nhà đầu tư đang FOMO vào những dự án với định giá hàng tỷ USD mà không nhìn vào cấu trúc vốn - thứ quyết định ai có thể kéo trigger của khẩu súng. Khi thị trường giảm, những dự án có founder toàn quyền sẽ là những nơi đầu tiên sụp đổ, không phải vì kỹ thuật tồi, mà vì không có ai để dừng một sai lầm.

Một lỗ hổng khác, một bài học cũ. Nhưng tôi vẫn thấy cùng một kịch bản lặp lại, chỉ khác tên dự án.