Tweetsy

Giá thị trường

BTC Bitcoin
$64,490.7 +3.58%
ETH Ethereum
$1,876.05 +5.74%
SOL Solana
$77.07 +2.46%
BNB BNB Chain
$580.7 +2.54%
XRP XRP Ledger
$1.11 +4.32%
DOGE Dogecoin
$0.0742 +3.23%
ADA Cardano
$0.1632 +3.23%
AVAX Avalanche
$6.67 +2.93%
DOT Polkadot
$0.8473 +0.94%
LINK Chainlink
$8.29 +4.92%

Lịch sự kiện blockchain

{{年份}}
10
05
upgrade Nâng cấp Ethereum Pectra

Tăng giới hạn validator và trừu tượng hóa tài khoản

28
03
unlock Mở khóa token Arbitrum

Giải phóng 92 triệu ARB

30
04
upgrade Nâng cấp Celestia Mainnet

Cải thiện hiệu quả lấy mẫu tính khả dụng dữ liệu

15
04
halving Bitcoin Halving

Phần thưởng khối giảm xuống 3,125 BTC

18
03
unlock Mở khóa token Sui

Phần đội ngũ và nhà đầu tư sớm được giải phóng

08
04
upgrade Solana Firedancer

Trình xác thực độc lập ra mắt trên mainnet

12
05
halving BCH Halving

Sự kiện giảm một nửa phần thưởng khối

22
03
unlock Mở khóa Optimism

Lượng cung lưu hành tăng khoảng 2%

Công cụ

Tất cả →

Chỉ số mùa altcoin

44

Mùa Bitcoin

Sự thống trị BTC Mùa altcoin

Vốn hóa thị trường

Tất cả →
# Tiền điện tử Giá
1
Bitcoin BTC
$64,490.7
1
Ethereum ETH
$1,876.05
1
Solana SOL
$77.07
1
BNB Chain BNB
$580.7
1
XRP Ledger XRP
$1.11
1
Dogecoin DOGE
$0.0742
1
Cardano ADA
$0.1632
1
Avalanche AVAX
$6.67
1
Polkadot DOT
$0.8473
1
Chainlink LINK
$8.29

🐋 Theo dõi cá voi

🔴
0xf171...881e
3 giờ trước
Chuyển ra
807,394 DOGE
🟢
0x1aec...f3e9
1 ngày trước
Chuyển vào
3,305.25 BTC
🔴
0x9c58...cc23
2 phút trước
Chuyển ra
1,854 ETH
Đối tác

Khi Tên Lửa Iran Rơi Trúng Mỹ: Một Bài Học Về Rủi Ro Hệ Thống Từ Góc Nhìn Smart Contract

Hoàng Vĩnh

Hook

Hôm qua, một báo cáo từ Crypto Briefing khiến tôi phải dừng lại. Không phải vì một lỗi reentrancy mới hay một bản nâng cấp giao thức DeFi, mà vì dòng chữ: 'Iranian missile strikes cause extensive damage to US bases in Gulf region.' Một trang tin chuyên về blockchain và tiền điện tử bỗng nhiên đưa tin chiến sự. Ngay lập tức, bản năng của một Smart Contract Architect 22 năm trong ngành kêu lên: có vấn đề. Bản thân nguồn tin này đã là một tín hiệu đáng ngờ—một vector tấn công thông tin (IA Vector) được triển khai trên một mặt trận không ngờ tới.

Khi Tên Lửa Iran Rơi Trúng Mỹ: Một Bài Học Về Rủi Ro Hệ Thống Từ Góc Nhìn Smart Contract

Context

Hãy coi báo cáo này như một giao thức chưa được audit. Nó tuyên bố rằng một cuộc tấn công bằng tên lửa của Iran vào các căn cứ của Mỹ ở vùng Vịnh đã gây ra 'thiệt hại trên diện rộng.' Nhưng không có chi tiết kỹ thuật nào về loại tên lửa, khả năng xuyên phá, hay số thương vong cụ thể. Không có hình ảnh vệ tinh từ Maxar hay Planet Lab. Không có bất kỳ tuyên bố chính thức nào từ Lầu Năm Góc. Nhưng điều đó không ngăn được cộng đồng crypto bắt đầu suy đoán: giá dầu sẽ tăng, vàng sẽ lên, Bitcoin có thể là nơi trú ẩn. Ở đây, bối cảnh không phải là địa chính trị thuần túy. Bối cảnh là một hệ thống thông tin không đáng tin cậy đang lan truyền tín hiệu giả, tương tự như một oracle feed bị nhiễm độc. Từ kinh nghiệm audit của tôi, khi một oracle trả về dữ liệu sai, toàn bộ giao thức có thể sụp đổ. Ở đây, 'giao thức' là thị trường toàn cầu.

Core

Hãy nhìn vào phân tích chi tiết của báo cáo gốc. Nó có tám mục: Quân sự, Địa chính trị, Công nghiệp Quốc phòng, Chiến lược, An ninh Kinh tế, An ninh Mạng, Điểm Nóng Khu vực, và Tác động Kinh tế. Mỗi mục đều có một lỗ hổng logic cố hữu. Đây là audit của tôi về bản thân báo cáo đó.

Đầu tiên, mục Năng lực Quân sự. Báo cáo cho điểm '6/10' cho Iran dựa trên giả định 'thiệt hại trên diện rộng.' Điều này tương đương với việc thấy một hàm transfer và kết luận rằng toàn bộ contract an toàn. Bạn không thể đánh giá CEP (Circular Error Probable) của tên lửa nếu không có tọa độ điểm rơi thực tế. Năm 2017, tôi audit một ICO tên BlockCapital. Hàm transferFrom của họ trông rất ổn. Nhưng sau hai tuần đọc từng dòng mã, tôi phát hiện một lỗi reentrancy cổ điển—một hàm gọi bên ngoài trước khi cập nhật số dư. Kết quả: một kẻ tấn công có thể rút cạn pool. Tôi đã gửi proof-of-concept và họ sửa. Dự án tránh mất 2 triệu USD. Báo cáo này mắc cùng một lỗi: nó vội vàng gọi hàm bên ngoài (tin tức chưa kiểm chứng) và kết luận về sức mạnh quân sự trước khi cập nhật 'số dư thông tin' của chính nó. Điểm 6/10 là vô nghĩa nếu không có cơ sở dữ liệu.

Mục thứ hai, Địa chính trị. Báo cáo cho điểm '2/10', cho rằng Iran đang giành thế chủ động. Đây là một lỗi gọi là 'Misjudging the Signer.' Trong Solidity, mỗi giao dịch đều có msg.sender. Nếu bạn không verify chữ ký, bạn không thể biết ai thực sự đã gửi giao dịch. Ở đây, báo cáo coi Iran là msg.sender duy nhất. Nhưng bỏ qua một thực tế: Crypto Briefing là một bên thứ ba không xác thực. Liệu đây có phải là một chiến dịch thông tin do một bên thứ ba (có thể là Mỹ, Israel, hay chính Iran) kích hoạt? Nếu tôi deploy một contract và ai đó gọi nó từ một EOA lạ, tôi không thể coi EOA đó là chủ ý của tôi. Tương tự, không thể coi một bài báo trên một trang crypto là hành động trực tiếp của Iran. Đây là một lỗi logic cơ bản.

Mục thứ ba và thứ tư về Công nghiệp Quốc phòngChiến lược. Báo cáo không có dữ liệu và phải dùng 'suy luận thấp'. Đây là tình huống revert – không đủ gas (dữ liệu) để thực thi hàm. Một phân tích chiến lược gia mà không có thông tin về mục tiêu thực tế của tên lửa (có phải là nhà chứa máy bay hay khu nhà ở không?) thì giống như một hàm withdraw không có điều kiện require. Nó sẽ luôn chạy, nhưng trả về một kết quả vô nghĩa. Báo cáo đã trả về 'Iran đang sử dụng chiến thuật leo thang.' Nhưng với dữ liệu hiện tại, hàm withdraw đã chạy và rút cạn sự tin tưởng của người đọc.

Khi Tên Lửa Iran Rơi Trúng Mỹ: Một Bài Học Về Rủi Ro Hệ Thống Từ Góc Nhìn Smart Contract

Mục thứ năm, An ninh Kinh tế và Trừng phạt. Ở đây, báo cáo kết luận rằng các lệnh trừng phạt hiện tại đã ở mức tối đa nên Iran không còn gì để mất. Đây là lỗi 'Zero-Sum Assumption.' Trong thực tế, Mỹ có thể chuyển từ trừng phạt chính phủ sang trừng phạt các tài khoản cá nhân của các tướng lĩnh Iran, hoặc các thực thể trung gian. Điều này tương tự như việc blacklist một địa chỉ ví thay vì toàn bộ contract. Năm 2020, trong quá trình tối ưu hóa Uniswap v2, tôi đã viết lại hàm tính toán x*y=k bằng inline assembly. Tôi nhận ra rằng tối ưu hóa ở cấp độ vi mô (từng địa chỉ) có thể hiệu quả hơn là thay đổi kiến trúc vĩ mô (toàn bộ giao thức). Báo cáo đã không nhìn thấy các lệnh trừng phạt vi mô đó.

Mục thứ sáu, An ninh Mạng và Chiến tranh Thông tin. Báo cáo tự thừa nhận rằng bản thân nó có thể là một sản phẩm của chiến tranh thông tin. Đây là họa tiết thú vị nhất. Nó tương đương với việc một smart contract có chứa một biến selfdestruct ẩn. Nó biết mình không đáng tin cậy, nhưng vẫn tiếp tục thực thi. Trong 22 năm trong ngành, tôi chưa bao giờ thấy một phân tích nào lại tự phá hoại uy tín của chính nó ngay trong phần nội dung.

Cuối cùng, mục Tác động đến Kinh tế và Thị trường cho điểm '7/10'. Báo cáo dự đoán dầu tăng 8-15%, vàng lên kỷ lục. Đây là một dự đoán giá. Nhưng nếu bản thân báo cáo là nhiễu, thì dự đoán này chỉ là một phản hồi với một tín hiệu giả. Vào năm 2022, khi nghiên cứu Celestia, tôi đã phát hiện một lỗi trong xác thực blob: nếu một node gửi một blob rỗng, hệ thống vẫn chấp nhận nó. Điều đó tạo ra một sự đồng thuận sai về kích thước dữ liệu. Ở đây, thị trường (hệ thống) đang chấp nhận một blob rỗng (báo cáo không có dữ liệu) và chuẩn bị phản ứng (dịch chuyển giá) dựa trên blob rỗng đó. Đây là một lỗ hổng nghiêm trọng trong logic thị trường.

Contrarian

Quan điểm trái chiều ở đây là: sự kiện quân sự này, dù có thật hay không, là một 'flash loan attack' có chủ đích lên sự chú ý của thị trường. Kẻ tấn công không phải là Iran, mà là chính bản thông tin. Nếu bạn là một quỹ đầu cơ lớn, bạn có thể: 1. Tạo một bản tin giả hoặc phóng đại; 2. Đợi thị trường hoảng loạn, mua dầu thô và vàng lên; 3. Bán ra khi giá đạt đỉnh. Bạn không cần tên lửa, bạn chỉ cần một oracle tin tức bị nhiễm độc. Điểm mù của phân tích địa chính trị truyền thống là họ coi thông tin là minh bạch. Trong crypto, chúng tôi gọi đó là 'giả định sai lầm về tính chất của dữ liệu đầu vào.' Bất kỳ ai có thể kiểm soát dòng thông tin đều có thể thao túng thị trường. Và báo cáo này, với 8 mục phân tích nhưng không có một bằng chứng xác thực nào, chính là vector tấn công đó.

Takeaway

Đối với các nhà phát triển và nhà đầu tư, bài học rất rõ ràng. Trong một thế giới mà thông tin là token, bạn phải verify từng cái một. Đừng để một báo cáo không có audit (thiếu dữ liệu gốc) thay đổi danh mục đầu tư của bạn. Tôi đã thấy những giao thức DeFi sụp đổ vì một oracle giá sai. Bây giờ, hãy tưởng tượng toàn bộ thị trường tài chính toàn cầu sụp đổ vì một oracle tin tức sai. Câu hỏi đặt ra là: khi nào thì cộng đồng crypto sẽ xây dựng một oracle verification layer cho tin tức địa chính trị, giống như chúng ta đã làm cho giá cả? Hay chúng ta sẽ tiếp tục tin vào những 'smart contract' rỗng?

Sợ & Tham

22

Cực kỳ sợ hãi

Tâm lý thị trường

Theo dõi phí Gas

Ethereum 28 Gwei
BNB Chain 3 Gwei
Polygon 42 Gwei
Arbitrum 0.5 Gwei
Optimism 0.3 Gwei

💡 Smart Money

0x9705...511f
Ví lưu ký tổ chức
+$0.9M
63%
0x90d8...9e0c
Ví lưu ký tổ chức
+$1.7M
79%
0x07f6...4e90
Nhà đầu tư sớm
-$1.3M
84%