Tôi vừa kết thúc audit một hợp đồng oracle AI cho dự án 'NeuroFeed' vào tuần trước. Kết quả: 2 lỗi critical, 1 medium. Nhưng điều làm tôi giật mình không phải số lượng lỗi, mà là cách chúng được phát hiện — bằng một bài test đơn giản mà đội phát triển đã bỏ qua suốt 6 tháng. Câu chuyện này không phải về một dự án tồi. Nó là về một lỗ hổng hệ thống đang âm thầm tồn tại trong hầu hết các oracle tích hợp machine learning trên thị trường hiện nay.
Hãy nói về bối cảnh trước. Kể từ năm 2024, xu hướng AI + Crypto bùng nổ. Hàng loạt dự án oracle sử dụng mô hình ML để dự đoán giá, tính toán thanh khoản, hoặc xác thực dữ liệu off-chain. Ý tưởng rất hay: thay vì phụ thuộc vào một nguồn dữ liệu cố định, hợp đồng có thể tự điều chỉnh dựa trên mô hình học từ dữ liệu lịch sử. Nhưng vấn đề nằm ở chỗ: hợp đồng thông minh là bất biến, còn mô hình ML thì luôn thay đổi. Làm sao để đảm bảo mô hình được deploy lên on-chain vẫn an toàn sau mỗi lần cập nhật? Câu trả lời ngắn gọn: hầu hết các dự án đều không làm được điều đó.
Lỗ hổng còn đó, không phải FUD.
Trong audit NeuroFeed, tôi phát hiện một lỗi logic trong pipeline huấn luyện. Mô hình được train trên dữ liệu giá từ tháng 1 đến tháng 12 năm 2025. Vấn đề: thị trường crypto thay đổi theo chu kỳ. Khi thị trường gấu kéo dài (như hiện tại), dữ liệu cũ trở nên lạc hậu. Mô hình dự đoán giá ETH sẽ tăng 5% mỗi ngày dựa trên xu hướng năm 2025, nhưng thực tế giá đang giảm 2% mỗi ngày. Kết quả: oracle feed bị lệch gần 10% — đủ để một bot khai thác chênh lệch giá và rút sạch pool thanh khoản trong vài phút.
Tôi hỏi team: tại sao không kiểm tra độ chính xác của mô hình trước khi deploy? Họ trả lời: 'Chúng tôi coi độ chính xác là 95% trên tập kiểm tra, nhưng tập kiểm tra cũng lấy từ năm 2025 nên không phản ánh được thị trường hiện tại.' Đây là một lỗi cơ bản trong machine learning gọi là data drift. Nhưng trong bối cảnh DeFi, data drift có thể gây ra tổn thất hàng triệu đô la. Điều đáng sợ là: hầu hết các auditor truyền thống không có chuyên môn về ML, nên họ chỉ kiểm tra contract logic mà bỏ qua hoàn toàn phần oracle pipeline. Đây là một lỗ hổng lớn mà ít người nói tới.
Hãy đọc code, đừng nghe hype.
Khi tôi đào sâu vào codebase, tôi thấy một hàm getLatestPrice() gọi tới một model được lưu trữ dưới dạng file trọng số trên IPFS. Hợp đồng tải model về và chạy inference on-chain. Nghe có vẻ phi tập trung, đúng không? Sai. Thực tế, việc lưu trữ trọng số trên IPFS không đảm bảo tính toàn vẹn của dữ liệu huấn luyện. Bất kỳ ai có quyền truy cập IPFS cũng có thể thay thế file trọng số bằng một phiên bản độc hại. Và vì hợp đồng không kiểm tra chữ ký của nhà phát hành, một attacker có thể dễ dàng swap file và khiến oracle trả về giá sai. Lỗi này tôi gọi là model poisoning via storage layer.
Dựa trên kinh nghiệm audit của tôi từ năm 2017, tôi nhận thấy một pattern lặp lại: các dự án luôn tập trung vào phần 'thông minh' nhưng quên mất phần 'bảo mật' cơ bản. Với oracle AI, rủi ro còn lớn hơn vì có hai lớp phức tạp: smart contract và machine learning. Một lỗi nhỏ trong preprocessing cũng có thể gây ra hậu quả nghiêm trọng.

Tôi đã dành 3 tháng để tự viết một framework test mô phỏng cho oracle AI. Kết quả: tôi phát hiện rằng nếu mô hình được train trên dữ liệu có nhiễu (noisy data), kết quả dự đoán có thể bị lệch tới 20% ngay cả khi contract logic hoàn hảo. Điều này có nghĩa là ngay cả khi bạn tin tưởng hoàn toàn code smart contract, bạn vẫn có thể mất tiền vì một lỗi trong training pipeline. AMM 2020: lỗi vẫn còn sống, chỉ là nó khoác áo mới.
Góc nhìn phản trực giác
Nhiều người cho rằng oracle AI là bước tiến vượt bậc vì nó 'thông minh' hơn oracle truyền thống. Nhưng thực tế, oracle AI mang đến một vector tấn công mới: adversarial attacks on machine learning models. Attacker có thể tạo ra dữ liệu đầu vào đặc biệt (adversarial examples) để đánh lừa mô hình, khiến nó trả về giá trị sai trong khi smart contract không hề có lỗi. Đây là điểm mù của hầu hết các audit hiện tại. Các auditor DeFi giỏi về Solidity, nhưng không biết về ML. Các chuyên gia ML biết về model, nhưng không hiểu về blockchain. Khoảng trống này chính là nơi khai thác tiềm năng.
Kết luận: thị trường gấu, thời gian đào sâu.
Trong thị trường hiện tại, khi thanh khoản khan hiếm, những lỗ hổng này càng nguy hiểm hơn. Vì pool nhỏ, một cuộc tấn công có thể gây ra sụt giảm đột ngột. Tôi khuyên các dự án oracle AI nên đầu tư vào third-party audit chuyên về cả hai lĩnh vực, và luôn kiểm tra độ chính xác của mô hình trong điều kiện thị trường biến động. Câu hỏi dành cho bạn: nếu oracle của bạn sử dụng AI, bạn có biết model của mình được train trên dữ liệu nào hay không? Nếu không, hãy đọc code — và đừng tin vào hype.