Lệnh cấm Nga năm 2022 của SWIFT đã phơi bày những lỗ hổng về tính trung lập trong quản trị của các “đường ray” tài chính cũ, theo kiến trúc sư công nghệ Albert Dadon. Liên minh châu Âu và các đồng minh phương Tây đã ngắt kết nối các tổ chức tài chính lớn của Nga khỏi mạng Society for Worldwide Interbank Financial Telecommunication sau cuộc xâm lược Ukraine, qua đó cho thấy việc truy cập thanh khoản quốc tế vận hành như một đặc quyền có điều kiện, chịu sự kiểm soát theo thẩm quyền pháp lý. Một vụ khai thác xuyên chuỗi trị giá 290 triệu USD nhắm vào KelpDAO vào tháng 4 năm 2026 cũng tiếp tục chứng minh các lỗ hổng bảo mật tại các điểm tích hợp giữa tài chính truyền thống và mạng blockchain. Dự án hạ tầng AEREDIUM của Dadon đề xuất chuyển việc thực thi quy tắc sang các “hardware enclaves” để tạo ra các đường ray tài chính miễn nhiễm trước áp lực của chủ quyền. Tranh luận xoay quanh câu hỏi liệu các giao thức blockchain có thể thành công nơi SWIFT đã thất bại hay không, bằng cách loại bỏ sự phụ thuộc theo thẩm quyền pháp lý vốn từng cho phép can thiệp chính trị lấn át các cấu trúc quản trị dân chủ.
Cấu trúc quản trị của SWIFT đã thất bại dưới áp lực thẩm quyền pháp lý
SWIFT vận hành với hội đồng gồm 25 thành viên đại diện cho lợi ích ngân hàng toàn cầu và có sự giám sát từ Nhóm 10 ngân hàng trung ương. Hợp tác xã này được thành lập năm 1973 theo luật Bỉ, được thiết kế như một hạ tầng trung lập cho thương mại toàn cầu. Khi EU ban hành các quy định trừng phạt sau cuộc xâm lược Ukraine năm 2022 của Nga, SWIFT với tư cách một pháp nhân doanh nghiệp có trụ sở tại Brussels buộc phải tuân theo luật địa phương. Tính chất dân chủ của hội đồng quản trị toàn cầu bị ghi đè bởi quyền tài phán theo khu vực địa lý.
“Vấn đề là họ đã không có cái thứ hai,” Dadon cho biết. “Các quy tắc được thực thi bằng chính sách vận hành, nhưng xét cho cùng, một hợp tác xã theo luật Bỉ là một pháp nhân phụ thuộc vào một thẩm quyền pháp lý cụ thể. Khoảnh khắc chính trị đến, và các quy tắc đã thay đổi.”
Động thái này được nối tiếp sau một lệnh cấm tương tự trước đó đối với các ngân hàng Iran. Theo Dadon, người sáng lập chuỗi Aeredium tập trung vào quyền riêng tư, sự cố đã chứng minh rằng mọi “đường ray” tài chính gắn với một pháp nhân pháp lý tập trung vẫn luôn bị “khóa cổ” bởi chủ quyền địa phương. Phi tập trung hóa nhóm bỏ phiếu không bảo vệ mạng nếu hạ tầng nền có thể bị ép buộc bằng lệnh của tòa án.
Quyền riêng tư và quy định tạo ra lựa chọn nhị phân sai
Dadon cho rằng các mạng blockchain cố gắng đảm nhiệm vai trò mang tính tổ chức phải đối mặt với một thỏa hiệp không khả thi giữa quyền riêng tư mật mã và sự quản lý của nhà nước. Các cơ quan quản lý xem các công cụ quyền riêng tư là những “công cụ rửa tiền”, trong khi cộng đồng Web3 coi đó là hạ tầng thiết yếu.
“Chọn giữa quyền riêng tư tuyệt đối và giám sát ở quy mô đầy đủ là một lựa chọn nhị phân sai,” Dadon cho biết. “Mô hình mixer cũ---quyền riêng tư không có kiểm soát ranh giới, không có kiến trúc tiết lộ, và không có KYC---đã không qua được sự soi xét của quy định vì một lý do thuần cấu trúc. Đối với cơ quan thực thi pháp luật, Tornado Cash trông y hệt một công cụ rửa tiền, nên việc siết chặt là điều tất yếu.”
Việc lộ diện hoàn toàn cũng không khả thi đối với các tổ chức. “Giám sát toàn diện mặc định đã chết ngay từ khi vừa ra đời đối với tổ chức,” Dadon giải thích. “Không đối tác doanh nghiệp nào lại giao dịch trên một mạng mà nơi vận hành có thể đọc toàn bộ dữ liệu hoạt động kinh doanh của họ ở dạng chữ rõ.”
Dadon đề xuất “tiết lộ chọn lọc có cấu trúc” như giải pháp: duy trì quyền riêng tư toán học ở lớp giao thức, đồng thời xây dựng các cơ chế hiển thị minh bạch, có kiểm soát cho người được ủy quyền.
Khai thác KelpDAO làm lộ lỗ hổng bảo mật xuyên chuỗi
Một vụ khai thác nhắm vào kiến trúc xuyên chuỗi của KelpDAO vào tháng 4 năm 2026 đã dẫn đến việc đánh cắp khoảng 290 triệu USD tài sản Ethereum đã restaked. Vụ xâm phạm không xảy ra do lỗi hợp đồng thông minh, mà vì cấu hình phụ thuộc vào một mạng riêng biệt được tin cậy, mô hình “single-verifier”, và mạng này đã bị tổn thương bởi một lỗ hổng ở cấp hạ tầng.
“Mục tiêu của tin tặc đã hoàn toàn thay đổi,” Dadon nhận xét. “Các đợt khai thác trước thường nhắm vào logic trong chuỗi và các lỗi trực tiếp trong hợp đồng thông minh. Đến năm 2026, kẻ tấn công chuyển thẳng sang các “mối nối” giữa các hệ thống: mạng verifier của bridge, multisig của người ký, các nút oracle, và các khóa quản trị hợp đồng thông minh.”
Việc tích hợp giữa tài chính truyền thống và Web3 đã bị mắc kẹt bởi các “mô hình” bảo mật không tương thích. Tài chính truyền thống dựa vào phòng vệ theo chu vi, biện pháp pháp lý và can thiệp của con người. Web3 được xây dựng trên tính hoàn tất mật mã và các động cơ kinh tế không thể thay đổi. Khi hai hệ thống này gặp nhau, ma sát xuất hiện ở ranh giới thông qua các mạng oracle tập trung và các cầu lưu ký có nhiều chữ ký (multisignature).
AEREDIUM đề xuất thực thi quy tắc dựa trên phần cứng
AEREDIUM chuyển phòng thủ mạng khỏi các cấu trúc quản trị sang kiến trúc trung tâm dữ liệu. Dự án đưa việc thực thi quy tắc vào các “hardware enclaves” được thiết kế để vận hành vượt ngoài thẩm quyền pháp lý.
“Trung lập có đủ độ tin cậy, theo tôi, không phải là câu hỏi về quản trị,” Dadon cho biết. “Đó là câu hỏi về kiến trúc. Các quy tắc phải được thực thi bởi một thứ mà một thẩm quyền pháp lý không có quyền thay đổi.”
Theo Dadon, kiến trúc này giải quyết tình trạng tê liệt về mặt cấu trúc mà các tổ chức tài chính lớn phải đối mặt khi hoạt động trên nhiều quốc gia thông qua các công ty con, mỗi công ty con chịu trách nhiệm riêng trước cơ quan quản lý địa phương. “Đó là câu trả lời về cấu trúc,” Dadon cho biết. “Đó là thứ mà các ngân hàng không thể cung cấp---có thể họ nằm trên nhiều thẩm quyền pháp lý, nhưng họ vẫn phải chịu trách nhiệm ở từng nơi, theo cách mà hạ tầng trên toàn thế giới không làm được.”
Dadon lập luận rằng các mạng blockchain cần bắt chước mô hình tiện ích trung lập, có thể mở rộng toàn cầu của SWIFT, đồng thời mở rộng vượt khỏi các liên minh sáng lập và loại bỏ việc kiểm soát vận hành bị áp đặt về mặt chính trị bằng cách thay thế sự tùy ý chính sách của con người bằng quản trị tự động.
Câu hỏi thường gặp
Lệnh cấm Nga năm 2022 của SWIFT đã cho thấy điều gì về tính trung lập của hạ tầng tài chính?
Việc SWIFT ngắt kết nối các tổ chức tài chính Nga năm 2022 sau cuộc xâm lược Ukraine đã chứng minh rằng tính trung lập trong quản trị thất bại khi các pháp nhân pháp lý tập trung buộc phải tuân thủ luật địa phương theo thẩm quyền tài phán. Dù SWIFT có hội đồng toàn cầu gồm 25 thành viên và sự giám sát từ Nhóm 10 ngân hàng trung ương, việc SWIFT là một hợp tác xã theo luật Bỉ đã buộc phải tuân thủ các quy định trừng phạt của EU, qua đó chứng minh rằng các cấu trúc bỏ phiếu phi tập trung không thể bảo vệ mạng nếu hạ tầng nền vẫn chịu sự ràng buộc bởi các lệnh của tòa án.
Khai thác KelpDAO vào tháng 4 năm 2026 đã chứng minh lỗ hổng bảo mật xuyên chuỗi như thế nào?
Vụ khai thác KelpDAO vào tháng 4 năm 2026 đã dẫn đến việc đánh cắp xấp xỉ 290 triệu USD tài sản Ethereum đã restaked thông qua một cuộc tấn công nhắm vào mạng “single-verifier” được tin cậy riêng biệt của kiến trúc xuyên chuỗi, thay vì chính hợp đồng thông minh. Theo Albert Dadon, sự cố cho thấy đến năm 2026, kẻ tấn công chuyển trọng tâm từ lỗi logic trong chuỗi sang các điểm tích hợp của hệ thống, bao gồm mạng verifier của bridge, multisig của người ký, các nút oracle, và các khóa quản trị hợp đồng thông minh—nơi mà các mô hình bảo mật của tài chính truyền thống và Web3 tạo ra ma sát.
Albert Dadon đề xuất giải pháp gì trong AEREDIUM để đạt tính trung lập có đủ độ tin cậy?
AEREDIUM đề xuất chuyển việc thực thi quy tắc từ các cấu trúc quản trị do con người vận hành sang các “hardware enclaves” hoạt động vượt ngoài thẩm quyền pháp lý. Dadon cho rằng trung lập có đủ độ tin cậy là một thách thức về mặt kiến trúc, cần các quy tắc được thực thi bởi các hệ thống mà thẩm quyền pháp lý không thể ép buộc phải thay đổi, kết hợp với “tiết lộ chọn lọc có cấu trúc” nhằm duy trì quyền riêng tư toán học ở lớp giao thức trong khi cung cấp các cơ chế hiển thị minh bạch, có kiểm soát cho người được ủy quyền, thay vì phải chọn giữa quyền riêng tư tuyệt đối hay giám sát toàn diện.
