Có phải tin tặc và quy định đang hủy hoại DeFi?

Tác giả: Gu Yu, ChainCatcher

Vào tháng 4 năm 2026, nhiều thảm họa bảo mật liên tiếp đã đẩy DeFi lên hàng đầu trong công chúng ý kiến nữa. Hai cuộc tấn công vào Kelp DAO và Drift Protocol đã gây thiệt hại tổng cộng hơn 575 triệu đô la Mỹ. Tổng giá trị khóa (TVL) của DeFi đã giảm mạnh từ khoảng 172 tỷ đô la Mỹ xuống còn 148 tỷ đô la Mỹ. Chỉ riêng TVL của lĩnh vực cho vay đã giảm từ 53 tỷ USD xuống còn 40 tỷ USD.

Trong những ngày gần đây, công ty kiểm tra bảo mật nổi tiếng OpenZeppelin Người đồng sáng lập Manuel Aráoz tại X Nền tảng đã thẳng thắn nói: "Tôi nghĩ tất cả DeFi không còn an toàn nữa." Anh ấy thậm chí còn nói rằng anh ấy đã bắt đầu tư vấn riêng cho người thân và bạn bè xóa tất cả các vị trí DeFi, bao gồm Aave, MakerDAO và Hợp chất, những giao thức được công nhận là giao thức “blue-chip rủi ro thấp”.

Mặc dù phán quyết này đặc biệt khắc nghiệt nhưng nó đáng để suy ngẫm. Xét cho cùng, OpenZeppelin từ lâu đã là một trong những nhà xây dựng cơ sở hạ tầng bảo mật quan trọng nhất trong thế giới DeFi và các tiêu chuẩn hợp đồng thông minh cũng như các công cụ bảo mật của nó đã có mặt trong gần như toàn bộ ngành. Nếu ngay cả những người hiểu biết nhất về hệ thống bảo mật hợp đồng thông minh cũng bắt đầu đặt câu hỏi về rủi ro của DeFi và rút lui một cách dứt khoát, thì điều này chắc chắn có nghĩa là một số vấn đề sâu sắc hơn đang nổi lên.

Trong vài năm qua, bất cứ khi nào DeFi gặp thất bại, mọi người luôn có thể nhanh chóng tìm ra lý do cụ thể. Khi thị trường đi xuống người ta sẽ đổ lỗi cho môi trường vĩ mô; khi xảy ra cuộc tấn công của hacker, mọi người sẽ nghĩ nguyên nhân là do lỗ hổng kỹ thuật; khi cơ quan quản lý hành động, mọi người sẽ cho rằng vấn đề là do áp lực chính sách.

Tuy nhiên, nếu chiều thời gian được kéo dài ra, mọi người sẽ tìm thấy một sự thật ngày càng rõ ràng: DeFi Vấn đề nan giải mà chúng ta đang gặp phải ngày nay không phải do một cuộc tấn công nào đó, một cuộc tấn công nào đó gây ra chính sách quản lý hoặc một dự án thất bại nào đó, nhưng hai bộ logic cốt lõi mà nó được xây dựng ban đầu đang cùng lúc đối mặt với những thách thức.

Một bộ logic đến từ thế giới công nghệ, tức là mã có thể thay thế niềm tin. Một bộ logic khác đến từ thế giới thể chế, đó là các mạng mở có thể vượt qua những hạn chế của hệ thống tài chính truyền thống.

Và tin tặc và cơ quan giám sát lần lượt tấn công hai trụ cột này.

1. Diễn biến sâu sắc của cuộc khủng hoảng bảo mật DeFi

Trong mười năm, nghịch lý cốt lõi trong lĩnh vực bảo mật DeFi chưa bao giờ thay đổi. Các nhà nghiên cứu bảo mật Web3 từ lâu đã xác định được sự bất đối xứng nghiêm trọng này: người phòng thủ phải chặn mọi lỗ hổng có thể khai thác được, trong khi kẻ tấn công chỉ cần thành công trong một liên kết.

Nhìn bề ngoài, các phương thức tấn công không gì khác hơn là các lỗ hổng cầu nối chuỗi chéo, chiếm đoạt quyền đa chữ ký, thao túng oracle và các thủ tục thông thường khác. Nhưng hai sự cố của Kelp DAO và Drift Protocol lại bộc lộ một xu hướng tàn khốc hơn: những lỗ hổng nguy hiểm nhất thường không nằm trong mã của hợp đồng thông minh.

Vào ngày 18 tháng 4, giao thức cam kết nặng về thanh khoản Ethereum Kelp DAO đã bị tấn công. Kẻ tấn công đã khai thác lỗ hổng cấu hình DVN (Mạng xác minh phi tập trung) của cầu nối chuỗi LayerZero, giả mạo các tin nhắn chuỗi chéo và rút hết 116.500 rsETH từ cầu nối chuỗi trong vòng vài giờ, trị giá khoảng 293 triệu USD tính theo giá vào thời điểm đó.

Bản chất của thảm họa này là lỗi cấu hình, không phải lỗi mã. Kelp DAO đã chọn "1 trên 1" cho mạng xác minh chuỗi chéo của LayerZero - chỉ cần một nút DVN xác nhận và thông báo chuỗi chéo được coi là hợp pháp. Khi kẻ tấn công xâm phạm hai nút RPC cung cấp dữ liệu xác thực và phát động cuộc tấn công DDoS, toàn bộ hệ thống cầu nối trở nên vô dụng

Vào ngày 1 tháng 4, Drift Protocol, một trong những các DEX hợp đồng vĩnh viễn lớn nhất trong hệ sinh thái Solana, đã bị tấn công và thiệt hại 285 triệu USD. Nó trở thành vụ tấn công DeFi đơn lẻ lớn nhất cho đến nay vào năm 2026 và là vụ hack lớn thứ hai trong lịch sử của Solana.

Đây cũng không phải là lỗ hổng hợp đồng thông minh. Những kẻ tấn công đã xâm phạm ít nhất hai trong số ba người ký ví đa chữ ký thông qua kỹ thuật xã hội, sử dụng tính năng nonce bền bỉ của Solana để buộc họ ký trước các giao dịch độc hại. Khi kẻ tấn công có được quyền quản trị viên, hắn đã hoàn thành hành vi trộm tiền trong vòng chưa đầy 12 phút.

Nguyên nhân cốt lõi của cuộc tấn công nằm ở sự thất bại hoàn toàn của bảo mật hoạt động (OpSec): cấu hình không đúng ví đa chữ ký, điểm mù trong quản lý khóa, và các tuyến phòng thủ kỹ thuật xã hội không hiệu quả.

Hai sự cố này cho thấy sự phát triển sâu sắc của cuộc khủng hoảng bảo mật DeFi: điểm đột phá của các cuộc tấn công là chuyển một cách có hệ thống từ các lỗ hổng mã hợp đồng thông minh truyền thống sang lớp cấu hình và lớp con người/OpSec.

Manuel Aráoz đã chỉ ra cốt lõi của vấn đề một cách sắc bén: "Bảo mật hợp đồng thông minh về cơ bản là một trò chơi cực kỳ bất đối xứng - người phòng thủ phải sửa tất cả các lỗ hổng, trong khi kẻ tấn công chỉ cần tìm một cái để ăn trộm tiền." Sau khi AI bắt đầu nâng cao hiệu quả tấn công theo cấp số nhân, sự bất đối xứng này nhanh chóng trở nên mất cân bằng.

AI Tác nhân mã hóa có thể nén các vấn đề mà các nhóm mũ trắng hàng đầu phải mất hàng tuần mới phát hiện được trong vài phút và thậm chí có thể tự động tạo các tập lệnh tấn công dựa trên mã giao thức công cộng. Là một trong những công ty kiểm toán bảo mật chính thống nhất trong ngành, người đồng sáng lập OpenZeppelin đã đưa ra nhận định bi quan như vậy, điều này giống như một tín hiệu cho thấy bản thân ngành bảo mật đang nhận ra rằng khuôn khổ phòng thủ hiện tại đang đối mặt với sự thất bại mang tính hệ thống.

2. Áp lực pháp lý tiếp tục lan rộng

Trong khi cuộc khủng hoảng an ninh tiếp tục gia tăng, các lực lượng quản lý cũng đang tiếp tục gây áp lực ở cả khía cạnh trên chuỗi và ngoài chuỗi.

Vào ngày 26 tháng 5, chính phủ Anh đã bổ sung sàn giao dịch tiền điện tử HTX vào danh sách trừng phạt của Nga, sử dụng Điều 17A để áp đặt các lệnh trừng phạt đối với các sàn giao dịch tài sản tiền điện tử lần đầu tiên. Vương quốc Anh cáo buộc HTX xử lý khối lượng giao dịch trị giá 3,3 nghìn tỷ USD vào năm 2025 và bị cáo buộc cung cấp dịch vụ tài chính cho mạng thanh toán A7 bị trừng phạt và sàn giao dịch Garantex của Nga.

Phản ứng dây chuyền gây ra bởi các lệnh trừng phạt lan truyền nhanh chóng. Vì nhiều công ty AML chính thống đã đưa địa chỉ trao đổi HTX vào danh sách địa chỉ nguy hiểm nên nhiều công ty đã áp dụng địa chỉ này. Các sàn giao dịch của hệ thống AML ngay lập tức thắt chặt việc xem xét giao dịch các địa chỉ liên quan đến Hợp tác xã và một số lượng lớn người dùng Hợp tác xã không thể rút tài sản của họ sang các sàn giao dịch khác.

Sự cố HTX bộc lộ một tình thế tiến thoái lưỡng nan sâu sắc hơn: trong bối cảnh địa chính trị phức tạp, lệnh xử phạt do cơ quan giám sát khởi xướng có thể gây ra hiệu ứng dây chuyền mở rộng trên chuỗi, cuối cùng ảnh hưởng đến chuyển tiền của vô số người dùng thông thường. Một người dùng HTX nắm giữ tài sản hoàn toàn vô tội, nhưng do tiềm ẩn rủi ro tuân thủ của nền tảng, anh ta có thể bị "tường lửa" của toàn bộ hệ thống AML chặn khi rút tiền sang các sàn giao dịch khác và tiền bị đóng băng hoặc trì hoãn vô thời hạn.

Trên thực tế, vụ việc Hợp tác xã chỉ là phần nổi của tảng băng trôi về áp lực pháp lý. Điều thực sự tạo nên hạn chế sâu sắc đối với sự đổi mới DeFi là đặc điểm pháp lý của mô hình kinh doanh cơ bản của giao thức bởi các cơ quan quản lý.

Trong hai năm qua, US SEC đã tiến hành các cuộc điều tra về các giao thức DeFi "blue-chip" như Hợp chất, Uniswap và Curve, tập trung vào về việc liệu mã thông báo quản trị có phải là chứng khoán chưa đăng ký hay không. Một đòn trực tiếp hơn đến từ lĩnh vực mã thông báo thu nhập - các hành động thực thi của SEC đối với các sản phẩm như Gemini Earn đã cho thấy rằng miễn là thỏa thuận trả cho người dùng lãi suất thụ động dựa trên tiền gửi, thì nó có thể dễ dàng được xác định là hợp đồng đầu tư, từ đó kích hoạt nghĩa vụ đăng ký và tiết lộ của Đạo luật Chứng khoán.

Sự mơ hồ về mặt pháp lý và áp lực cao này đã trực tiếp cản trở hướng đổi mới sáng tạo nhất của DeFi: từ khai thác thanh khoản đến các sản phẩm thu nhập có cấu trúc, các nhà phát triển phải luôn lo lắng về việc liệu các mô hình kinh tế mã thông báo của họ có bước vào ranh giới quy định hay không.

Theo một nghĩa nào đó, "không cần sự cho phép" ban đầu được DeFi nhấn mạnh đang dần phát triển thành một dạng "hệ thống cấp phép" khác. "Sự cho phép" này không đến từ một công ty hoặc thỏa thuận nhất định mà từ mọi liên kết trong chuỗi tuân thủ quy định: danh sách AML, công cụ kiểm soát rủi ro sàn giao dịch, quyền tài phán dài hạn của luật chứng khoán, v.v.

3. DeFi Bước vào giai đoạn hiện thực

Nhìn lại những thăng trầm của DeFi trong vài năm qua, tình thế tiến thoái lưỡng nan về bảo mật của DeFi và áp lực pháp lý không tồn tại độc lập. Việc thiếu khung pháp lý rõ ràng gây khó khăn cho việc thiết lập sự đồng thuận trong ngành về các tiêu chuẩn bảo mật; ngược lại, việc thường xuyên xảy ra các sự cố an ninh là lý do trực tiếp nhất để các cơ quan quản lý toàn cầu thắt chặt thực thi pháp luật; và sự bất đối xứng về bảo mật ngày càng gia tăng trong kỷ nguyên AI và các ngưỡng tuân thủ ngày càng được thắt chặt cuối cùng đan xen vào nhau, đẩy vô số người dùng bình thường vào tâm bão.

Về cơ bản, ranh giới của kiểm tra bảo mật và tính cứng nhắc của việc tuân thủ quy định đang tiếp tục làm xói mòn hai giả định cốt lõi mà DeFi dựa vào - "mật mã là luật" và "tự do không cần xin phép".

Ngày nay, người dùng chịu rủi ro kỹ thuật cao hơn tài chính truyền thống, nhưng họ có thể không có được nhiều tự do hơn tài chính truyền thống. Đây là lý do tại sao nhiều người tham gia thị trường ngày nay bối rối. Họ phát hiện ra rằng DeFi không an toàn như ngân hàng cũng như không mở hoàn toàn như đã hứa ban đầu.

Khi một hệ thống mất cả phần thưởng bảo mật và phần thưởng tự do, logic tăng trưởng của nó đương nhiên sẽ bị thách thức. Vì vậy, câu hỏi có lẽ không nên là “Tin tặc và quy định có hủy hoại DeFi không?”

Nói chính xác hơn, tin tặc và các quy định chỉ khiến ngành này phải đối mặt với thực tế. Tin tặc khiến mọi người nhận ra rằng mã không tự nhiên tạo ra niềm tin; sự giám sát khiến mọi người nhận ra rằng thế giới trên dây chuyền chưa bao giờ là một vũ trụ song song chạy trốn khỏi thế giới thực.

Điều này không có nghĩa là sự thất bại của DeFi. Ngược lại, điều đó có nghĩa là cuộc thử nghiệm này đang chuyển từ giai đoạn duy tâm sang giai đoạn hiện thực.

DeFi không bị phá hủy dưới bàn tay của tin tặc, cũng như không bị mạng quản lý phá hủy. Nó đang được xác định lại bởi các quy tắc sinh tồn do cả hai cùng định hình: DeFi trong tương lai sẽ hướng tới khuôn khổ tự kỷ luật và tuân thủ bảo mật nghiêm ngặt hơn trong ngành và buộc phải thỏa hiệp theo nguyên tắc phân cấp; hoặc nó sẽ dần dần mất niềm tin của thị trường vào sự mất cân bằng đang diễn ra giữa tấn công và phòng thủ và tiến tới tình trạng bị gạt ra ngoài lề trong dài hạn.