Phải chăng hacker và các quy định pháp lý đã hủy hoại DeFi?

Tác giả: Gu Yu, ChainCatcher

Vào tháng 4 năm 2026, một loạt thảm họa bảo mật một lần nữa đẩy DeFi vào tâm điểm của dư luận. Các cuộc tấn công vào Kelp DAO và Drift Protocol đã gây ra thiệt hại hơn 575 triệu USD, khiến tổng giá trị bị khóa (TVL) trong DeFi giảm mạnh từ khoảng 172 tỷ USD xuống còn 148 tỷ USD, với TVL trong lĩnh vực cho vay sụt giảm từ 53 tỷ USD xuống còn 40 tỷ USD.

Những ngày gần đây, Manuel Aráoz, đồng sáng lập công ty kiểm toán bảo mật nổi tiếng OpenZeppelin, đã thẳng thắn tuyên bố trên nền tảng X: "Tôi tin rằng tất cả DeFi hiện nay đều không an toàn." Ông thậm chí còn đề cập rằng mình đã bắt đầu khuyên bạn bè và gia đình thanh lý tất cả các vị thế DeFi, bao gồm cả các giao thức như Aave, MakerDAO và Compound, vốn được công nhận là những "blue chip rủi ro thấp".

Mặc dù nhận định này đặc biệt gay gắt, nhưng nó rất đáng để suy ngẫm. Suy cho cùng, OpenZeppelin từ lâu đã là một trong những nhà xây dựng cơ sở hạ tầng bảo mật quan trọng nhất trong thế giới DeFi, với các tiêu chuẩn hợp đồng thông minh và công cụ bảo mật của họ đã thấm nhuần vào sự phát triển của toàn ngành. Nếu ngay cả những người hiểu rõ nhất về hệ thống bảo mật hợp đồng thông minh cũng bắt đầu đặt câu hỏi về rủi ro của DeFi và quyết định rút lui, thì điều đó chắc chắn cho thấy một số vấn đề sâu xa hơn đang nổi lên.

Trong vài năm qua, bất cứ khi nào DeFi gặp trở ngại, mọi người đều có thể nhanh chóng tìm ra một lý do cụ thể. Trong thời kỳ thị trường suy thoái, lỗi được đổ cho môi trường vĩ mô; khi các cuộc tấn công của hacker xảy ra, mọi người quy nó cho các lỗ hổng kỹ thuật; khi các cơ quan quản lý hành động, các vấn đề được tóm tắt là áp lực chính sách.

Tuy nhiên, nếu chúng ta mở rộng chiều thời gian, chúng ta sẽ thấy một thực tế ngày càng rõ ràng: tình trạng khó khăn mà DeFi đang phải đối mặt ngày nay không phải do một cuộc tấn công đơn lẻ, một chính sách quản lý cụ thể hay một dự án thất bại gây ra, mà là do hai logic cốt lõi mà nó được xây dựng ban đầu đang đồng thời đối mặt với những thách thức.

Một logic đến từ thế giới kỹ thuật, đó là mã nguồn có thể thay thế niềm tin. Logic còn lại đến từ thế giới thể chế, khẳng định rằng các mạng mở có thể vượt qua những hạn chế của các hệ thống tài chính truyền thống.

Và hacker cùng các nhà quản lý đã đánh thẳng vào hai trụ cột này.

I. Sự tiến hóa sâu sắc của cuộc khủng hoảng bảo mật DeFi

Trong một thập kỷ qua, nghịch lý cốt lõi trong lĩnh vực bảo mật DeFi chưa bao giờ thay đổi. Các nhà nghiên cứu bảo mật Web3 từ lâu đã xác định được sự bất đối xứng chết người này: bên phòng thủ phải bịt mọi lỗ hổng có thể xảy ra, trong khi bên tấn công chỉ cần thành công ở một khía cạnh.

Trên bề mặt, các phương thức tấn công không có gì khác ngoài những nghi phạm thông thường: lỗ hổng cầu nối chuỗi chéo (cross-chain bridge), chiếm quyền điều khiển đa chữ ký, thao túng oracle, v.v. Tuy nhiên, các sự cố liên quan đến Kelp DAO và Drift Protocol cho thấy một xu hướng tàn khốc hơn: những lỗ hổng chết người nhất thường không nằm trong mã hợp đồng thông minh.

Vào ngày 18 tháng 4, giao thức tái đặt cược thanh khoản Ethereum Kelp DAO đã bị tấn công. Kẻ tấn công đã khai thác một lỗ hổng cấu hình trong DVN (Mạng lưới xác thực phi tập trung) của cầu nối chuỗi chéo LayerZero, giả mạo các tin nhắn chuỗi chéo và rút 116.500 rsETH từ cầu nối trong vài giờ, trị giá khoảng 293 triệu USD vào thời điểm đó.

Bản chất của thảm họa này là lỗi cấu hình, không phải lỗi mã nguồn. Kelp DAO đã chọn cấu hình "1-trong-1" cho mạng lưới xác thực chuỗi chéo của LayerZero—chỉ cần xác nhận của một nút DVN là các tin nhắn chuỗi chéo được coi là hợp lệ. Khi kẻ tấn công làm tổn hại hai nút RPC cung cấp dữ liệu xác thực và tung ra một cuộc tấn công DDoS, toàn bộ hệ thống cầu nối gần như trở nên vô dụng.

Vào ngày 1 tháng 4, một trong những sàn DEX hợp đồng vĩnh cửu lớn nhất trong hệ sinh thái Solana, Drift Protocol, đã bị tấn công, dẫn đến thiệt hại 285 triệu USD, trở thành vụ tấn công DeFi đơn lẻ lớn nhất năm 2026 tính đến thời điểm hiện tại và là vụ hack lớn thứ hai trong lịch sử Solana.

Đây cũng không phải là lỗ hổng hợp đồng thông minh. Kẻ tấn công đã sử dụng kỹ thuật xã hội (social engineering) để làm tổn hại ít nhất hai trong số ba người ký của ví đa chữ ký, buộc họ ký trước các giao dịch độc hại bằng tính năng durable nonce của Solana. Sau khi giành được quyền quản trị, kẻ tấn công đã hoàn tất việc đánh cắp tiền trong chưa đầy 12 phút.

Gốc rễ của cuộc tấn công nằm ở sự thất bại hoàn toàn của bảo mật vận hành (OpSec): cấu hình ví đa chữ ký không đúng cách, các điểm mù trong quản lý khóa và một tuyến phòng thủ kỹ thuật xã hội gần như không tồn tại.

Hai sự cố này cho thấy sự tiến hóa sâu sắc của cuộc khủng hoảng bảo mật DeFi: các điểm đột phá của các cuộc tấn công đang dịch chuyển một cách có hệ thống từ các lỗ hổng mã hợp đồng thông minh truyền thống sang các lớp cấu hình và lớp con người/OpSec.

Manuel Aráoz đã chỉ ra cốt lõi của vấn đề: "Bảo mật hợp đồng thông minh về cơ bản là một trò chơi cực kỳ bất đối xứng—bên phòng thủ phải sửa tất cả các lỗ hổng, trong khi bên tấn công chỉ cần tìm ra một lỗ hổng để đánh cắp tiền." Khi AI bắt đầu tăng cường hiệu quả tấn công theo cấp số nhân, sự bất đối xứng này đang nhanh chóng trở nên mất cân bằng.

Các tác nhân mã hóa AI có thể nén các vấn đề mà trước đây các đội ngũ white-hat hàng đầu phải mất nhiều tuần mới phát hiện ra thành vấn đề vài phút, thậm chí tự động tạo ra các kịch bản tấn công dựa trên mã giao thức có sẵn công khai. Là một trong những công ty kiểm toán bảo mật chính thống nhất trong ngành, nhận định bi quan của người đồng sáng lập đóng vai trò như một tín hiệu—bản thân ngành bảo mật đang nhận thức được rằng khuôn khổ phòng thủ hiện tại đang đối mặt với sự thất bại mang tính hệ thống.

II. Áp lực quản lý đang lan rộng

Khi cuộc khủng hoảng bảo mật sâu sắc hơn, các lực lượng quản lý cũng liên tục gây áp lực lên cả hai khía cạnh on-chain và off-chain.

Vào ngày 26 tháng 5, chính phủ Anh đã đưa sàn giao dịch tiền điện tử HTX vào danh sách trừng phạt chống lại Nga, đánh dấu lần đầu tiên họ sử dụng Quy định 17A để áp đặt lệnh trừng phạt đối với một sàn giao dịch tiền điện tử. Anh cáo buộc HTX đã xử lý 3,3 nghìn tỷ USD giao dịch vào năm 2025, được cho là cung cấp dịch vụ tài chính cho mạng lưới thanh toán A7 bị trừng phạt và sàn giao dịch Garantex của Nga.

Phản ứng dây chuyền do các lệnh trừng phạt gây ra đã nhanh chóng lan rộng. Khi một số công ty AML chính thống liệt kê địa chỉ sàn giao dịch của HTX là địa chỉ rủi ro cao, nhiều sàn giao dịch sử dụng hệ thống AML của họ đã thắt chặt kiểm tra giao dịch liên quan đến các địa chỉ liên kết với HTX, dẫn đến việc nhiều người dùng HTX gặp sự cố khi rút tài sản sang các sàn giao dịch khác.

Sự cố HTX cho thấy một tình thế tiến thoái lưỡng nan sâu sắc hơn: dưới bối cảnh địa chính trị phức tạp, một lệnh trừng phạt đơn lẻ do các cơ quan quản lý khởi xướng có thể gây ra hiệu ứng dây chuyền mở rộng trên chuỗi, cuối cùng ảnh hưởng đến tiền của vô số người dùng bình thường. Một người dùng HTX có thể hoàn toàn vô tội khi nắm giữ tài sản, nhưng do rủi ro tuân thủ tiềm ẩn của nền tảng, họ có thể gặp phải "tường lửa" của toàn bộ hệ thống AML khi cố gắng rút tiền sang các sàn giao dịch khác, dẫn đến việc tiền bị đóng băng hoặc bị trì hoãn vô thời hạn.

Trên thực tế, sự cố HTX chỉ là phần nổi của tảng băng chìm về áp lực quản lý. Điều thực sự kìm hãm sự đổi mới DeFi ở mức độ sâu hơn là việc các cơ quan quản lý phân loại pháp lý các mô hình kinh doanh cơ bản của các giao thức.

Trong hai năm qua, SEC Hoa Kỳ đã mở các cuộc điều tra vào các giao thức DeFi "blue chip" như Compound, Uniswap và Curve, tập trung vào việc liệu các token quản trị có cấu thành chứng khoán chưa đăng ký hay không. Những đòn giáng trực tiếp hơn đến từ lĩnh vực token sinh lời—các hành động thực thi của SEC đối với các sản phẩm như Gemini Earn cho thấy rằng miễn là một giao thức trả lãi thụ động cho người dùng dựa trên tiền gửi, nó dễ dàng bị phân loại là hợp đồng đầu tư, kích hoạt các nghĩa vụ đăng ký và công bố thông tin theo Đạo luật Chứng khoán.

Sự mơ hồ về pháp lý và môi trường áp lực cao này trực tiếp bóp nghẹt những hướng đổi mới giàu trí tưởng tượng nhất của DeFi: từ khai thác thanh khoản đến các sản phẩm lợi nhuận có cấu trúc, các nhà phát triển phải liên tục lo lắng liệu các mô hình kinh tế token của họ có vượt qua các lằn ranh đỏ quản lý hay không.

Theo một nghĩa nào đó, bản chất "không cần cấp phép" (permissionless) mà DeFi nhấn mạnh ban đầu đang dần tiến hóa thành một hình thức "hệ thống cấp phép" khác. "Sự cấp phép" này không đến từ một công ty hay giao thức cụ thể, mà từ mọi mắt xích trong chuỗi tuân thủ quy định: danh sách AML, công cụ kiểm soát rủi ro của sàn giao dịch, quyền tài phán dài hạn của luật chứng khoán, v.v.

III. DeFi bước vào giai đoạn hiện thực

Nhìn lại những thăng trầm của DeFi trong vài năm qua, những tình thế tiến thoái lưỡng nan về bảo mật và áp lực quản lý của DeFi không tồn tại độc lập. Việc thiếu một khuôn khổ quản lý rõ ràng khiến việc thiết lập sự đồng thuận của ngành về các tiêu chuẩn bảo mật trở nên khó khăn; các sự cố bảo mật xảy ra thường xuyên, đến lượt nó, cung cấp sự biện minh trực tiếp nhất cho các cơ quan quản lý toàn cầu để thắt chặt thực thi; và sự bất đối xứng bảo mật đang tăng tốc trong kỷ nguyên AI, kết hợp với các ngưỡng tuân thủ dần thắt chặt, cuối cùng đan xen để đẩy vô số người dùng bình thường vào tâm bão.

Về cơ bản, ranh giới của kiểm toán bảo mật và sự cứng nhắc của tuân thủ quy định đang liên tục làm xói mòn hai giả định cốt lõi mà DeFi dựa vào—"mã là luật" và "tự do không cần cấp phép".

Ngày nay, người dùng chịu rủi ro kỹ thuật cao hơn so với tài chính truyền thống, nhưng có thể không đạt được sự tự do hơn so với tài chính truyền thống. Đây chính là lý do tại sao nhiều người tham gia thị trường cảm thấy bối rối. Họ nhận thấy rằng DeFi không an toàn như ngân hàng cũng không hoàn toàn mở như đã hứa ban đầu.

Khi một hệ thống đồng thời mất cả phí bảo mật và phí tự do, logic tăng trưởng của nó sẽ tự nhiên bị thách thức. Do đó, câu hỏi có lẽ không phải là "Hacker và các nhà quản lý đã hủy hoại DeFi?"

Chính xác hơn, hacker và các nhà quản lý chỉ đơn giản buộc ngành công nghiệp phải đối mặt với thực tế. Hacker đã khiến mọi người nhận ra rằng mã nguồn không tự nhiên tạo ra niềm tin; các nhà quản lý đã khiến mọi người nhận thức được rằng thế giới on-chain chưa bao giờ hoạt động như một vũ trụ song song tách biệt khỏi thế giới thực.

Điều này không có nghĩa là sự thất bại của DeFi. Ngược lại, nó báo hiệu rằng thử nghiệm này đang chuyển đổi từ giai đoạn lý tưởng sang giai đoạn hiện thực.

DeFi không bị hủy hoại bởi hacker hay các nhà quản lý. Nó đang được định nghĩa lại bởi các quy luật sinh tồn được định hình bởi cả hai: tương lai của DeFi phải hoặc là hướng tới các khuôn khổ tuân thủ và tự quản lý ngành nghiêm ngặt hơn, buộc phải thỏa hiệp với các nguyên tắc phi tập trung; hoặc dần mất đi niềm tin của thị trường do sự mất cân bằng kéo dài giữa tấn công và phòng thủ, dẫn đến sự bên lề hóa trong dài hạn.