#DeFiLossesTop600MInApril

Tiền của bạn không bị đánh cắp bởi một lập trình viên thiên tài khai thác lỗ hổng hợp đồng thông minh mơ hồ nào đó, mà bị lấy đi bởi những kẻ tấn công đã gửi những tin nhắn giả mạo qua một cầu nối mà mọi người đều tin tưởng, và điều đó còn tồi tệ hơn nữa

Tháng Tư năm 2026 sẽ được ghi nhớ như tháng mà tài chính phi tập trung đối mặt với giờ tối tăm nhất của nó với thiệt hại vượt quá sáu trăm triệu đô la qua hai mươi lăm vụ việc riêng biệt, nhưng nỗi kinh hoàng không nằm ở số lượng, mà nằm ở cách những cuộc tấn công này trở nên bình thường như thế nào, cách các mẫu hình lặp lại một cách chính xác cơ khí trong khi hàng tỷ giá trị bị khóa tiếp tục chảy qua các giao thức chia sẻ những lỗi kiến trúc chính xác như vậy

Tháng mở đầu với Drift Protocol trên Solana bị rút sạch hai trăm tám mươi lăm triệu đô la vào ngày đầu tháng qua một cuộc tấn công kỹ thuật xã hội đã thao túng các khoản gửi thế chấp giả mạo, những kẻ tấn công không cần khai thác mã cryptography phức tạp, họ chỉ đơn giản là thuyết phục hệ thống rằng tiền tồn tại khi nó không có thật, đây là diện mạo hiện đại của trộm cắp crypto, không phải khai thác mã xuất sắc, mà là lừa đảo cơ bản được khuếch đại bởi hạ tầng kỹ thuật

Sau đó là Kelp DAO vào ngày mười tám tháng Tư, vụ trộm lớn nhất năm 2026 với gần ba trăm triệu đô la, và có lẽ là nghiên cứu điển hình nhất về lý do tại sao cầu nối chuỗi chéo vẫn là điểm yếu chí tử của DeFi, những kẻ tấn công khai thác cấu hình xác thực một đối một, truy cập chỉ vào hai nút, điều này cho phép họ chèn các tin nhắn độc hại qua giao thức LayerZero, các tin nhắn giả mạo tuyên bố rằng các khoản gửi đã được thực hiện khi thực tế không có gì được di chuyển

Sự tinh vi không nằm ở chính vụ khai thác, mà ở việc che đậy, khi các nút RPC khác của Kelp DAO mâu thuẫn với phiên bản của các kẻ tấn công, họ chỉ đơn giản là phát động một cuộc tấn công từ chối dịch vụ DDoS, làm tê liệt các nút trung thực và buộc hệ thống chuyển sang hạ tầng bị xâm phạm của họ, verifier coi các nút độc hại là nguồn sự thật duy nhất, và hàng trăm triệu token rsETH đã được đúc ra mà không có backing

Justin Sun công khai cầu xin các hacker trả lại tiền, đề nghị một khoản thưởng mũ trắng gọi là bounty, nhưng sự im lặng sau đó còn lớn hơn bất kỳ phản hồi nào, số tiền đã biến mất, chảy qua các khoản tương đương Tornado Cash và vào mê cung các ví hoạt động của Bắc Triều Tiên, các chỉ số sơ bộ từ các nhà phân tích blockchain chỉ ra TraderTraitor, liên kết của nhóm Lazarus, đã trở thành hoạt động trộm cắp crypto lớn nhất trong lịch sử

Điều này khiến tháng 4 năm 2026 trở nên tàn phá đến vậy, đó không phải là một sự cố riêng lẻ hay một phương thức tấn công mới, mà là xác nhận rằng các tác nhân được nhà nước bảo trợ đã công nghiệp hóa việc khai thác hạ tầng DeFi, các hacker Bắc Triều Tiên đã trộm hơn hai tỷ đô la crypto trong năm 2025, và số tiền thu được trong tháng 4 năm 2026 đã đẩy tổng cộng của họ lên gần sáu tỷ đô la, đây không phải là tội phạm, mà là khai thác tài nguyên chiến lược, tài trợ cho các chương trình vũ khí trong khi ngành công nghiệp tranh luận về token quản trị

Sự mục nát về cấu trúc còn sâu hơn bất kỳ giao thức cá nhân nào, rsETH của Kelp DAO đã trở thành tài sản thế chấp trên hầu hết các nền tảng cho vay lớn trong DeFi vào tháng 4 năm 2026, với tổng giá trị khóa hơn một tỷ đô la và tích hợp vào Aave, Compound cùng hàng chục địa điểm sinh lợi, khi các token không có backing này vào hệ thống, chúng đã làm ô nhiễm mọi thứ chúng chạm vào, ít nhất chín giao thức chịu thiệt hại trực tiếp, và riêng Aave đã mất mười tỷ TVL khi các khoản rút tiền hoảng loạn lan rộng qua các thị trường liên kết

Các cầu nối chuỗi chéo dự kiến sẽ giải quyết vấn đề phân mảnh, thay vào đó chúng đã trở thành điểm thất bại duy nhất đe dọa toàn bộ hệ sinh thái, mỗi cầu nối dựa vào một số hình thức xác minh, dù là ví đa chữ ký, chứng nhận cổ phần, bộ xác thực hoặc bằng chứng gian lận lạc quan, và tất cả các cơ chế này đều đã chứng minh là dễ bị tổn thương do kỹ thuật xã hội, xâm phạm nội bộ hoặc lỗi cấu hình đơn giản

Vụ hack Kelp DAO đã phơi bày lời dối trá về phân quyền trong thực tế, an ninh của giao thức dựa vào cấu hình xác thực một đối một, nghĩa là một nút bị xâm phạm có thể phê duyệt các giao dịch thảm khốc, các tài liệu tiếp thị nói về quản trị phi tập trung và kiểm soát cộng đồng, nhưng thực tế vận hành là một nhóm nhỏ các nhà cung cấp hạ tầng chạy các nút RPC, có thể bị đánh offline bởi một kẻ tấn công có nguồn lực dồi dào

Khoảng cách giữa huyền thoại phi tập trung và thực tế tập trung này định hình quản trị DeFi hiện đại, token quản trị cung cấp cho người sở hữu quyền bỏ phiếu về các tham số của giao thức, nhưng hạ tầng thực tế, các máy chủ, chìa khóa riêng, nhà vận hành cầu nối vẫn tập trung trong tay một số ít thực thể không chịu trách nhiệm trước người nắm giữ token, khi nhóm Kelp DAO phát hiện ra lỗ hổng, họ không có cơ chế để đóng băng hợp đồng hoặc hoàn lại các giao dịch, họ chỉ có thể đứng nhìn và cầu xin

Các tác động về kế toán mới chỉ bắt đầu nổi lên, làm thế nào các kiểm toán viên đánh giá hiệu quả kiểm soát khi các cơ chế xác minh dựa vào hạ tầng ngoài chuỗi có thể bị tấn công DDoS, làm thế nào các báo cáo tài chính phản ánh rủi ro của các tài sản tổng hợp không có backing đang lưu hành như tài sản thế chấp hợp pháp, thế giới tài chính truyền thống đã phát triển tiêu chuẩn kế toán cho rủi ro đối tác và xác minh tài sản qua nhiều thế kỷ, còn DeFi đang khám phá lý do tại sao các tiêu chuẩn đó tồn tại, theo cách khó khăn

Những thiệt hại tháng 4 đã đưa tổng thiệt hại trong năm 2026 gần chín trăm triệu đô la, và chúng ta còn chưa đi qua nửa năm, tốc độ khai thác ngày càng tăng, không phải vì kẻ tấn công ngày càng thông minh hơn, mà vì bề mặt mục tiêu ngày càng mở rộng, mỗi cầu nối mới, mỗi giao thức đặt cược lại, mỗi token phái sinh thanh khoản mới tạo ra cơ hội mới cho những cuộc tấn công cũ

Phản ứng của ngành công nghiệp đã dự đoán là không đủ, nhiều cuộc kiểm toán hơn, nhiều phần thưởng lỗi hơn, nhiều giao thức bảo hiểm hơn, chính chúng lại trở thành mục tiêu, kiến trúc cơ bản vẫn không thay đổi, cầu nối vẫn dựa vào các bộ xác minh tin cậy, đặt cược lại tạo đòn bẩy qua token tổng hợp, và người dùng vẫn theo đuổi lợi nhuận mà không hiểu rõ các rủi ro đối tác mà họ đang chấp nhận

Điều làm chu kỳ này điên rồ là sự mất trí nhớ tập thể, mỗi vụ hack đều đi kèm lời hứa cải tổ, thực hành an ninh tốt hơn, giám sát tốt hơn, rồi dòng tiền lại chảy vào, lợi nhuận quá hấp dẫn, FOMO quá mạnh mẽ, và trong vòng vài tháng, TVL đã phục hồi, và các lỗ hổng cũ lại bị khai thác, vụ hack Kelp DAO đã sử dụng các kỹ thuật đã được ghi chép rõ ràng từ nhiều năm trước, nhưng hàng tỷ vẫn đang gặp rủi ro

Mối liên hệ với Bắc Triều Tiên thêm một chiều hướng địa chính trị mà ngành công nghiệp không đủ khả năng xử lý, khi kẻ tấn công của bạn là một quốc gia có nguồn lực vô hạn, an ninh vận hành tinh vi và không sợ bị pháp luật trừng phạt, các động lực thông thường để tiết lộ trắng và tiết lộ có trách nhiệm bị phá vỡ, tại sao hacker Bắc Triều Tiên lại chấp nhận phần thưởng lỗi khi họ có thể đơn giản là lấy cắp tiền và tài trợ cho các chương trình vũ khí của chế độ

Nhóm Lazarus đã tiến hóa từ trộm cắp cơ hội thành khai thác có hệ thống, họ nghiên cứu các giao thức trong nhiều tháng, xác định không chỉ các lỗ hổng kỹ thuật mà còn các điểm yếu vận hành, ai vận hành hạ tầng, các thực hành an ninh của họ, chìa khóa nằm ở đâu, đây là phương pháp của các cơ quan tình báo áp dụng cho các giao thức crypto, còn các nhà phòng thủ là các startup với ngân sách an ninh hạn chế và đội ngũ kỹ thuật quá tải

Tháng 4 năm 2026 cũng chứng kiến sự xuất hiện của AI như một biến số mới trong cảnh quan an ninh, mô hình Mythos của Anthropic đã thể hiện khả năng xác định các lỗ hổng mà các cuộc kiểm toán truyền thống bỏ lỡ, không chỉ trong hợp đồng thông minh mà còn trong các lớp hạ tầng hỗ trợ chúng, cầu nối, oracles, mạng RPC, các giao diện con người mà các kẻ tấn công ngày càng nhắm tới

Điều này tạo ra một cuộc chạy đua vũ trang bất đối xứng, nơi AI hỗ trợ cả kẻ tấn công lẫn nhà phòng thủ, nhưng kẻ tấn công có lợi thế, họ chỉ cần tìm ra một lỗ hổng, trong khi nhà phòng thủ phải bảo vệ mọi thứ, và các động lực kinh tế ưu tiên khai thác hơn phòng thủ, một vụ hack thành công mang lại hàng triệu, trong khi một vụ ngăn chặn không mang lại gì ngoài việc không mất mát

Vụ việc Drift Protocol cho thấy cách kỹ thuật xã hội đã tiến xa hơn ngoài email lừa đảo, các kẻ tấn công thuyết phục nhiều bên phê duyệt các khoản thế chấp giả mạo thông qua sự thao túng kỹ thuật và lừa đảo con người, đây là mô hình đe dọa lai mà DeFi ít chuẩn bị nhất để đối phó, các biện pháp an ninh kỹ thuật trở nên vô dụng khi con người có thể bị lừa để bỏ qua chúng

Vụ khai thác Kelp DAO chứng minh rằng ngay cả các giao thức có kiểm toán an ninh và chương trình thưởng lỗi cũng có thể bị tấn công hạ tầng, tích hợp LayerZero đã được xem xét bởi nhiều công ty, nhưng cấu hình xác thực một đối một không được đánh dấu là rủi ro nghiêm trọng, hoặc vì các kiểm toán viên không xem xét, hoặc vì giao thức đã thay đổi cấu hình sau khi kiểm toán hoàn tất, đây là khoảng cách giữa kiểm toán và thực tế vận hành

Điều nổi bật từ tháng 4 năm 2026 là bức tranh về một ngành công nghiệp phủ nhận về độ mong manh của chính nó, tiếp thị nói về cuộc cách mạng tài chính và đổi mới không cần phép, nhưng thực tế vận hành là một mớ hỗn độn của các trung gian tin cậy, nhà vận hành cầu nối, nhà cung cấp RPC, mạng oracle, mỗi thành phần tạo ra sự tập trung rủi ro mà ban đầu phân quyền dự kiến loại bỏ

Người dùng gánh chịu thiệt hại cuối cùng, trong khi các giao thức đôi khi cung cấp bồi thường một phần qua quỹ kho bạc hoặc cơ chế bảo hiểm, phần lớn thiệt hại rơi vào người gửi tiền, những người tin vào tiếp thị về an ninh phi tập trung, các chủ sở hữu rsETH của Kelp DAO đã chứng kiến token của họ trở nên vô giá trị, không phải do lực lượng thị trường, mà do các thất bại kiến trúc, họ không có khả năng đánh giá hoặc giảm thiểu

Sự chú ý của pháp luật là không thể tránh khỏi và có thể phản tác dụng, các nhà hoạch định chính sách sẽ xem thiệt hại tháng 4 như xác nhận rằng DeFi không an toàn và sẽ đề xuất các giải pháp áp đặt kiểm soát tài chính truyền thống lên các hệ thống phi tập trung, giết chết đổi mới trong khi không giải quyết các lỗ hổng thực sự, ngành cần cải tổ cấu trúc chứ không phải bị kiểm soát bởi quy định

Con đường phía trước đòi hỏi thừa nhận trung thực về nơi phân quyền kết thúc và nơi tập trung bắt đầu, cầu nối không thể hoàn toàn phi tập trung mà không hy sinh an ninh, token quản trị không thể kiểm soát hạ tầng mà người nắm giữ token không vận hành, và an ninh không thể được thuê ngoài cho các kiểm toán viên không chịu gánh chịu hậu quả của thất bại

Tháng 4 năm 2026 không phải là một sự kiện bất thường, mà là một dự báo về điều xảy ra khi hàng tỷ giá trị chảy qua các hệ thống được thiết kế cho thử nghiệm chứ không phải sản xuất, những kẻ tấn công đã cho chúng ta thấy nơi chôn xác, câu hỏi là liệu có ai đó sẽ ngừng đào mộ mới không