Sự phát triển của mọi công nghệ tài chính đột phá đều nhất định phải trải qua những cơn đau trưởng thành, và tài chính phi tập trung (DeFi) cũng không ngoại lệ. Các thị trường cho vay thời kỳ đầu ra mắt nhanh chóng, quy mô mở rộng mạnh mẽ, ngành công nghiệp liên tiếp đối mặt với các cuộc tấn công an ninh trên thị trường công khai, rồi từng bước mày mò hoàn thiện bảo mật mã, quản lý rủi ro tài sản thế chấp, cơ chế oracle, logic thanh lý và hệ thống quản trị.
Các tình huống rủi ro trong quá khứ có giá trị tham khảo, nhưng không còn đại diện được cho hệ sinh thái DeFi trưởng thành ngày nay. Xét cho cùng, người chỉ biết phân tích lại lịch sử thường không nắm bắt được cơ hội hiện tại.
Loại trừ các sự cố an ninh liên quan đến cầu nối chuỗi chéo (cross-chain bridge), tỷ lệ tổn thất vốn do bị đánh cắp và tấn công độc hại hàng năm trên các dịch vụ cho vay DeFi trên Máy ảo Ethereum (EVM) và Solana hiện nay, theo tính toán, vào khoảng 0,03% tổng giá trị bị khóa (TVL) của ngành cho vay. Dữ liệu phân tích lần này đều được tổng hợp từ các sự kiện tấn công của hacker và trộm cắp lỗ hổng được đánh dấu trên nền tảng DeFi Llama.
Tiêu chuẩn cốt lõi để đánh giá rủi ro an ninh là: Tổn thất thực tế do khai thác lỗ hổng lớn đến mức nào so với lượng vốn trên thị trường?
Tỷ lệ tổn thất 3 phần vạn (0.03%) này xấp xỉ tương đương với xác suất tử vong do trượt chân ngã bất ngờ của người dân Mỹ. Có thể thấy, bỏ qua tâm lý hoảng loạn phổ biến trên thị trường, rủi ro an ninh thực tế của nghiệp vụ cho vay DeFi thực chất đang ở mức khá thấp.
Phân Tích Chi Tiết Sự Cố An Ninh DeFi
Tính đến ngày 16 tháng 5 năm 2026, tổng số tiền bị đánh cắp từ tất cả các loại giao thức DeFi được thống kê bởi DeFi Llama đạt 7,751 tỷ USD, phạm vi bao phủ của thống kê này rất rộng. Dữ liệu tổng thể bao gồm cầu nối chuỗi chéo, sàn giao dịch phi tập trung, giao thức phái sinh, các dự án liên quan đến trò chơi trên chuỗi, ví số, lỗi cơ sở hạ tầng cơ bản, cũng như các nghiệp vụ DeFi không thuộc lĩnh vực cho vay.
Trong đó, cầu nối chuỗi chéo là khu vực trọng điểm về rủi ro: Loại trừ các sự cố an ninh liên quan đến cầu nối chuỗi chéo, tổng số tiền thiệt hại do trộm cắp trong lĩnh vực DeFi giảm xuống còn 4,518 tỷ USD.
Mã chỉ thực thi nghiêm ngặt các lệnh đã viết, chứ không phải hiện thực hóa kỳ vọng lý tưởng của nhà phát triển, đây cũng là nguồn gốc của các loại lỗ hổng thường xuyên xuất hiện. Việc phân loại rủi ro có ý nghĩa quan trọng: DeFi không phải là một lĩnh vực đơn nhất với rủi ro thống nhất, việc cầu nối chuỗi chéo bị đánh cắp, thao túng oracle của DEX, lừa đảo giả mạo ví, lỗ hổng tài sản thế chấp trên thị trường cho vay, đều thuộc các loại rủi ro hoàn toàn khác nhau.
Trong tất cả các giao thức DeFi, thị trường cho vay bị tấn công với tần suất cao nhất, lý do rất đơn giản: Một lượng lớn tài sản lưu trữ lâu dài trong hợp đồng thông minh, trở thành mục tiêu hàng đầu của tin tặc.
Giao thức cho vay và nhà tạo lập thị trường tự động (AMM) là những phân khúc có tần suất sự cố an ninh cao, điểm chung cốt lõi là cần tập trung một lượng lớn tài sản gửi vào hợp đồng thông minh. Ngoại trừ cầu nối chuỗi chéo, đại đa số các sự cố an ninh đều tập trung vào hai loại giao thức này. Bài viết này sẽ tập trung phân tích phân khúc cho vay và cho vay vốn.
Tỷ Lệ Tổn Thất Vốn Đã Được Cải Thiện Đáng Kể
Ngày nay, quy mô TVL tổng thể của DeFi cao hơn rất nhiều so với giai đoạn đầu ngành công nghiệp thường xuyên xảy ra lỗ hổng, đặc biệt là phân khúc cho vay, hệ thống quản lý rủi ro của dự án trưởng thành hơn, kiểm tra mã toàn diện hơn, giám sát rủi ro thời gian thực toàn mạng cũng ngày càng hoàn thiện. Loại trừ các sự cố cầu nối chuỗi chéo, tỷ lệ tổn thất thực tế do trộm cắp hàng năm của nghiệp vụ cho vay trong hệ sinh thái EVM và Solana đã giảm mạnh.
Euler thậm chí còn tạo ra một điển hình kinh điển về xử lý rủi ro, thành công thu hồi toàn bộ tài sản bị đánh cắp. Năm 2023, Euler bị đánh cắp 197 triệu USD, không những thu hồi toàn bộ số tiền, mà do biến động giá tài sản cuối cùng còn thu về 240 triệu USD, đạt được thặng dư tích cực, điều này cũng tạo ra khoảng cách giữa tổn thất trên sổ sách và số tiền thu hồi thực tế của ngành công nghiệp.
Lấy ngày 16 tháng 5 năm 2026 làm mốc, thống kê dữ liệu liên quan trong gần một năm qua:
· Tổng tổn thất trên sổ sách do trộm cắp trong nghiệp vụ cho vay phi cầu nối chuỗi chéo trên EVM và Solana: 30,9 triệu USD
· Tổn thất ròng thực tế sau khi trừ đi số tài sản được thu hồi: 30,1 triệu USD
· Quy mô vốn bị khóa trung bình hàng ngày của phân khúc cho vay: 99,6 tỷ USD
· Tỷ lệ tổn thất vốn trên sổ sách: 3,1 điểm cơ bản (basis points)
· Tỷ lệ tổn thất ròng thực tế: 3 điểm cơ bản
Tính ra, hao hụt vốn hàng năm ổn định duy trì ở mức khoảng 0,03% tổng giá trị bị khóa (TVL) của ngành cho vay.
Lợi Thế Của Phân Tán Cấu Hình Tài Sản
Các sự cố an ninh DeFi thể hiện đặc điểm phân cực rõ rệt: Một số ít các vụ trộm cắp với số tiền cực lớn, chiếm phần lớn tổng số tổn thất công khai của ngành công nghiệp. Sắp xếp quy mô sự cố theo thang đo logarit có thể thấy, quy mô của các vụ trộm cắp khác nhau xấp xỉ tuân theo phân phối chuẩn logarit. Trực quan mà nói, tổn thất tiền tệ do đại đa số các sự cố an ninh gây ra tương đối nhỏ, trộm cắp số tiền cao, khổng lồ chỉ tập trung vào một số ít trường hợp cực đoan.
Mặc dù ChatGPT đưa ra quan điểm khác, nhưng tôi cho rằng những dữ liệu này đã chứng minh một cách hùng hồn rằng đa dạng hóa danh mục đầu tư là một phương pháp tuyệt vời để phòng chống tội phạm.
Từ góc độ chuyển giao rủi ro và bảo hiểm thương mại, mô hình dữ liệu này cũng cung cấp sự hỗ trợ hợp lý cho nghiệp vụ bảo hiểm an ninh của ngành công nghiệp, các cơ quan bảo hiểm có thể thiết lập giới hạn bồi thường cho từng giao dịch đối với các giao thức khác nhau, triển khai nghiệp vụ nhận bảo hiểm một cách có trật tự.
Ngoài ra, phạm vi ảnh hưởng của đại đa số các vụ trộm cắp có hạn, hoàn toàn không đủ để làm lung lay bộ khung vốn tổng thể của toàn bộ phân khúc cho vay. Hơn nữa, quy mô tổng thể của phân khúc càng lớn, tác động của một sự cố an ninh đơn lẻ đối với toàn cục càng nhỏ.
Chú thích: Tổn thất tiền tệ của một số sự cố trộm cắp dường như vượt quá giá trị bị khóa (TVL) của chính dự án, các trường hợp như vậy được thống kê thống nhất theo khẩu tổn thất 100%.
Xuất hiện sai lệch dữ liệu này chủ yếu có hai nguyên nhân: Một là có chênh lệch thời gian giữa thời điểm thống kê TVL và thời điểm xảy ra sự cố an ninh, khối lượng tài sản đã thay đổi; Hai là khẩu thống kê TVL của DeFi Llama không nhất quán với tiêu chuẩn thống kê tài sản thực tế đang chịu rủi ro.
Cách tính toán này tuy không hoàn toàn tuyệt đối hoàn hảo, nhưng đủ để phản ánh rõ ràng thực trạng ngành công nghiệp: Đại đa số các cuộc tấn công khai thác lỗ hổng chỉ ảnh hưởng đến một mô-đun nghiệp vụ đơn lẻ trong giao thức cho vay, rất hiếm khi xảy ra tình trạng toàn bộ tài sản bị thất thoát, đặc biệt là các dự án lớn có quy mô đầu ngành. Dữ liệu nghiên cứu này cũng cung cấp căn cứ then chốt cho nghiệp vụ phòng ngừa rủi ro và quản lý an ninh tài sản của ngành công nghiệp DeFi.
Năng Lực Thu Hồi Tài Sản Cực Kỳ Quan Trọng
Thu hồi tài sản cũng đã tối ưu hóa đáng kể biểu hiện rủi ro thực tế của phân khúc cho vay DeFi.
Tổng hợp dữ liệu trộm cắp toàn bộ các loại DeFi từ DeFi Llama mà xét, tổng số tiền thu hồi tài sản của toàn ngành chiếm khoảng 8% tổng tổn thất trên sổ sách; còn sau khi loại trừ các sự cố cầu nối chuỗi chéo, tỷ lệ thu hồi tài sản của phân khúc cho vay trên EVM và Solana còn cao hơn, có thể đạt khoảng 20% tổn thất trên sổ sách.
Tỷ lệ thành công thu hồi vốn thường cao hơn đối với các vụ án thất thoát tài sản xảy ra ở những khu vực có hệ thống pháp luật hoàn thiện, quản lý giám sát trưởng thành. Hiện tượng này cũng ẩn chứa những gợi ý liên quan đến quyền truy cập trong ngành công nghiệp.
Triển Vọng Ngành Công Nghiệp Hướng Tới Tích Cực
Ngày nay, rủi ro an ninh của phân khúc cho vay DeFi đã có thể định lượng, phân loại, tỷ lệ tổn thất vốn thực tế tiếp tục giảm. Dữ liệu chứng minh ngành công nghiệp đã bước vào giai đoạn phát triển trưởng thành: Tổn thất thực tế do trộm cắp lỗ hổng chiếm tỷ lệ cực thấp so với lượng vốn dự trữ khổng lồ của phân khúc, các loại rủi ro rõ ràng có thể phân biệt, ranh giới rủi ro ngày càng minh bạch.
Tóm lại, không cần bị cuốn theo những lời chỉ trích tiêu cực từ bên ngoài, dữ liệu và sự thật đủ để chứng minh mức độ rủi ro thực tế của phân khúc cho vay DeFi.
