Những lo ngại về bảo mật tiền điện tử đã gia tăng sau khi nhà đồng sáng lập OpenZeppelin, Manuel Aráoz, cho biết ông đã khuyên bạn bè và gia đình rút tất cả các vị thế tài chính phi tập trung (DeFi), bao gồm cả những khoản đầu tư vào các giao thức cho vay lớn.
Trong một bài đăng được công bố vào thứ Ba trên X, Aráoz cho biết ông không còn coi “tất cả DeFi” là an toàn, lập luận rằng cán cân giữa những kẻ tấn công và người bảo vệ đã nghiêng quá nhiều về phía tin tặc. Ngay cả những vị thế rủi ro thấp hơn liên quan đến các giao thức đã được thiết lập như Aave, MakerDAO và Compound cũng được đưa vào cảnh báo của ông.
Mô tả tình trạng hiện tại của bảo mật hợp đồng thông minh, Aráoz cho biết các tác nhân mã hóa đã trở nên “siêu phàm trong việc tìm kiếm lỗ hổng”, trong khi các nhà phát triển vẫn bị mắc kẹt trong một hệ thống mà “những người bảo vệ cần sửa mọi lỗi trong khi những kẻ tấn công chỉ cần một lỗ hổng để đánh cắp tiền.”
“Tôi đã bí mật khuyên bạn bè và gia đình rút tất cả các vị thế DeFi, bao gồm cả những ‘blue chip’ rủi ro thấp như Aave, MakerDAO & Compound,” ông nói thêm.
Bình luận của Aráoz được đưa ra khi ngành công nghiệp tiền điện tử tiếp tục đối phó với một trong những giai đoạn gây thiệt hại nặng nề nhất cho các vụ khai thác DeFi kể từ vụ tấn công Bybit trị giá 1,5 tỷ USD vào tháng 2 năm 2025.
Dữ liệu từ DefiLlama cho thấy khoảng 629,7 triệu USD đã bị đánh cắp từ các giao thức DeFi chỉ riêng trong tháng 4, biến đây thành tháng tồi tệ nhất về các vụ tấn công liên quan đến tiền điện tử trong hơn một năm qua. Hai vụ tấn công chiếm phần lớn số tiền bị mất.
Trong số các sự cố lớn nhất, Drift Protocol đã mất khoảng 285 triệu USD sau khi những kẻ tấn công được cho là đã sử dụng một chiến dịch kỹ thuật xã hội kéo dài sáu tháng.
Kelp DAO chịu thêm một vụ khai thác 293 triệu USD khác liên quan đến các lỗ hổng trong cơ sở hạ tầng cầu nối chuỗi chéo của mình. Các nhà nghiên cứu bảo mật và điều tra viên blockchain đã liên kết rộng rãi cả hai vụ tấn công này với các nhóm tin tặc do nhà nước Triều Tiên hậu thuẫn.
DefiLlama ghi nhận 27 sự cố khai thác DeFi trong tháng 4. Đồng thời, tổng giá trị bị khóa trên các giao thức DeFi đã giảm khoảng 14% so với mức giữa tháng 4, từ gần 172 tỷ USD xuống còn khoảng 148 tỷ USD.
Tổn thất tập trung chủ yếu đến từ các điểm yếu liên quan đến cầu nối, lỗi truy cập đặc quyền và sai sót trong vận hành, thay vì chỉ là các lỗi mã hóa riêng lẻ.
Ngoài hai vụ vi phạm lớn nhất, một số cuộc tấn công nhỏ hơn vẫn tiếp tục tấn công các giao thức trong suốt tháng. Như crypto.news đã báo cáo trước đây, Wasabi Protocol đã mất khoảng 5,5 triệu USD trên các mạng Ethereum, Base, Blast và Berachain trong một vụ khai thác đang diễn ra.
Nền tảng Move-to-earn Sweat Economy cũng báo cáo thiệt hại khoảng 3,46 triệu USD sau khi những kẻ tấn công rút gần 65% quỹ thanh khoản của nó trong vòng chưa đầy 30 giây. Dự án sau đó cho biết một số tài sản bị đánh cắp đã bị đóng băng trên MEXC trong khi các nỗ lực phục hồi vẫn tiếp tục.
Trong khi đó, trên blockchain Sui, nền tảng giao dịch phi tập trung Aftermath Finance đã mất gần 1,1 triệu USD USDC từ nền tảng hợp đồng vĩnh cửu của mình. Công ty bảo mật blockchain Blockaid cho biết kẻ tấn công đã thực hiện 11 giao dịch trong khoảng 36 phút.
Mặc dù tháng 5 chưa gây ra những tổn thất lớn như tháng 4, nhưng các sự cố bảo mật vẫn tiếp tục xảy ra trong lĩnh vực DeFi.
Trong số các trường hợp mới nhất, cầu nối Ethereum của Verus Network đã bị khai thác với số tiền 11,6 triệu USD. Nền tảng thị trường dự đoán Polymarket cũng tiết lộ một vụ vi phạm 573.200 USD vào tuần trước mà công ty cho biết có thể liên quan đến một khóa riêng tư bị xâm phạm liên kết với một ví nạp tiền nội bộ.
