#DeFiLossesTop600MInApril

Cảnh quan DeFi đã đối mặt với một cuộc kiểm điểm vào tháng 4 năm 2026, đánh dấu đây là tháng biến động nhất về an ninh giao thức trong lịch sử gần đây. Dữ liệu từ DeFi Llama và CertiK cho thấy từ ngày 24 đến 30 đã xảy ra 24 đến 30 vụ việc riêng lẻ dẫn đến tổng thiệt hại khoảng 651 triệu đô la, trong đó các giao thức DeFi chiếm khoảng 614,17 triệu đô la trong số đó. Đây là khoản lỗ lớn nhất trong tháng tính theo đô la kể từ khi

Tập trung Rủi ro: Hai vụ khai thác chính
Gần 95% tổng thiệt hại của tháng bắt nguồn từ chỉ hai vụ vi phạm lớn:
Kelp DAO (292 triệu đô la): Vào ngày 18 tháng 4, giao thức đặt cược lại thanh khoản đã gặp phải một khai thác kiến trúc thay vì lỗi mã nguồn. Kẻ tấn công đã xâm phạm một nút xác thực LayerZero và hai nút RPC, sử dụng tấn công từ chối dịch vụ (DDoS) vào các bản sao lưu để buộc chuyển đổi dự phòng. Điều này cho phép tạo ra 116.500 rsETH không được đảm bảo. Hậu quả ngay lập tức, buộc các nền tảng lớn như Aave và SparkLend phải đóng băng thị trường. TVL của Aave giảm từ 26,4 tỷ đô la xuống còn 18 tỷ đô la trong vòng 48 giờ do sự lây lan của sự cố.
Drift Protocol (280 triệu đô la): Vào ngày 1 tháng 4, sàn giao dịch vĩnh viễn dựa trên Solana đã bị rút sạch hơn một nửa TVL của nó. Đây là kết quả của một "hoạt động tình báo có cấu trúc" kéo dài sáu tháng, sử dụng kỹ thuật xã hội để lấy quyền truy cập quản trị. Những tác động lan rộng ảnh hưởng đến các nền tảng tích hợp như Gauntlet và PrimeFi, dẫn đến việc ngừng hoạt động của nhiều giao thức đối tác.
Từ Hợp đồng Thông minh đến Các Lỗ hổng Vận hành
Tháng 4 đã chuyển trọng tâm từ lỗi gọi lại (reentrancy) sang "Yếu điểm vận hành." Vụ khai thác Wasabi Protocol vào ngày 30 tháng 4 là một ví dụ điển hình, nơi mất 4,55 triệu đô la do một tài khoản triển khai cấp quyền quản trị cho hợp đồng của kẻ tấn công qua nâng cấp proxy. Điều này làm nổi bật một điểm yếu nghiêm trọng trong ngành: điểm kiểm soát duy nhất. Nếu không có các khóa thời gian (timelocks) hoặc cấu hình đa chữ ký (multisig) mạnh mẽ, quyền quản trị về cơ bản trở thành một điểm thất bại trung tâm.
Hiệu ứng lây lan và Phản ứng của ngành
Vụ việc Kelp DAO đã kích hoạt một dòng chảy vốn lớn, với 13 tỷ đô la biến mất khỏi TVL của DeFi chỉ trong hai ngày. Vì rsETH giả đã được sử dụng làm tài sản thế chấp, rủi ro "nợ xấu" đã lan rộng nhanh chóng trên các hệ sinh thái Ethereum và Solana. Điều này đã thổi bùng lại cuộc tranh luận giữa những người theo chủ nghĩa "Mã là Luật" và những người ủng hộ "Cầu dao tự động." Trong khi các dự án như Flying Tulip đang tích hợp các chế độ tạm dừng tự động, ngành vẫn đang bị mắc kẹt giữa mong muốn duy trì các nguyên tắc phi tập trung và nhu cầu thực tế về các biện pháp bảo vệ tập trung để bảo vệ quỹ của người gửi tiền.
Các bài học chiến lược cho các thành viên thị trường
Các sự kiện tháng 4 gợi ý một số chuyển biến quan trọng trong cách người dùng nên đánh giá an toàn của giao thức:
Minh bạch hạ tầng: Các dự án sử dụng cầu nối chuỗi chéo phải tiết lộ cấu hình xác thực của họ. Một thiết lập 1-đến-1 hiện được coi là dấu hiệu rủi ro cao.
Kiểm toán quản trị: Người dùng ngày càng theo dõi xem các giao thức có sử dụng MPC, đa chữ ký hay khóa thời gian không. Việc thiếu các tính năng này cho thấy một chìa khóa bị xâm phạm có thể dẫn đến mất toàn bộ.
Giám sát theo thời gian thực: Khi kẻ tấn công giờ đây thoát ra qua các máy trộn và DEX trong vòng vài phút, việc giám sát theo thời gian thực và khả năng tạm dừng các giao thức đã trở thành yêu cầu bảo mật thiết yếu thay vì chỉ là "lựa chọn xa xỉ."
Với khoản lỗ tính từ đầu năm vượt quá 770 triệu đô la, phần lớn trong số đó xảy ra vào tháng 4, câu hỏi trung tâm của ngành đã tiến hóa. Không còn chỉ về an ninh của mã nguồn nữa, mà còn về tính toàn vẹn của quyền lực nắm giữ chìa khóa.
Luôn tự nghiên cứu của riêng bạn (DYOR).
#DeFiLossesTop600MInApril
#GateSquareMayTradingShare
#Gate广场五月交易分享