Nhà sáng lập OpenZeppelin cảnh báo “toàn bộ DeFi đều không còn an toàn”

Trong bài đăng trên X ngày 27/05, ông Manuel Aráoz, đồng sáng lập OpenZeppelin, cho biết ông hiện xem “toàn bộ DeFi là không an toàn”, bao gồm cả những giao thức từng được coi là uy tín hàng đầu như Aave, MakerDAO hay Compound.

I’ve been privately advising friends and family to exit all DeFi positions including low-risk “blue chips” like Aave, MakerDAO & Compound.

— Manuel Aráoz (@maraoz) May 26, 2026

Aráoz nhận định cán cân giữa hacker và đội ngũ bảo mật đang ngày càng mất cân bằng trong kỷ nguyên trí tuệ nhân tạo (AI). Các công cụ AI hiện có thể tự động rà quét lỗ hổng trong hợp đồng thông minh với tốc độ vượt xa khả năng phản ứng của con người, trong khi phía phòng thủ phải bảo vệ toàn bộ hệ thống, còn kẻ tấn công chỉ cần tìm ra một yếu điểm duy nhất để đánh cắp tài sản.

Nhận định trên phản ánh nỗi lo ngày càng lớn trong giới tiền mã hóa – lĩnh vực tài chính phi tập trung có thể đang phát triển nhanh hơn năng lực bảo mật của chính ngành blockchain. Trong khi các hệ thống giao dịch tự động, cầu nối liên chuỗi và các mô hình tài chính vận hành bằng AI ngày càng phức tạp, phần lớn hạ tầng nền tảng vẫn phụ thuộc vào hợp đồng thông minh dễ bị tấn công, khóa ví tập trung và các cầu nối vốn từ lâu bị xem là “mắt xích yếu nhất” của thị trường.

Mặt khác, AI hiện không chỉ là động lực tăng trưởng mới của thị trường tiền mã hóa mà còn trở thành cánh tay đắc lực của hacker. Nhiều báo cáo bảo mật gần đây cho thấy các hệ thống AI đã có khả năng tự động mô phỏng giao dịch, phân tích logic hợp đồng và phát hiện lỗ hổng với hiệu suất vượt xa các phương pháp kiểm tra truyền thống. Điều này khiến nhiều chuyên gia bắt đầu gọi DeFi là cuộc chiến AI giữa hacker và đội ngũ bảo mật.

DeFi trải qua giai đoạn hỗn loạn nhất

Chỉ riêng tháng 04/2026, đã ghi nhận đến 28 sự cố bảo mật, cuốn đi gần 640 triệu USD bị đánh cắp khỏi các nền tảng tài chính phi tập trung, đánh dấu tháng tồi tệ nhất kể từ sau vụ sàn Bybit bị hack 1,5 tỷ USD hồi đầu năm 2025.

Nặng nề nhất là hai vụ hack Drift Protocol (295 triệu USD) và Kelp DAO (293 triệu USD), gây liên đới sâu rộng lên mảng DeFi và đều được cho là đứng sau bởi các tin tặc có liên hệ với Triều Tiên.

Sang tháng 5, thị trường tiếp tục xuất hiện thêm 25 vụ khác dù quy mô nhỏ hơn. Nhà cung cấp thanh khoản TrustedVolumes bị đánh cắp gần 6 triệu USD thông qua lỗ hổng trong hợp đồng giao dịch tùy chỉnh liên quan hệ sinh thái 1inch. Giao thức thanh khoản liên chuỗi THORChain cũng phải tạm dừng hoạt động sau vụ tấn công khiến hơn 10 triệu USD bị đánh cắp trên Bitcoin, Ethereum, BNB Chain và Base, kéo giá token RUNE lao dốc hơn 10%.

Trong khi đó, Verus Network thất thoát khoảng 11,6 triệu USD sau khi cầu nối Ethereum bị xâm nhập, còn giao thức Echo trên hệ sinh thái Monad bị hacker tạo giả hơn 1.000 eBTC để vay và rút tài sản thế chấp. Song song đó, hacker cũng bắt đầu chuyển hướng sang các hình thức tấn công người dùng cuối, điển hình là vụ giả mạo quảng cáo Google của Uniswap nhằm đánh cắp hơn 400.000 USD từ nhà đầu tư.

 Không chỉ các giao thức nhỏ, nhiều nền tảng DeFi lớn cũng đang phải tăng mạnh ngân sách cho kiểm toán bảo mật, chương trình săn lỗi và giám sát giao dịch theo thời gian thực. Tuy nhiên, mô hình bảo mật hiện tại vẫn mang tính xử lý sau sự cố, trong khi hacker ngày càng tận dụng AI để tự động hóa các cuộc tấn công trên quy mô lớn.