BTC

$96,000

5.73%

ETH

$3,521.91

3.97%

HTX

$0.{5}2273

5.23%

SOL

$198.17

3.05%

BNB

$710

3.05%

简体中文

繁體中文

English

Tiếng Việt

한국어

日本語

ภาษาไทย

Türkçe

IOSG: Khi DeFi đang đối diện với thời điểm nguy hiểm nhất, lỗ hổng thực sự không nằm trong mã nguồn

IOSG Ventures

Đọc bài viết này mất 67 phút

DeFi đang đối mặt với mối đe dọa lớn từ lỗ hổng mã nguồn mở sang việc mất kiểm soát ở tầng vận hành như người giữ khóa, người xác minh.

原文标题：《IOSG Weekly Brief｜DeFi Đã Đến Gần Nguy Hiểm Nhất: Lỗ Hổng Thực Sự Không Nằm Ở Trong Mã Nguồn #327》
原文作者：Darko, IOSG Ventures

Vào ngày 1 tháng 4 năm 2026, lúc 16:05:18 theo giờ UTC, một kẻ tấn công đã gửi một giao dịch đến Giao Protokol. Một giây sau đó, một giao dịch khác đã chấp nhận nó.

Mười hai phút sau đó, 2,85 tỷ USD đã biến mất. Mười bảy ngày sau đó, một nhà xác minh bị xâm nhập trên cầu liên chuỗi của KelpDAO đã tự mình tạo ra 2,92 tỷ USD của một loại mã thông báo không được hỗ trợ và đã gây ra số vốn rút của Aave khoảng 85 tỷ USD trong vòng 48 giờ, và cũng đã khiến cho khoảng 45 tỷ USD của các giao thức DeFi khác rút đi.

Mười hai ngày sau đó, một kẻ tấn công giữ chìa khóa riêng của nhà triển khai đã ăn cắp 4,5 triệu USD từ Giao Protokol qua bốn chuỗi.

Những sự kiện này không phải là do lợi dụng lỗ hổng trong hợp đồng thông minh.

Trong suốt nửa thập kỷ của DeFi, người ta tin tưởng rằng an ninh là một vấn đề mã nguồn. Kiểm định, xác minh hình thức, tiền thưởng lỗ hổng — toàn bộ ngành công nghiệp này đã tự tổ chức xung quanh một quan điểm cơ bản: miễn là logic hợp đồng thông minh chặt chẽ, giao thức là an toàn. Sự toán học chính là pháp luật. Tháng 4 năm 2026 chính là tháng mà quan điểm này đã sụp đổ trước mắt công chúng.

Trong một tháng, có khoảng 30 sự kiện liên quan đã làm mất hơn 6,25 tỷ USD — theo dữ liệu từ DefiLlama, theo số lượng sự kiện đếm, đây là tháng đen nhất trong lịch sử tiền điện tử — và mỗi thiệt hại lớn đều xuất phát từ chìa khóa quản trị, nhà xác minh cầu liên chuỗi, vùng mù chàng tiên tri hoặc tấn công kỹ thuật xã hội, tất cả đều là những cơ sở vận hành mà kiểm định chưa bao giờ được thiết kế để bao phủ.

Bài viết này sẽ nói về cuộc di dời này. Chúng tôi sẽ phân tích ba sự kiện hack nghiêm trọng vào tháng 4 thành ba mặt của cùng một thất bại cơ bản, làm sáng tỏ là cấu hình sai của cầu liên chuỗi của một giao thức đã khiến cho một giao thức lớn hơn nó 25 lần xuất hiện vốn rút 132 tỷ USD, và sẽ nhìn nhận một cách chân thực về bản chất thực sự của DeFi bây giờ — một cơ sở hạ tầng mở với đòn bẩy quản trị đáng tin cậy, ngay cả khi trên lý thuyết tiếp thị không hề nói vậy. Vấn đề không phải là toán học.

Vấn đề nằm ở "mô hình tâm trí" quanh toán học.

Toán học không hỏng. Điều hỏng là mô hình tâm trí đặt lên toán học, và chi phí của sự không đồng nhất này đang buộc ngành phải xem xét lại điều mà "phi trung tâm hóa" thực sự có nghĩa là gì.

Lỗ Hổng Mô Hình Tâm Lý

Trong hầu hết lịch sử của DeFi, văn hóa an ninh chính thống dựa trên solidity. Kiểm tra lỗi logic hợp đồng. Phần thưởng lỗi cho việc tận dụng, tràn số nguyên, sai lầm trong việc thiết lập truy cập. Xác minh hình thức cho lặp lại mã on-chain chứng minh invariants. Giả định ngầm là: mọi thứ bên ngoài hợp đồng — ví dụ như multisig, khóa riêng của người triển khai, những người xác thực cầu nối cross-chain, cơ sở hạ tầng Relayer, kênh giao tiếp nhóm — hoặc là không nằm trong phạm vi hoặc là là vấn đề của người khác.

Giả định này chỉ đúng khi kẻ tấn công sử dụng lỗ hổng trong Solidity.

Các sự kiện hack vào tháng 4 năm 2026 có một đặc điểm cấu trúc mà không có bản báo cáo kiểm tra lỗi nào có thể mô tả: chính hợp đồng thông minh không có lỗi. Theo việc phân tích lại của nhà nghiên cứu độc lập trên chuỗi, mã nguồn của Drift đã được Trail of Bits kiểm tra vào năm 2022 và ClawSecure kiểm tra vào tháng 2 năm 2026, cả hai đều đã thông qua.

Cả hai bản kiểm tra đều không bao gồm cấu hình multisig của Drift, logic xử lý durable nonce, cũng như không bao gồm mặt tấn công xã hội xung quanh Hội Đồng An Ninh của Drift. Adapter LayerZero của KelpDAO là mã mẫu OFT tiêu chuẩn, chính hợp đồng không có vấn đề gì. Lỗi đến từ cấu hình triển khai, điều này thường không nằm trong phạm vi kiểm tra Solidity thông thường.

Hợp đồng Vault của Wasabi được thiết kế để có thể nâng cấp; sự thiết kế chính nó là lỗi.

Nguyên nhân sụp đổ vào tháng 4 không phải là toán học, mà là cơ sở vận hành mà toán học dựa vào.

Ba Vụ Phẫu Thuật: Ba Mặt Phẳng Của Một Lỗi

Ba sự kiện hack nghiêm trọng vào tháng 4 năm 2026 — Drift, KelpDAO, Wasabi — đại diện cho ba loại "lỗi không phải là lỗi mã nguồn".

Cả ba sự kiện bao quát hầu hết các mặt tấn công mới và chia sẻ một đặc điểm cấu trúc chung: trong mỗi sự kiện, một hoặc hai cá nhân hoặc cơ sở hạ tầng bị hack, đã tạo ra hiệu ứng domino lên toàn bộ giao thức.

Drift: Multisig Xác Nhận Bằng Con Người (2.85 tỷ USD)

Sự kiện hack của Drift là một hành động tình báo, không phải là việc khai thác lỗ hổng. Kẻ tấn công được nhận diện bởi TRM Labs, Elliptic và sự phân tích đóng góp bởi Drift itself tại SEAL 911 là nhóm Lazarus của Triều Tiên, cụ thể là thành viên nhóm con UNC4736, trước đó Mandiant đã liên kết chúng với sự kiện tấn công vào Radiant Capital vào tháng 10 năm 2024.

Kẻ tấn công đã dành khoảng nửa năm để lên kế hoạch cho hành động này. Kỹ thuật xã hội bắt đầu từ hội nghị ngành nghề vào mùa thu năm 2025, chuỗi công việc trên chuỗi chỉ được khởi động ba tuần trước khi sự việc xảy ra.

Ngày 11 tháng 3 năm 2026, hành động bắt đầu với một giao dịch 10 ETH được rút từ Tornado Cash. Ngày tiếp theo, khoảng 9:00 sáng giờ Bình Nhưỡng, số tiền này đã được triển khai trên Solana dưới dạng mã thông báo CarbonVote (CVT). Kẻ tấn công đã tạo một hồ bơi tính thanh khoản nhỏ trên Raydium, thực hiện giao dịch đối kiểm cho CVT để cố định giá thị trường xung quanh 1 đô-la, sau đó thiết lập một oráculo giá do chính họ điều khiển và alimentar precio artificial này cho Drift.

Sự tồn tại của giao dịch đối kiểm nhằm mục đích khiến đầu ra của oráculo trở nên "hợp lệ" - bất kỳ ai kiểm tra cẩn thận đều sẽ phát hiện giá thị trường khớp với giá trích dẫn của oráculo.

Đồng thời, kẻ tấn công đã giả mạo thành một tổ chức giao dịch lượng tử, mất vài tuần để xây dựng mối quan hệ với các nhà đóng góp của Drift. Mục đích không phải là lấy thông tin mà là tích lũy lòng tin trước một thời điểm cụ thể.

Thời điểm đó phụ thuộc vào một tính năng của Solana được gọi là durable nonces: một cơ chế hợp lệ cho phép "ký ngày hôm nay, thực thi sau này." Từ ngày 23 tháng 3 đến ngày 30 tháng 3, kẻ tấn công đã lấy ít nhất hai chữ ký durable nonce từ ít nhất hai người trong Hội đồng an ninh của Drift gồm năm người.

Từ góc độ của người ký, họ đã chấp thuận những giao dịch thông thường. Từ góc độ của mạng lưới, những chữ ký này là giấy ủy quyền hợp lệ, đang chờ ở trạng thái ngủ nhưng hợp lệ.

Ngày 26 tháng 3, Drift đã quyết định sau suy nghĩ vô cùng: chuyển sang một giao thức nhiều chữ ký mới 2 trên 5, mà không có timelock. Sự di chuyển này đã loại bỏ cửa sổ trễ ban đầu có thể phát hiện hoặc can thiệp vào cuộc tấn công.

Ngày 1 tháng 4 UTC 16:05:18, kẻ tấn công đã nộp một giao dịch durable nonce được ký trước đầu tiên - một đề xuất để chuyển quyền kiểm soát của quản trị viên đến địa chỉ H7PiGqqUaanBovwKgEtreJbKmQe6dbq6VTrw6guy7ZgL. Một giây sau đó, UTC 16:05:19, giao dịch durable nonce thứ hai đã được chấp thuận và thực thi. Kẻ tấn công đã chiếm lĩnh Drift.

Phần còn lại chỉ mất mười hai phút. Kẻ tấn công đã liệt kê CVT không giá trị là tài sản thế chấp, giới hạn vay gần như không giới hạn, chuyển vào 5 tỷ CVT theo giá trích dẫn sau khi điều khiển oráculo, sau đó rút ra 2,85 tỷ đô la tài sản thực - JLP, USDC, SOL, cbBTC, wBTC, ETH từ ba Kho Vault cốt lõi. TVL của Drift đã sụp đổ từ khoảng 5,5 tỷ đô la xuống khoảng 2,5 tỷ đô la. Hai người ký, một giao thức, hợp đồng thông minh hoạt đáng hoàn toàn theo thiết kế. Lỗ hổng nằm ở 'con người'.

Về phản ứng sau sự cố của Drift, có một điểm đáng chú ý, bởi nó liên quan đến tiêu chuẩn mà giao thức nạn nhân tiếp theo nên đạt được: Sự trung thực đặc biệt trong việc tiết lộ sau sự cố của Drift.

Sau năm ngày sau khi lỗ hổng được tiết lộ, nhóm đã phát hành một bản tóm tắt tấn công xã hội chi tiết — bao gồm các sự thật sau: Người đóng góp đã được tiếp xúc nhiều lần trong vòng nửa năm; hai người đóng góp có thể đã bị xâm nhập thông qua việc sao chép kho lưu trữ mã nguồn và một bản thử nghiệm với ví TestFlight; Cuộc trò chuyện trên Telegram giữa họ và kẻ tấn công đã bị xóa trước và sau vụ tấn công; và quyết định chuyển sang hệ thống đa chữ ký với khóa thời gian không (timelock) trước sự cố đã xảy ra sáu ngày, loại bỏ cửa sổ kiểm tra cuối cùng.

Nhóm cũng công khai việc xác định nguồn gốc tấn công với độ tin cậy trung bình (UNC4736 / Citrine Sleet), hợp tác với SEAL 911, và chia sẻ chi tiết vận hành để giúp các giao thức khác nhận diện cùng một chiến thuật.

Các giao thức nạn nhân thường lui vào phong cách cẩn trọng pháp lý và ngôn từ mập mờ; nhưng điều Drift đã chọn phát hành, đó là loại câu chuyện mang cảm giác chứng cứ có thể biến sự kiện đơn lẻ thành thông tin đe dọa toàn ngành, là yếu tố phân biệt giữa những giao thức đóng góp vào việc học hỏi tập thể của ngành và những giao thức im lặng chịu thiệt hại.

KelpDAO: Một điểm xác minh (2.92 tỷ USD)

Mười bảy ngày sau vào ngày 18 tháng 4, cùng một hồ sơ nạn nhân tương tự đã tạo ra một vụ tấn công có cấu trúc hoàn toàn khác biệt. KelpDAO là một giao thức cung cấp lại tính thanh khoản, phát hành rsETH — đại diện cho lượng tiền gửi của người dùng, một token mà thông qua EigenLayer Routing để kiếm thêm lợi nhuận.

Đến tháng 4 năm 2026, TVL của rsETH đã vượt quá 10 tỷ USD và triển khai trên hơn 20 chuỗi thông qua tiêu chuẩn OFT (Omnichain Fungible Token) của LayerZero.

Hợp đồng không vấn đề. Cấu hình có vấn đề.

Cầu nối đa chuỗi của KelpDAO đang chạy trên 1-of-1 DVN (Decentralized Verifier Network, Mạng xác minh phi tập trung) — có nghĩa chỉ có một điểm xác minh. Một nút đủ để phê duyệt một thông báo chuyển mạng qua lại. "Phi tập trung" chỉ là từ ngữ, không phải là kiến trúc.

Vụ tấn công được tiến hành theo từng giai đoạn. Kẻ tấn công đã xâm nhập vào nút RPC nội bộ làm nguồn trạng thái của nguồn gốc của xác minh, sau đó tấn công DDoS đồng loạt xác từ bên ngoài, buộc hệ thống phải quay trở lại hạ tầng bị nhiễm bẩn. Khi dữ liệu từ nguồn đã được kiểm soát, họ giả mạo một thông báo chuyển mạng, chỉ đạo hợp đồng chính của KelpDAO trên mạng chính Ethereum thực hiện một giao dịch "chưa từng diễn ra trên bất kỳ nguồn gốc nào" để tạo ra rsETH.

UTC 17:35, hợp đồng đã phát hành 116,500 đồng rsETH—trị giá khoảng 2.92 tỷ USD, tương đương khoảng 18% của cung cấp lưu hành của token—đến địa chỉ do kẻ tấn công kiểm soát. Trong vài phút, những đồng rsETH này đã được gửi làm tài sản thế chấp vào Aave, mỗi đồng được định giá khoảng 2,500 USD.

Kẻ tấn công đã vay WETH, USDC, wBTC thật sự bằng tài sản thế chấp không có hỗ trợ, trước khi KelpDAO tạm ngừng hợp đồng vào UTC 18:21, rút hơn 82,600 ETH (khoảng 1.91 tỷ USD).

UTC 18:26 và 18:28 có hai cố gắng tiếp theo, mỗi lần cố gắng rút 40,000 đồng rsETH nhưng đều bị quay trở lại. Việc tạm ngừng đã ngăn chặn các tổn thất tiếp theo, nhưng không ngăn chặn được lần tấn công ban đầu.

Không có lỗ hổng tái nhập, không có kiểm tra truy cập thiếu sót, cũng không có những hành động mò mẫm trong logic của Kelp. Định nghĩa bất biến kế toán của cầu nối đa chuỗi—tài sản được giải phóng trên chuỗi mục tiêu phải bằng với tài sản bị hủy trên chuỗi nguồn—đã bị vi phạm ở mức độ hệ thống, chứ không phải ở mức giao dịch. Một node, hàng tỷ USD bị mất.

Điều tiếp theo là một cuộc tranh cãi công khai: trách nhiệm nằm về phía nào? Báo cáo hậu quả ban đầu từ LayerZero đã đổ lỗi trực tiếp lên Kelp, với lý do rằng Kelp vi phạm hướng dẫn bằng cách chọn 1 trong số 1 DVN. Trong bản Đơn phản biện của mình vào ngày 5 tháng 5, Kelp vẽ ra một bức tranh khác: lúc đó, 47% hợp đồng LayerZero OApp hoạt động—khoảng 1,250 ứng dụng, tổng giá trị thị trường hơn 45 tỷ USD—đều chạy trên cùng một cấu hình xác nhận duy nhất.

Kelp khẳng định: LayerZero Quickstart OFT, ví dụ trên GitHub, và mẫu phát triển, mặc định đã đưa Xác nhận xác nhận LayerZero Labs vào như một nhà xác nhận hợp pháp và không có nhà xác nhận thứ hai; và cung cấp ảnh chụp màn hình Telegram từ nhân viên LayerZero, người đó cho biết trong hai năm và bảy lần thảo luận tích hợp rằng "không vấn đề gì với mặc định”.

Nhà nghiên cứu an ninh Sujith Somraaj (cựu kiểm toán viên LayerZero) đã gửi một báo cáo tiền thưởng lỗ hổng mô tả chính xác mô hình tấn công này cho Immunefi, nhưng bị LayerZero từ chối với lý do "lựa chọn mạng xác nhận thuộc cấu hình ứng dụng”.

Phản ứng của LayerZero đối với Đơn phản biện của Kelp là: lời nói này đánh lạc hướng. Báo cáo tiền thưởng lỗ hổng loại trừ "cấu hình ứng dụng", là ranh giới “nền tảng / ứng dụng” tiêu chuẩn (Người phát ngôn LayerZero lưu ý rằng, nếu không, "bất kỳ ứng dụng nào cũng có thể đặt mình là nhà xác nhận duy nhất và thu thập phần thưởng một cách độc hại”); giá trị mặc định thực tế ở hầu hết các con đường trong giao thức là đa DVN; đối với những mẫu xuất hiện 1-of-1, nhà xác nhận duy nhất trong đó chỉ đến một Hợp đồng DeadDVN giữ chỗ, từ chối tất cả các tin nhắn, buộc nhà phát triển tự cấu hình tòa an an toàn trước khi triển khai.

Đối với Kelp, LayerZero cho biết Kelp ban đầu được triển khai với nhiều DVN, sau đó đã bị giảm cấp thủ công xuống cấp 1-of-1 — không phải là "sử dụng giá trị mặc định".

Ranh giới giữa Nền tảng và Ứng dụng thực sự là một điểm tranh cãi, kỹ sư lý trí ai cũng sẽ có sự khác biệt trong vấn đề "mẫu có thể được cấu hình thành một nền tảng ở trạng thái nguy hiểm, liệu có nên chịu trách nhiệm về cấu hình mà người dùng thực sự triển khai hay không".

Điều không bị tranh luận hơn cả là phần hồi đáp cuối cùng của LayerZero. Vào ngày 8 tháng 5, ba tuần sau bản báo cáo hậu quả ban đầu, LayerZero đã hoàn toàn đảo ngược và xin lỗi: "Chúng tôi đã mắc một lỗi, cho phép DVN của chúng tôi chạy trong các giao dịch có giá trị cao dưới dạng 1-of-1 DVN. Chúng tôi không hạn chế DVN của chúng tôi trong việc bảo vệ lý do".

Giao thức đã ngừng hỗ trợ 1-of-1 trong hệ thống DVN, chuyển giá trị mặc định sang 5-of-5, tăng ngưỡng ký quỹ của họ từ 3-of-5 lên 7-of-10, và công bố Nền tảng Giám sát Người phát hành mới (Console).

Nguyên nhân cụ thể của việc cấu hình ở cấp độ dưới cùng là lỗi của Kelp, lỗi của LayerZero, hay có thể — có khả năng cao nhất — là một sự thất bại chung giữa một nền tảng nguy hiểm có thể được cấu hình từ khi xuất xưởng và một bên tích hợp đã giảm cấp, cả hai phản ứng cuối cùng đều hội tụ vào một câu trả lời duy nhất: Xác minh 1-of-1 không an toàn về quy mô, ngành công nghiệp không nên phải trả 2,92 tỷ USD để học điều này.

Wasabi: Khóa riêng của quản trị viên (4,5 triệu USD)

Vụ việc của Wasabi vào ngày 30 tháng 4 nhỏ hơn một cấp độ so với hai vụ khác, và cũng chính vì lý do đó mà nó gây ra sự xấu hổ nhất. Đó là một vụ "tin tặc nhàm chán".

Người triển khai một EOA — địa chỉ 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8 — giữ quyền ADMIN_ROLE trong trình quản lý hợp đồng vĩnh cửu của Wasabi trên mạng lưới Ethereum, Base, Blast và Bera. Không có nhiều ký quỹ. Khung hợp đồng ban đầu hỗ trợ timelock, nhưng giá trị cấu hình là không.

Kẻ tấn công đã có được khóa riêng đó — từ lừa đảo, xâm nhập thiết bị, đến tấn công chuỗi cung cấp đều có thể, Wasabi không đưa ra kết luận cuối cùng. Sau khi có quyền ADMIN_ROLE, họ đã trao quyền cùng một vai trò cho một hợp đồng phụ độc hại, thực hiện nâng cấp UUPS bằng ủy quyền cho hợp đồng Vault, lấy cắp tài sản thế chấp và số dư trong hồ. Tổng tổn thất qua các mạng là 450–550 triệu USD.

Wasabi không áp dụng bất kỳ công nghệ mới nào. Lỗ hổng này đã được cảnh báo là một mô hình ngược DeFi từ nhiều năm trước: tập trung quá mức quyền lực, thiếu phân chia quyền lực, thiếu cửa sổ trì hoãn. Điều này liên quan đến lỗ hổng mà DeFi đã phải đối mặt từ năm 2020 đến nay, và mặc dù đã có báo cáo sau sự việc, nhưng vẫn chưa bao giờ được khắc phục trong thực tế.

Kết nối ba sự kiện này lại với nhau: cuối cùng, chúng đều là một loại hacker duy nhất. Dù quyền truy cập đặc quyền được thực hiện thông qua việc chi phối người ký, xâm nhập vào nút xác nhận, hay đánh cắp khóa riêng tư của người triển khai, mục tiêu tấn công là giống nhau — tập trung quyền lực bên ngoài lớp hợp đồng thông minh, chưa được bảo vệ đầy đủ. Mô hình này cũng là một lời cảnh báo: trong mỗi sự cố, một hoặc hai thực thể bị tấn công đã kích hoạt một chuỗi domino mà ngay cả việc cố gắng bảo vệ Solidity cũng không thể ngăn chặn.

Domino không đối xứng

Lý do KelpDAO trở nên quan trọng hơn giá trị tiền mặt của nó là vì những sự kiện xảy ra sau đó — đây là lần thử nghiệm sức mạnh thực sự của tính kết hợp trong DeFi dưới áp lực thất bại vận hành — cũng là ví dụ rõ nhất cho đến nay về "tính không đối xứng diễn ra một cách kỳ quặc".

Xem vấn đề từ quy mô: vào thời điểm sự cố, rsETH TVL của KelpDAO khoảng 10 tỷ USD; AUM của Aave trên tất cả các chuỗi vượt quá 250 tỷ USD. Một giao thức có quy mô chỉ khoảng 4% so với Aave, chỉ với một sự kiện đã rút ra 84.5 tỷ USD từ Aave trong vòng 48 giờ — con số này tăng lên 151 tỷ USD chỉ trong ba ngày rưỡi — cùng lúc đó tổng giá trị DeFi TVL giảm 132.1 tỷ USD trong cửa sổ 48 giờ đó. Sự không đối xứng mới chính là câu chuyện thực sự.

Một giao thức nhỏ lỗi cấu hình của cầu chuyển chuỗi đã khiến một giao thức nhỏ so với tất cả các chỉ số hợp đồng của bản thân mình, mà theo mọi chuẩn đều "chạy theo tiêu chuẩn", gặp phải cuộc bao vây ngân hàng.

Khi kẻ tấn công tạo ra rsETH không được hỗ trợ và gửi vào Aave, hợp đồng của Aave đã thực hiện mọi việc đúng theo tiêu chuẩn. Bộ lấy dữ liệu của nó trong khoảng thời gian mượn tiền của kẻ tấn công vẫn thấy rsETH gần 1:1. Hồ bơi cho vay phát ra WETH thực sự, mà mục tiêu là một tài sản thế chấp "hiệu quả" đối với tất cả hệ thống trên chuỗi.

Phản ứng thị trường là ngay lập tức. rsETH trong vài giờ đã được giao dịch với chiết khấu sâu trên DEX, phản ánh một sự không chắc chắn thực sự — liệu 82% còn lại của nguồn cung có đủ hỗ trợ hay không? Aave V3 và V4 đã đóng băng thị trường rsETH; Fluid, Compound, Euler, Morpho đã theo sau trong vài giờ (SparkLend đã ngừng hỗ trợ rsETH từ tháng 1).

Người nắm giữ rsETH trên Arbitrum, Base, Mantle, Linea, Blast, Scroll, lúc này không còn tin tưởng rằng có thể đổi ngược lại với tỷ lệ 1:1 trên mạng chính Ethereum.

Việc rút vốn sau đó không phải là do Aave bị hack mà là do người gửi tiền không thể xác định xem tài sản thế chấp bảo đảm cho khoản vay của họ còn khả năng thanh toán hay không.

Vài tuần trước sự cố, Aave đã tích luỹ một lượng lớn rsETH do người dùng sử dụng đòn bẩy để thực hiện giao dịch nợ thêm；giao thức thu phí từ đó mà không đặt ra giới hạn cho rủi ro này. Vì vậy, sự lan truyền này không phải là logic của một "người đứng ngoài vô tội" mà Aave đã chọn gánh chịu rủi ro đối ứng của mình，nhưng sự kích hoạt của sự kiện nằm ngoài hợp đồng của nó và ngoài phạm vi quản trị của chính nó.

Phản ứng của Aave đối với sự kiện này đáng để ghi nhớ riêng biệt, vì nó đã tạo ra một tiêu chuẩn đo lường so sánh cho các giao thức cho vay lớn khác. Trong vòng vài giờ sau sự kiện, quản trị viên khẩn cấp của giao thức đã đóng băng thị trường rsETH trên tất cả các chuỗi ảnh hưởng và thiết lập LTV thành không, ngăn chặn các tổn thất tiếp theo.

Trong vòng 48 giờ, nhà cung cấp dịch vụ cho Aave đã đăng tải một bản báo cáo chi tiết về sự kiện trên diễn đàn quản trị, đã mô hình hai kịch bản nợ xấu khác nhau：nếu Kelp xã hội hóa tổn thất giữa tất cả người nắm giữ rsETH, tổn thất là 1,237 tỷ USD；nếu tổn thất được cô lập vào triển khai L2, thì là 2,301 tỷ USD—đồng thời cung cấp phân rã theo từng chuỗi, nêu rõ thị trường nào sẽ phải chịu tổn thất.

Người sáng lập Aave, Stani Kulechov đã cam kết cá nhân 5,000 ETH để bồi thường；Liên minh DeFi United do nhà cung cấp dịch vụ Aave đứng đầu đã huy động hơn 3 tỷ USD cam kết để lấp đầy khoảng cách rsETH. Đây là cuộc cứu trợ liên giao thức lớn nhất ngành này từ trước đến nay.

Mối chỉ trích chủ yếu không nên được nhìn chung với phần phản ứng：Thái độ của Aave đã trượt dần đi theo từng phần kịch bản nợ xấu. Ban đầu cam kết dự trữ "Dù che dù mưa" sẽ đảm bảo khoảng trống，nhưng chỉ trong vài ngày đã trở thành "Khám phá lối đi bù đắp khoảng trống." Sự thay đổi trong cách kể chuyện nhỏ nhưng đáng chú ý—trong ngữ cảnh trừu tượng, mô tả về bảo hiểm ở cấp độ giao thức nghe có vẻ chắc chắn, nhưng khi số hóa cụ thể thì trở thành một phần có thể thương lượng.

Aave đã xử lý mọi thứ ở mặt thực hiện, nhưng không thay đổi sự thật ở mặt cấu trúc: Người gửi USDC vào giao thức đã gánh chịu rủi ro đối ứng đối với một loại tiền mà họ có thể chẳng biết có tồn tại, trong khi sức mạnh của cơ chế bảo hiểm của giao thức cuối cùng yếu hơn nhiều so với những gì được ngụ ý trong tài liệu.

Điều này mới là vấn đề cấu trúc sâu hơn. Việc Aave sở hữu thiết kế gồm một hồ bơi với tính thanh khoản sâu và trải nghiệm đơn giản cũng đồng nghĩa với việc một lần thảm họa khiếm khuyết bảo đảm sẽ có bán kính nổ khắp cấp độ giao thức. Mặc dù việc quản trị của Aave chính trực, hợp đồng vững chãi, giao thức vẫn đang đứng ở bên dưới một đối thủ nhỏ hơn nhiều về an toàn—và rủi ro bên dưới này đủ lớn để đặt áp lực lên số dư có chữ số 9 của các người gửi tiền và kích hoạt đóng băng thị trường của chín giao thức.

Sự kết hợp mà Composability ủng hộ để thúc đẩy DeFi mở rộng, đồng thời cũng chính là con đường truyền nhiễm của nó, tháng 4 năm 2026 là lúc lần đầu tiên hóa đơn này được thanh toán theo quy mô. Sửa đổi không rõ ràng. Điều mà trước đây thúc đẩy sự tăng trưởng của DeFi thông qua Composability giờ đã trở thành con đường truyền nhiễm khi "một thất bại vận hành của giao thức làm thế nào để trở thành một vụ rút vốn ngân hàng của giao thức khác."

Sự Thật về OpenFi

Chúng ta đã quay lại cuộc trò chuyện mà ngành công nghiệp luôn tránh.

Hãy gọi nó là OpenFi: không cần phép, có thể kiểm tra trên chuỗi, nhưng tại các điểm rất quan trọng như "theo học bạn nên loại bỏ môi giới" của học thuyết phi trung tâm, về mặt vận hành vẫn hằng số phụ thuộc vào cơ sở hạ tầng tài chính từ bên thứ ba được tin tưởng. Theo định nghĩa này, hầu hết mọi thứ được quảng cáo ngày nay dưới cái tên DeFi đều là OpenFi. Một Hội Đồng Bảo Mật có quyền chuyển quản trị người điều hành. Một cầu nối giao cắt chuỗi chỉ có 1 công nhận. Một người triển khai với ADMIN_ROLE giao cắt chuỗi. Một token quản trị tập trung đến mức đủ để góp phần khám phá ngân quỹ của cộng đồng kiên nhẫn, giống như Nouns. Mỗi cái đều là một "đường nối đặc quyền" trong hệ thống mà họ nói là không có chỗ nào để sửa lại.

Có lý giải về lập luận ban đầu nói gì. "Tối thiểu hóa niềm tin" tính toán của Szabo, "Hạ tầng trung lập đáng tin" của Buterin, sự khăng khít của Cypherpunk với "yêu cầu riêng tư và tự do bỏ qua môi giới kiểm toán"—những điều này không phải là về "minh bạch". Minh bạch là cần thiết và dễ dàng.Điều khó khăn thực sự đó là tuyên bố được trả bảo vệ cho tất cả sự ma sát đóng vai trò trong "việc chạy máy trạng thái toàn cầu trên hàng nghìn nút dự trữ" là "không có ai trong hệ thống có thể bị ép buộc, mua chuộc, hối lộ hoặc xâm nhập để thay đổi quy tắc."

Một cuốn sổ cáo cộng khai mà bạn có thể xem xét nhưng không thể ảnh hưởng, so với một cuốn sổ cáo cộng khai mà quyền quản trị được phát trội ở trong chiếc hộp két nơi đâu đó hoặc trong ví cứng, là hai thứ khác nhau. OpenFi giữ chặt mảnh còn lại của giao dịch, và đã lặng lẽ từ bỏ mảnh còn lại.

Các giao thức khác nhau phụ thuộc vào các loại niềm tin khác nhau, và các mô hình thất bại cũng không giống nhau.

Đặt tên cho chúng một cách cá nhân có ích: Trust Hosting (ai đó giữ tài sản thật cho bạn, bạn giao dịch quyền tra cứu của nó - cầu nối liên chuỗi, chéo gói) ; Tin cậy Nâng cấp (ai đó có thể thay đổi hành vi hợp đồng sau khi bạn gửi tiền - quản trị viên ủy quyền, Hội đồng An ninh); Tin cậy Oracle (ai đó cung cấp dữ liệu mà chính hợp đồng không thể tạo ra - giá cải cung cấp); Tin cậy Hoạt động (hệ thống hoạt động bình thường phụ thuộc vào ai đó duy trì liên tục - sắp xếp, Relayer, Keeper); Tin cậy Quản trị (người giữ token, hoặc một phần nhỏ nhất đủ điểm phiếu trong trường hợp bỏ phiếu có tranh chấp).

Đa số giao thức cùng phụ thuộc vào ba đến bốn loại trên. Đa số tài liệu tiếp thị đã gộp chúng tất thảy vào một từ "phi tập trung", để đọc giả tự suy đoán phần còn lại.

Vấn đề lớn hơn là một số giả định trong số đó đã bị che giấu hoàn toàn. LayerZero trong lời xin lỗi tháng 5 đã thừa nhận rằng ba năm trước, một trong số người ký đa tín hiệu của họ đã thực hiện một giao dịch cá nhân bằng ví phần cứng sản xuất trong môi trường. Sai lầm này đã được sửa lại bên trong mà không báo cho người dùng, cuối cùng được tiết lộ như một phần của một thông báo cập nhật, được gói vào một cuộc "điều chỉnh thông thường", thay vì một lời thú tội tự giác. Người dùng hệ thống tin cậy không có bất kỳ cách nào để biết điều này, cũng không có cách nào để định giá rủi ro "nó đã xảy ra thực sự" này.

Có một thuật ngữ khoa học "vòng luyện" cho khoảng trống này trong ngành. Điểm bán hàng là rằng chìa khóa riêng của quản trị viên và Hội đồng An ninh là tạm thời - tồn tại hôm nay, sau đó xoay quanh khả năng của giao thức để tự điều chỉnh. Trên thực tế, "vòng luyện" hiếm khi bị gỡ bỏ. Chúng đã được đổi tên, được đóng gói lại, được gia hạn, hoặc được chuyển lén vào tên tổ chức.

Cấu trúc Ram 0/ Ram 1/ Ram 2 của L2Beat là một ngoại lệ sáng sủa nhất, chứng minh sự tồn tại "ngành công nghiệp này có thể mô tả trực diện giả định tin cậy thực tế của mình nếu muốn". Gần như không có giao thức nào sử dụng cách diễn đạt kiểu L2Beat trong chiến lược tiếp thị của mình, điều này chính là bằng chứng cho "sự không trung thực là cấu trúc, không phải trường hợp cơ hội".

Đây là thực tế kỹ thuật và được hình thành bởi động lực của người xây dựng, đã được tạo ra ở từng tầng. Nếu bạn muốn nhanh chóng triển khai sản phẩm phức tạp, phản ứng với lỗ hổng mà không cần hard fork, hỗ trợ các loại tài sản thế chấp mới, tích hợp với các phần khác trong hệ sinh thái, bạn cần được đòn bẹp.

Hợp đồng hoàn toàn không thể sửa đổi, không có quyền truy cập đặc quyền thực sự là mạnh mẽ, nhưng cũng dễ vỡ - mọi thay đổi đều cần phải di dời toàn bộ, mọi lỗ hổng trở thành vĩnh viễn, mọi tính năng mới đều yêu cầu người dùng chọn lại trong phiên bản mới. Ngoài các yếu tố kỹ thuật, còn có một tầng hiện thực: Lịch trình vốn tư không cho phép một chu kỳ xác minh ba năm, giao thức đầu tiên trên sóng dữ liệu nhanh nhất.

Sự kết hợp đã làm vấn đề trở nên phức tạp hơn: một giao thức không thể biến đổi không thể truy cập máy oracles mới, không thể hỗ trợ chuỗi mới, không thể vá lỗi đã phát hiện, trừ khi buộc tất cả người dùng và các bên tích hợp chuyển đổi.

Kết quả là: đối với bất kỳ nhóm đội nhóm cụ thể nào, lựa chọn hợp lý là "phát hành với khóa quản trị viên, cam kết gỡ bỏ trong tương lai"; đối với bất kỳ người dùng cụ thể nào, lựa chọn hợp lý là chấp nhận sự cân nhắc này, vì giao thức thay thế hoặc không tồn tại hoặc không có tính thanh khoản. OpenFi không phải là thất bại đạo đức của cá nhân xây dựng. Nó là trạng thái cân bằng Nash trong lĩnh vực này.

Bản tuyên bố trung thực là: DeFi gần như đã nhất quán chọn sự phân quyền từ trách nhiệm vận hành. Lựa chọn này có thể bào chừa. Điều không trung thực là không chỉ ra sự cân nhắc và tiếp tục tiếp thị giao thức như một "phi tập trung", trong khi mô hình bảo mật thực tế của chúng phụ thuộc vào một số ít người ký, một người xác minh hoặc một vấn đề đa ký có khả năng bị xâm nhập qua xã hội.

Tương lai đi theo hướng "phơi bày", chứ không phải "cách mạng": gắn thẻ giả định tin cậy mạnh mẽ theo mô hình L2Beat; độ trễ đủ dài để người dùng có thể rút tiền ra khỏi trước khi thao tác đặc quyền hoàn thành; định giá "rủi ro vận hành" thay vì thị trường bảo hiểm "nguy cơ mã code" hư cấu; và phân chia rõ ràng giữa "các phần nào của hệ thống thực sự cần có đường đổi mới" và "các phần được thiết lập là có thể thay đổi chỉ để theo thói quen kiến trúc". Tháng 4 năm 2026 không chứng minh rằng OpenFi không thể thực hiện.

Điều mà nó chứng minh là: việc tiếp thị một hệ thống OpenFi như một DeFi, người dùng của nó không sẵn sàng với mô hình thất bại mà nó thực sự có. Để làm cho hệ thống này an toàn, bước đầu tiên là thúc đẩy sự thúc đẩy rằng chúng ta đang xây dựng những gì.

Sự Đa Mặt Tính Trung Ương

Sự cân bằng cốt lõi của OpenFi trở nên rõ ràng trong Sự Kiện Đóng Băng Arbitrum. Ba ngày sau khi lỗ hổng của KelpDAO bị lợi dụng, Hội Đồng An Ninh của Arbitrum bỏ phiếu đóng băng 30.766 ETH của kẻ tấn công đã chuyển sang Arbitrum One—tương đương khoản 7.1 triệu USD. Việc đóng băng được thực hiện với sự phối hợp từ cơ quan thực thi pháp luật, theo hầu hết các tiêu chuẩn có vẻ như là một kết quả tốt: tiền bị đánh cắp bị ngăn chặn tẩy trắng, các cổng kẻ tấn công đã bị đóng, một phần thương tổn của người dùng có thể được bồi thường.

Nhưng hãy lưu ý điều gì đã làm cho việc đóng băng này trở nên khả thi: Arbitrum có một Hội Đồng An Ninh có quyền "châm tay vào chuỗi để chuyển tiền." Đây không phải là một đặc tính của cơ sở hạ tầng phi tập trung. Đây là một công tắc đóng cửa trung ương tồn tại theo thiết kế—một cơ tắc có thể bảo vệ dưới lý do "phản ứng khẩn cấp", được sử dụng theo cách mà những người lo lắng về vấn đề đã biết đến—không nhất thiết xấu, nhưng có hậu quả nặng nề.

Trong trường hợp Kelp, Arbitrum phải đóng vai "người tốt" theo cùng một cơ chế, là chính cơ chế để Drift bị tấn công - một nhóm nhỏ các người ký đáng tin cậy, nắm giữ quyền thực hiện các hoạt động cấp giao thức, chỉ khác biệt ở chỗ "quyền lực này bị ràng buộc mạnh mẽ hơn". Một lần, quyền lực này đã được sử dụng hợp pháp để đóng băng tài sản bị đánh cắp; một lần khác, nó đã bị tấn công xã hội để rút hết tiền gửi của người dùng. Đòn bẩy, cả hai đều có thể tổn thương.

"Công tắc tắt" ít nhất đã thất bại thông qua năm kênh khác nhau - kỹ thuật xã hội (Ronin, Drift), xâm nhập nhân viên nội bộ (Multichain), đe dọa chủ quyền, bắt buộc hợp pháp (Tornado Cash, USDC), và cướp quyền quản trị (Beanstalk, Mango Markets). Mỗi loại tấn công đều khác nhau, có các biện pháp phòng ngự khác nhau; câu nói "Hội đồng đã thất bại" đã che đi tất cả. Chỉ ra rõ nguồn tấn công cụ thể là bước đầu tiên để bảo vệ chống lại nó.

Đây chính là "sự hai mặt tâm lý trung tâm" trong DeFi, đồng thời cũng là một điều quan trọng nhất về trạng thái hiện tại của ngành này: mỗi đòn bẩy có thể mang lại "kết quả tốt" trong tình hình khẩn cấp, cũng là một điểm yếu - nó sẽ mang lại kết quả tồi tệ trong một sự kiện khác.

Vấn đề sâu xa hơn là: trong trường hợp Arbitrum này, thuật ngữ "kết quả tốt" đã chứa đựng quá nhiều ý nghĩa. Tính hợp lệ được xây dựng xã hội, và cùng loại đòn bẩy đã được kích hoạt trong một bối cảnh mà sự đồng thuận không rõ ràng như vậy. Fork DAO của Ethereum vào năm 2016 vẫn là một ví dụ kinh điển: một nửa cộng đồng kiên quyết rằng việc đảo ngược lỗ hổng 60 triệu USD là cách sử dụng cộng đồng đồng thuận hợp pháp nhất và rõ ràng; phần còn lại khẳng định đó là một sự phản bội chết người đối với "Mã là luật," rồi tách khỏi để tiếp tục dưới dạng Ethereum Classic.

Circle và Tether thường đóng băng địa chỉ USDC và USDT, đôi khi là để phản ứng với các biện pháp trừng phạt của OFAC, đôi khi chỉ với nghi ngờ, người dùng bị ảnh hưởng không có cách gì để khiếu nại - việc đóng băng được bao bọc dưới dạng tuân thủ, nhưng bản chất là quyền hành pháp. Việc Arbitrum đóng băng đã hiệu quả. Fork DAO, một cách nói, cũng đã hiệu quả.

Việc đóng băng USDC đang giúp giải quyết các vấn đề hàng ngày. Câu hỏi trung thực không phải là "có thể mở công tắc tắt để có kết quả tốt không," mà là "ai quyết định điều gì được coi là kết quả tốt" - và người dùng giao thức đã được thông báo về quy trình ra quyết định này đến đâu.

Không có bản chất nào của sự cân nhắc có thể "chỉ chấp nhận một phần." Bạn có thể có hoặc không có công tắc tắt, nếu bạn có thì bạn sẽ có một thứ có thể bị bắt giữ, kiểm soát hoặc bị tấn công xã hội; nếu không có thì bạn cần chấp nhận một số sự kiện sẽ là vĩnh viễn và không thể hoàn lại.

Các cấp đòn này cũng không thể trao đổi cho nhau. Hội đồng An ninh của Arbitrum có thể chuyển luôn tiền bằng quy trình khẩn cấp với ngưỡng rào thấp — sự kết hợp của "tốc độ + phạm vi" đã làm cho việc đóng băng trở nên khả thi, nhưng cũng khiến cho mẫu thất bại khi Hội đồng bị xâm nhập trở nên thảm họa.

Cấp đòn của THORChain hẹp hơn: có thể tạm dừng và phát hành thêm RUNE để tăng vốn, nhưng không có quyền giữ lại hoặc chuyển hướng tài sản người dùng. Quản trị viên khẩn cấp của Aave có thể đóng băng thị trường, điều chỉnh tham số rủi ro, nhưng không thể chuyển khoản số dư người dùng. Việc đóng cửa khẩn cấp của MakerDAO chỉ là một chiều, không phải công cụ tịch thu. Dù hình thức khác nhau, sự cân nhắc khác nhau, nhưng tất cả đều được gọi chung là "nút reset" trong tên viết tắt. Một giao thức sẵn lòng đối diện một cách trung thực với mô hình tin cậy của chính mình, nợ người dùng không phải là một phạm trù, mà là một hình thức cụ thể.

Ngành công nghiệp cũng thiên về việc tránh một phân biệt khác: sự khác biệt giữa "cấp đòn chỉ được kích hoạt trong tình huống cực kỳ" và "cấp đòn được thực hiện trong lịch trình thông thường".

Về cơ bản, cả Bitcoin và Ethereum đều có nút reset — một sự phối hợp đủ mạnh mẽ giữa các nút, các thợ đào, người xác minh và sàn giao dịch có thể tách nhánh bất kỳ chuỗi nào vào ngày mai. Lý do mà hai chuỗi này vẫn được coi là tin cậy và giảm thiểu tín nhiễm có ở chỗ cấp đòn này gần như chưa bao giờ được kích hoạt, mỗi lần kích hoạt đều là một lần phân chia cộng đồng vĩnh viễn.

Vụ tách DAO đã kéo dài trong mười năm qua, vẫn là sự kiện gây tranh cãi nhất trong lịch sử Ethereum. Bitcoin chưa từng trải qua một tách nhánh tương tự.

Cấp đòn tồn tại, nhưng đã được cam kết đáng tin cậy trong các giao dịch thông thường là "giữ im lặng", chính vì lịch sử kiềm chế dài hạn này, hệ thống cơ bản đã đạt được một độ tin cậy mà không tính năng thiết kế nào cũng không thể đảm bảo.

So với Hội đồng An ninh của Arbitrum, nó hoạt động theo lịch trình thông thường. Nó bầu cử nâng cấp định kỳ. Trước khi Kelp đóng băng, nó đã thực hiện hành động khẩn cấp, và sau đó cũng sẽ tiến hành nhiều hơn. Đó không phải là khả năng bảo dự trữ mà là một cơ quan quản trị hoạt động. OpenFi đã chỉ trích rằng sức mạnh áp dụng cho "cấp đòn hoạt động" vượt xa sức mạnh áp dụng cho "cấp đòn dự trữ", vì chính sự kiềm chế của cấp đòn dự trữ là một tín hiệu — sự tin cậy đạt được từ các nhà điều hành có ngưỡng rào vô cùng cao, là điều mà cấp đòn tự nhiên không thể đảm bảo. Các cấp đòn hoạt động không có tín hiệu như vậy. Chúng chỉ có thể đánh giá thông qua kiểm soát của chính mình, và những kiểm soát này đã được chứng minh là không đủ nhiều lần.

Sau khi bị lỗ hổng vào năm 2021, THORChain đã chọn con đường "không cấp đòn" vì không có phương tiện can thiệp và đã bị chỉ trích. Arbitrum đã chọn con đường của "nút reset" và đã được ca ngợi. Cả hai lựa chọn đều có thể được bào chữa. Không phải lựa chọn nào là miễn phí. Ngành công nghiệp phải dừng việc giả vờ rằng có thể cả hai — và phải trung thực nói với người dùng mỗi giao thức cụ thể đã thực sự làm lựa chọn nào.

Chuyển động cuối cùng: Sự đánh đổi này sẽ trở nên tồi tệ hơn theo thời gian. Khi một giao thức có khả năng đóng băng, các cơ quan quản lý và tòa án ngày càng thiên về ra phán quyết rằng nó "phải" bị đóng băng. Khả năng đóng băng của USDC ban đầu là một công cụ tuân thủ khẩn cấp, nhưng hiện nay đã trở thành phản ứng bắt buộc với thông báo từ OFAC và danh sách các bên vi phạm luật pháp cấp tiểu bang ngày càng mở rộng.

Quyết định "có nút tắt đóng" không chỉ là một quyết định, mà còn là một quyết định "kế thừa một danh sách sử dụng bắt buộc sẽ tiếp tục tăng trong vòng đời của giao thức" với nhiều ứng dụng không phù hợp với hướng mà cộng đồng của chính giao thức sẽ hỗ trợ. Tư cách "không đòn bẩy" của THORChain, do đó, không chỉ là một lựa chọn kỹ thuật, mà còn là một tư cách về quản lý -- nó thông qua việc loại trừ trước "khả năng tuân thủ", nó loại trừ trước "nghĩa vụ tuân thủ".

Câu hỏi mở màn là liệu tư cách này có thể tồn tại dưới áp lực tuần tra luật pháp liên tục, nhưng sự không cân xứng là thực sự tồn tại: giao thức có đòn bẩy có thể bị ép buộc sử dụng nó; giao thức không có thì không.

Đối với các tổ chức ngoài hệ thống, sự trung thực này quan trọng hơn rất nhiều so với tiếp thị. Một tư cách vận hành với nút tắt đóng rõ ràng, kèm theo quản trị trong cuộc họp, quản lý khóa và phản ứng sự kiện được ghi chú lại -- đó là cái mà một đội quản lý tài chính hoặc công ty bảo hiểm có thể bảo hiểm. Một giao thức tuyên bố tối thiểu hóa sự tin cậy, nhưng lại chạy trên một hệ thống đa ký 2 trong số 5 mà không có thời gian chờ thời gian khóa không phải như vậy. Kẻ trước là một lựa chọn kỹ thuật hợp pháp. Kẻ sau là một rủi ro không ai có thể định giá.

Điều gì sẽ xảy ra tiếp theo

Thói quen của chu kỳ ngành là quên. Mỗi chu kỳ bốn năm đều sẽ phục sinh cho các tổ chức mà DeFi mong muốn thay thế, do đó chúng phải chống đụng với sự quên lãng, tạm thời nhớ lại lí do nguyên tắc tồn tại, và sau đó lại quên lãng. Mọi thứ xảy ra vào tháng 4 không phải là chưa từng có. Đó là một ngành thiên về sự thuận tiện trao đổi với sự nguyên tắc mà không nêu tên, có thể dự đoán được trạng thái cuối cùng.

Bây giờ có ba quyết định đặt trước ngành, không có quyết định nào có thể bị lùi thêm.

Tập trung. Mỗi giao thức phải công khai chọn xem họ sẽ giữ bao nhiêu đòn bẩy vận hành và cung cấp lý do cho người dùng. Phiên bản trung thực của DeFi không phải là loại DeFi tự quảng cáo "phân quyền" mà chạy trên một hệ thống đa ký 2 trong số 5 không chờ thời gian khóa, mà là DeFi với cấu trúc đa ký công khai, ngưỡng mức tham gia, thời gian khóa, và mọi điều kiện sử dụng đòn bẩy. Nêu rõ sự đánh đổi mới là cách để định lối sống tồn tại cho sự đánh đổi.

Bảo mật. Sự kiểm toán không phải là ranh giới. Giao thức có thể vượt qua chu kỳ tiếp theo sẽ coi vấn đề bảo mật vận hành -- khóa, ký hiệu, cầu nối liên chuỗi, cấu hình, phản ứng sự kiện -- như một môn học quan trọng như việc xem xét Solidity. Hầu hết các đội vẫn coi nó như là công việc hậu cần. Tư duy đó sẽ không còn đủ từ lúc mà từ khi bắt đầu hỏi những câu hỏi mà họ bây giờ sẽ hỏi từ phía nguồn tài nguyên, họ coi vấn đề bảo mật như một môn học quan trọng.

Phân bổ vốn. Quyết định vốn cho chu kỳ tiếp theo, ngồi trên Quỹ Hưu trí, Người phân bổ chủ quyền, Kho tiền doanh nghiệp và Bảng cân đối tài sản của công ty bảo hiểm - họ đang quan sát. Họ không cần tối thiểu hóa sự tin tưởng một cách tuyệt đối. Họ cần có thể chịu được rủi ro vận hành có thể được bảo hiểm. Điều này trông giống như cơ sở hạ tầng chính thay vì là giao thức thử nghiệm, sẽ thu hút dòng vốn này. Các giao thức khác sẽ tiếp tục giữ vững vốn lẻ tẻ mà họ luôn sở hữu, nhìn thấy làn sóng tổ chức tránh xa họ.

Tháng 4 năm 2026 không phải là một cuộc khủng hoảng an ninh. Đó là khoảnh khắc mô hình tâm lý ngành công nghiệp tan vỡ hoàn toàn, cũng như là thời điểm mà các giao thức có thể tồn tại sẽ được phân biệt với những giao thức không thể tồn tại.