Vào tháng 4 năm 2026, lĩnh vực DeFi đã đối mặt với cuộc khủng hoảng niềm tin nghiêm trọng nhất trong những năm gần đây. Theo thống kê của các tổ chức như CertiK, trong tháng đó, thiệt hại về an ninh do hacker tấn công, khai thác lỗ hổng gây ra ước tính khoảng 634 triệu đến 651 triệu USD, tăng hơn mười lần so với 59,5 triệu USD của tháng 3, lập kỷ lục thiệt hại cao nhất trong một tháng kể từ tháng 3 năm 2022. Điều đáng báo động hơn là trong tháng đó, đã xảy ra tổng cộng 31 vụ tấn công độc lập, gần như trung bình mỗi ngày một vụ, cả về số tiền thiệt hại lẫn tần suất tấn công đều phá vỡ kỷ lục lịch sử của DeFi.

Hai vụ án lớn nằm ở trung tâm của cơn bão này — KelpDAO và Drift Protocol — đã chiếm hơn 90% tổng tài sản bị đánh cắp trong tháng. KelpDAO bị khai thác lỗ hổng xác thực của cầu nối chuỗi chéo, kẻ tấn công đã vượt qua cơ chế an ninh, tạo ra các token rsETH trị giá 292 triệu USD một cách giả mạo, rồi dùng các token này làm tài sản thế chấp để vay ETH thực trên các nền tảng cho vay như Aave. Hành động này không chỉ khiến Aave đối mặt với khoản nợ xấu tiềm năng gần 200 triệu USD, mà còn dẫn đến hơn 8 tỷ USD vốn rút khỏi nền tảng trong vòng 24 giờ, TVL giảm khoảng 32%. Sự kiện tiếp theo của Drift Protocol cũng gây sốc: kẻ tấn công đã khai thác thông tin trong sáu tháng, cuối cùng lấy được khóa quản trị, chuyển khoản khoảng 285 triệu USD tài sản. Cả hai vụ việc đều bị cáo buộc có liên quan đến nhóm Lazarus của Triều Tiên, với đặc điểm hành vi trên chuỗi rất nhất quán trong chuỗi các cuộc tấn công này.

Chuỗi khủng hoảng an ninh lần này không phải là ngẫu nhiên, mà là sự bùng nổ tập trung của mô hình phát triển DeFi lâu dài theo hướng “hiệu quả ưu tiên”. Nó đã phơi bày rõ ràng ba cấp độ rủi ro hệ thống: Thứ nhất, cơ chế xác thực của cầu nối chuỗi chéo tồn tại điểm yếu chết người, kiến trúc xác thực đơn lẻ khiến hàng triệu USD vốn chỉ dựa vào an toàn của một chìa khóa riêng, trong khi vụ việc Ronin vào năm 2022 đã cảnh báo về rủi ro tương tự nhưng ngành vẫn bỏ qua. Thứ hai, các cuộc tấn công xã hội và tấn công dài hạn đang trở thành mối đe dọa mới, phương thức tấn công đã chuyển từ khai thác lỗ hổng mã nguồn sang xâm nhập tổng hợp vào quyền hạn nhân sự và quy trình. Thứ ba, khả năng kết hợp của DeFi vừa mở rộng lợi nhuận, vừa đồng thời gia tăng rủi ro — một lỗ hổng trong một giao thức có thể nhanh chóng lan rộng thành tác động liên kết nhiều giao thức theo chuỗi thế chấp.

Phản ứng dây chuyền trên thị trường cũng rất mạnh mẽ. Toàn bộ lĩnh vực DeFi đã rút khoảng 13 tỷ USD TVL trong ngắn hạn, khoản tiền gửi tại Aave giảm 38%, token AAVE giảm từ 15% đến 21%. Vốn đã chuyển rõ rệt từ các giao thức rủi ro cao sang các nền tảng cho vay hoặc giải pháp lưu trữ tập trung đã trưởng thành hơn. Ảnh hưởng sâu xa hơn là sự lung lay niềm tin của các tổ chức: JPMorgan đã chỉ rõ rằng các lỗ hổng an ninh liên tục và sự trì trệ trong tăng trưởng TVL đang nghiêm trọng làm giảm sức hút của DeFi đối với các tổ chức. Đồng thời, Ngân hàng Standard Chartered dù vẫn lạc quan về triển vọng dài hạn của thị trường RWA, cũng thừa nhận rằng cần phải nâng cấp cấu trúc rủi ro chuỗi chéo như một điều kiện tiên quyết.