Các vụ tấn công DeFi gây tổn thất hơn 840 triệu USD trong năm 2026 cho đến nay

Đây là một trong những năm tệ nhất từ trước đến nay. Các cuộc tấn công phi tập trung tài chính vẫn đang tiếp diễn, và chúng ta mới chỉ hoàn thành một nửa.

Trong năm tháng đầu tiên của năm 2026, các cuộc tấn công hacker DeFi đã gây thiệt hại hơn 840 triệu USD — riêng tháng 4 đã có hơn 600 triệu USD bị đánh cắp, trong đó hai vụ tấn công lớn nhất năm là: Vụ khai thác lỗ hổng KelpDAO gây thiệt hại 292 triệu USD và Lỗ hổng giao thức Drift với 285 triệu USD.

Lỗ kéo dài đến tháng Năm. Các nhà nghiên cứu bảo mật của Thunder Chain phát hiện lỗ hổng liên chuỗi nghi vấn, ảnh hưởng đến số tiền vượt quá 10 triệu USD, sau đó tạm dừng giao dịch.

Trusted Volume,Echo Protocol,Step Finance,Truebit,Resolv Labs,Wolo Protocol,Rhea Finance,Verus-Ethereum Bridge và nhiều công ty khác cũng đã gia nhập cuộc khủng hoảng này, danh sách này giống như một bài kiểm tra áp lực đối với mọi giả định về sự tin tưởng mà DeFi dựa vào.DeFiLlama Data.

Các chuyên gia giải mã đồng thuận với chẩn đoán này: các sự cố hack DeFi gần đây đã phơi bày những khuyết điểm cấu trúc trong lĩnh vực DeFi. Cầu và hệ thống quản lý, trong khi những tiến bộ trong trí tuệ nhân tạo có thể đang giúp các kẻ tấn công phát hiện lỗ hổng nhanh hơn.

Natalie Newson, nhà điều tra blockchain cấp cao tại nền tảng bảo mật Web3 CertiK, cho biết Decrypt rằng mặc dù các sự kiện tấn công tiền mã hóa vào tháng 4 đặc biệt nghiêm trọng, xu hướng tổng thể vẫn tương đối ổn định và thấp hơn so với số lượng đỉnh điểm năm 2023.

“Tháng 4 năm 2026 là tháng xảy ra nhiều vụ tấn công lỗ hổng trong lĩnh vực tiền mã hóa; chỉ có ba ngày không có vụ tấn công nào, và mỗi ngày ít nhất 10.000 USD bị đánh cắp,” cô nói.

“Tuy nhiên, nhìn từ góc độ rộng hơn, số lượng sự kiện (không bao gồm lừa đảo trực tuyến) có thể được coi là tương đối ổn định và vẫn thấp hơn mức đỉnh điểm năm 2023,” Newson chỉ ra và bổ sung rằng mức độ nghiêm trọng trong tháng 4 là do 14 vụ tấn công gây tổn thất vượt quá 1 triệu đô la Mỹ, chỉ sau 16 vụ vào tháng 9 năm 2025.

Ari Redbord, Giám đốc Chính sách Toàn cầu và Các vấn đề Chính phủ tại TRM Labs, cho biết Decrypt rằng sự [tăng đột biến] này có thể truy ngược về một thực thể hành động của quốc gia, vốn đã từ vai trò ngoại vi trở thành mối đe dọa quyết định trong vòng năm năm.

Redbird cho biết: “Bắc Triều Tiên là động lực chính, và chiến dịch này đang trở nên ngày càng chính xác hơn, chứ không phải ngày càng rộng rãi hơn.” Ông còn chỉ ra rằng các thực thể liên quan đến Bắc Triều Tiên cũng tham gia vào chiến dịch này. Đã ghi nhận 76% tổn thất do các cuộc tấn công mạng tiền điện tử toàn cầu trong bốn tháng đầu năm 2026 sẽ xảy ra tại đây, cao hơn 64% năm 2025 và dưới 10% năm 2020.

Anh ấy nói: “Triều Tiên không chỉ sử dụng các cuộc tấn công công nghệ vào không gian, mà còn sử dụng các thủ đoạn xã hội kỹ thuật phức tạp và được lên kế hoạch cẩn thận.”

Cuộc tấn công hacker DeFi lớn nhất tính đến nay trong năm nay xảy ra vào ngày 18 tháng 4, khi kẻ tấn công đánh cắp khoảng 116.500 rsETH từ cầu liên chuỗi, trị giá khoảng 292 triệu USD.

LayerZero là nhà cung cấp cơ sở hạ tầng truyền tin nền tảng cho giao thức cầu nối này, công ty này cho biết trong tuyên bố mới nhất của mình… 尸检报告 Cuộc tấn công bắt đầu vào ngày 6 tháng 3, khi một nhà phát triển bị tấn công xã hội học và khóa phiên bị đánh cắp.

Chúng tôi sẽ chia sẻ báo cáo điều tra sự cố về sự kiện ngày 18 tháng 4, được chuẩn bị bởi… @Mandiant và @CrowdStrike. Chúng tôi sẽ đăng bản tóm tắt thực thi và báo cáo đầy đủ tại liên kết dưới đây.

Trong bốn tuần qua, chúng tôi đã hợp tác với hàng trăm đối tác để hỗ trợ họ... pic.twitter.com/yVZdqjLTeT

— LayerZero (@LayerZero_Core)2026年5月20日

Giao thức truyền tin liên chuỗi cho biết Mandiant, CrowdStrike và các nhà nghiên cứu độc lập đã gán đợt tấn công này cho tác nhân đe dọa Bắc Triều Tiên TraderTraitor, còn được gọi là UNC4899.

Redbord bổ sung rằng nguyên nhân cấu trúc khiến DeFi liên tục chịu tác động về cơ bản nằm ở vị trí lưu trữ và cách thức lưu chuyển vốn.

Anh ấy chỉ ra: “Sự phức tạp xuyên chuỗi của DeFi khiến nó trở thành một môi trường đầy rẫy các mục tiêu tấn công – các cầu nối luôn gây ra tổn thất lớn nhất trong một sự kiện đơn lẻ, và các mô hình lỗi lặp lại một cách nhất quán đáng kinh ngạc vì vấn đề cốt lõi là mang tính kiến trúc.”

Raz Niv, đồng sáng lập và giám đốc công nghệ của nền tảng bảo mật chuỗi Blockaid, cho biết Decrypt rằng trong những sự kiện lớn nhất năm nay, ba mô hình kỹ thuật đã lặp lại: lỗi kiểm soát truy cập đặc quyền, nâng cấp đại lý độc hại (kẻ tấn công thay thế hợp đồng bằng phiên bản có backdoor) và lỗ hổng xác thực tin nhắn liên chuỗi.

Về quyền truy cập đặc quyền, Niv cho biết công ty sẽ giám sát các “sự kiện cấp vai trò bất thường và nâng quyền không được ủy quyền”, chẳng hạn như sự kiện sau: Khai thác lỗ hổng Echo Protocol bắt nguồn từ việc rò rỉ khóa quản trị hoặc lỗi cấu hình.

“Người tấn công лиu thông qua các phương pháp xã hội học để lấy khóa riêng, hoặc khai thác ngưỡng chữ ký đa dấu được thiết kế không hợp lý,” ông bổ sung.

He pointed out failures in areas such as privileged access control, malicious proxy upgrades, and cross-chain verification systems, stating that recent attacks exposed deeper weaknesses in the assumptions underlying increasingly complex infrastructure.

Niv cho biết: “Điểm chung không nằm ở độ phức tạp bản thân, mà ở mỗi lớp trừu tượng (đại lý, vai trò quản trị, truyền tin liên chuỗi) đều đưa ra các giả định về sự tin tưởng, mà kẻ tấn công sẽ hệ thống hóa để khai thác.”

Niv cho biết trí tuệ nhân tạo đang ngày càng thay đổi cách phát hiện lỗ hổng, nhưng ông cũng cảnh báo rằng ảnh hưởng của trí tuệ nhân tạo thường bị hiểu lầm.

Anh ấy cho biết, các mô hình hiện tại đang ngày càng hiệu quả trong việc phát hiện quy mô lớn các lỗ hổng đã biết và “đang tự động hóa công việc của các chuyên gia kiểm toán có tay nghề”, đồng thời cảnh báo rằng “nỗi lo ngại thực sự không phải là trí tuệ nhân tạo thay thế các kẻ tấn công con người”, mà là trí tuệ nhân tạo đang “tăng cường khả năng của các kẻ tấn công” thông qua việc xử lý công việc trinh sát, giúp họ tập trung vào các kỹ thuật phức tạp hơn.

“Tin tốt là những người phòng thủ cũng có thể sử dụng cùng các công cụ này. Việc giám sát và mô phỏng được hỗ trợ bởi trí tuệ nhân tạo đang trở nên thiết yếu đối với các nhóm an ninh nỗ lực bắt kịp xu hướng,” Niv bổ sung.

Newson pointed out that the surge in DeFi hacking attacks has shown a similar trend, saying: "Advancements in artificial intelligence may be one factor contributing to this phenomenon, although it is not the only one."

Cô ấy bổ sung rằng CertiK đã phát hiện tình trạng tận dụng các hợp đồng cũ và hợp đồng chưa được xác minh đang gia tăng, từ đó “suy luận hợp lý rằng trí tuệ nhân tạo đang hỗ trợ phát hiện lỗ hổng”.

Tương tự, Redbord cho biết, “các tác nhân xấu đang triển khai trí tuệ nhân tạo quy mô lớn” để thực hiện trinh sát, kỹ thuật xã hội và thiết kế khai thác lỗ hổng, đồng thời bổ sung rằng sự phức tạp được thể hiện trong các cuộc tấn công như Drift dường như “phù hợp với quy trình được hỗ trợ bởi trí tuệ nhân tạo”.

Các chuyên gia của TRM cho rằng các chiến binh Bắc Triều Tiên đang ngày càng tích hợp các công cụ trí tuệ nhân tạo vào các hoạt động của họ, và ông nói: “Giải pháp là triển khai trí tuệ nhân tạo trong phòng thủ với sự quyết liệt tương tự như cách đối thủ triển khai nó trong tấn công.”

Redbord cho biết các cuộc tấn công hacker vào DeFi là “một vấn đề có thể giải quyết”, nhưng ông cũng nhấn mạnh rằng ngành này cần minh bạch hơn về việc các sự cố thực sự xảy ra ở đâu.

Anh ấy chỉ ra rằng “kiểm toán có thể ngăn ngừa lỗ hổng mã nguồn”, nhưng không thể phòng ngừa các cuộc tấn công xã hội học phức tạp như Drift, theo báo cáo có sự tham gia của các đại lý Bắc Triều Tiên trong cuộc tấn công Drift. Chi tiêu hàng tháng để giành quyền truy cập trước khi sự vi phạm xảy ra.

Chuyên gia này bổ sung: “Mô hình hiệu quả là hợp tác công tư theo thời gian thực.”

Nevins cho biết năm 2026 có thể là “một điểm chuyển biến trong quá trình phát triển” và chỉ ra rằng ngành này đang nhận ra an ninh mạng là một “vấn đề toàn bộ hệ thống”, bao gồm “trí tuệ nhân tạo, Triều Tiên, hoặc cơ sở hạ tầng và con người”.

“Nếu quy trình thủ công ngoài chuỗi của bạn có lỗ hổng, thì các phép toán toán học trên chuỗi có hoàn hảo đến đâu cũng vô ích,” cô nói, chỉ ra rằng ngành này đang ngày càng chuyển sang các “giải pháp cấu trúc thực tế” để đối phó với các rủi ro về hạ tầng và xã hội kỹ thuật.

Mức độ tổn thất niềm tin trong lĩnh vực DeFi khó có thể định lượng, nhưng dễ dàng quan sát thấy.

Lỗ hổng của Kelp DAO đã gây ra dòng tiền ra ngoài trị giá 6,2 tỷ USD. Avi đã một mình hành động trước chiến dịch cứu trợ do CEO của Aave, Stani Kulechov, dẫn đầu, chiến dịch được gọi là “DeFi United” đã huy động được 132.650 ETH, tương đương khoảng 303 triệu USD, để bảo đảm các khoản nợ xấu.

Sự phản ứng phối hợp này cho thấy ngành công nghiệp có khả năng huy động lực lượng. Nó cũng cho thấy cần bao nhiêu tiền để che giấu một vụ trộm cầu.

Newsom cho biết, hậu quả hoàn toàn phụ thuộc vào ai sẽ bị ảnh hưởng.

“Những người trong ngành có kinh nghiệm có thể coi tình hình sáu tuần qua là điều hiển nhiên—chỉ là trạng thái bình thường của giai đoạn phát triển tiếp theo và một trải nghiệm đau đớn cần rút ra bài học,” cô nói.

She pointed out that repeated attacks affect new market participants in drastically different ways and warned that for users who have lost large sums of money, the consequences are not a “learning experience,” but rather raise “existential questions” about the long-term “viability and security” of cryptocurrency, and technical fixes often come too late to recover losses.