Tỷ lệ tổn thất hàng năm của cho vay DeFi ở mức 0,03%, phân tích dữ liệu cho thấy

Bài viết: Alex McFarlane

Biên dịch: Chopper, Foresight News

Mỗi bước phát triển công nghệ tài chính đột phá đều phải trải qua những khó khăn, và tài chính phi tập trung (DeFi) cũng không ngoại lệ. Thị trường cho vay sớm được ra mắt nhanh chóng và mở rộng quy mô mạnh mẽ, ngành công nghiệp liên tục gặp phải các cuộc tấn công bảo mật trên thị trường công khai, sau đó từng bước tìm tòi và hoàn thiện an toàn mã nguồn, quản lý rủi ro tài sản thế chấp, cơ chế oracle, logic thanh lý và hệ thống quản trị.

Các trường hợp rủi ro trong quá khứ có giá trị tham khảo, nhưng đã không còn đại diện cho hệ sinh thái DeFi trưởng thành ngày nay. Bởi lẽ, những người chỉ biết phân tích quá khứ thường bỏ lỡ cơ hội hiện tại.

Sau khi loại bỏ các sự cố an ninh liên quan đến cầu跨链, hiện tại tỷ lệ tổn thất vốn do bị đánh cắp và tấn công độc hại hàng năm đối với các dịch vụ cho vay DeFi trên máy ảo Ethereum (EVM) và chuỗi Solana được tính toán khoảng 0,03% tổng giá trị bị khóa (TVL). Dữ liệu phân tích này đều được tổng hợp từ các sự kiện tấn công hacker và lỗ hổng đánh cắp tiền được ghi chú trên nền tảng DeFi Llama.

Tiêu chuẩn cốt lõi để đánh giá rủi ro bảo mật là: thiệt hại do khai thác lỗ hổng thực tế xảy ra so với tổng lượng vốn trên thị trường là bao nhiêu?

Tỷ lệ tổn thất 0,03% tương đương với xác suất người dân Mỹ bị trượt ngã và tử vong do tai nạn. Từ đó có thể thấy, nếu bỏ qua tâm lý hoảng loạn phổ biến trên thị trường, rủi ro an toàn thực tế của các dịch vụ cho vay DeFi thực sự ở mức thấp.

Tính đến ngày 16 tháng 5 năm 2026, tổng số tiền bị đánh cắp trong các giao thức DeFi đa dạng theo thống kê của DeFi Llama đạt 7,751 tỷ USD, phạm vi thống kê này cực kỳ rộng lớn. Dữ liệu tổng thể bao gồm các cầu liên chuỗi, sàn giao dịch phi tập trung, giao thức phái sinh, các dự án liên quan đến trò chơi trên chuỗi, ví kỹ thuật số, sự cố hạ tầng nền tảng, cũng như các hoạt động DeFi không liên quan đến cho vay.

Trong đó, cầu liên chuỗi là khu vực có rủi ro cao nhất: sau khi loại bỏ các sự cố bảo mật liên quan đến cầu liên chuỗi, tổng thiệt hại do đánh cắp tiền điện tử trong lĩnh vực DeFi giảm xuống còn 4,518 tỷ USD.

Mã chạy chỉ tuân thủ nghiêm ngặt các lệnh đã được viết ra, chứ không thực hiện kỳ vọng lý tưởng của nhà phát triển, đây cũng là nguồn gốc của các lỗ hổng thường xuyên xảy ra. Việc phân loại rủi ro có ý nghĩa quan trọng: DeFi không phải là một lĩnh vực có rủi ro đồng nhất; việc cầu liên chuỗi bị đánh cắp, thao túng oracle của DEX, lừa đảo đánh cắp ví, và lỗ hổng tài sản thế chấp trên thị trường vay mượn đều thuộc các loại rủi ro hoàn toàn khác nhau.

Trong tất cả các giao thức DeFi, thị trường cho vay mượn là nơi bị tấn công nhiều nhất, vì lý do rất đơn giản: một lượng lớn tài sản bị giữ lâu dài trong hợp đồng thông minh, trở thành mục tiêu hàng đầu của tin tặc.

Các giao thức cho vay và automated market maker (AMM) là những lĩnh vực dễ xảy ra sự cố bảo mật, điểm chung cốt lõi là cần tập trung một lượng lớn tài sản vào hợp đồng thông minh. Ngoài cầu liên chuỗi, phần lớn các sự cố bảo mật đều tập trung vào hai loại giao thức này. Bài viết này sẽ tập trung phân tích lĩnh vực cho vay và cho vay vốn.

Hiện nay, tổng khối lượng khóa vốn trong DeFi cao xa so với giai đoạn đầu của ngành khi các lỗ hổng xảy ra thường xuyên, đặc biệt là trong lĩnh vực cho vay mượn, hệ thống kiểm soát rủi ro của dự án trở nên chín muồi hơn, việc kiểm toán mã nguồn toàn diện hơn, và hệ thống giám sát rủi ro thời gian thực trên toàn mạng cũng ngày càng hoàn thiện. Sau khi loại bỏ các sự cố liên quan đến cầu跨链, tỷ lệ tổn thất thực tế do đánh cắp tài sản trong các hoạt động cho vay mượn trên hệ sinh thái EVM và Solana đã giảm đáng kể.

Euler còn tạo nên một vụ xử lý rủi ro kinh điển khi thành công thu hồi đầy đủ tài sản bị đánh cắp. Năm 2023, Euler bị đánh cắp 197 triệu USD, không chỉ thu hồi toàn bộ số tiền này mà còn nhờ biến động giá tài sản, cuối cùng thu về 240 triệu USD, đạt lợi nhuận dương, đồng thời mở ra khoảng cách giữa tổn thất trên sổ sách và số tiền thực tế được khắc phục trong ngành.

Tính đến ngày 16 tháng 5 năm 2026, thống kê dữ liệu liên quan trong khoảng một năm qua:

• Tổng tổn thất ghi sổ do các khoản vay không liên chuỗi trên EVM và Solana bị đánh cắp: 30,9 triệu USD
• Số tổn thất ròng thực tế sau khi khấu trừ tài sản thu hồi: 30,1 triệu USD
• Quy mô vốn bị khóa trung bình hàng ngày trong lĩnh vực cho vay: 99,6 tỷ USD
• Tỷ lệ tổn thất vốn trên sổ sách: 3,1 điểm cơ bản
• Tỷ lệ tổn thất ròng thực tế: 3 điểm cơ bản

Tính ra, mức hao hụt vốn hàng năm duy trì ổn định ở khoảng 0,03% tổng giá trị tài sản bị khóa vay.

Các sự cố bảo mật DeFi có đặc điểm phân hóa rõ rệt: một số ít sự cố đánh cắp tiền với số tiền cực lớn chiếm phần lớn tổng tổn thất công khai của ngành. Khi phân tích quy mô sự cố trên thang logarit, có thể thấy quy mô các sự cố đánh cắp tiền gần như tuân theo phân phối log-normal. Trực quan cho thấy, phần lớn các sự cố bảo mật gây tổn thất ở mức nhỏ, trong khi các vụ đánh cắp tiền với số tiền khổng lồ chỉ tập trung vào một vài trường hợp cực đoan.

Mặc dù ChatGPT đưa ra quan điểm khác, nhưng tôi cho rằng những dữ liệu này chứng minh mạnh mẽ rằng đa dạng hóa danh mục đầu tư là phương pháp tuyệt vời để phòng chống tội phạm.

Từ góc độ chuyển giao rủi ro và bảo hiểm thương mại, mô hình dữ liệu này cũng cung cấp nền tảng hợp lý cho hoạt động bảo hiểm an toàn ngành, cho phép các tổ chức bảo hiểm thiết lập hạn mức bồi thường mỗi giao dịch cho từng giao thức khác nhau, từ đó triển khai các hoạt động bảo hiểm một cách có trật tự.

Ngoài ra, phần lớn các sự kiện đánh cắp tiền điện tử đều có phạm vi ảnh hưởng hạn chế, hoàn toàn không đủ để làm lung lay tổng nguồn vốn của toàn bộ lĩnh vực cho vay. Đồng thời, quy mô tổng thể của lĩnh vực càng lớn, thì tác động của một sự cố bảo mật đơn lẻ đối với toàn bộ hệ thống càng nhỏ.

Lưu ý: Một số sự cố đánh cắp tài sản có vẻ khiến tổn thất vượt quá giá trị thị trường khóa của dự án; các trường hợp này đều được thống kê theo tỷ lệ tổn thất 100%. Sự chênh lệch dữ liệu này chủ yếu do hai nguyên nhân: thứ nhất, thời điểm thống kê giá trị thị trường khóa không trùng với thời điểm xảy ra sự cố bảo mật, dẫn đến thay đổi quy mô tài sản; thứ hai, phương pháp thống kê khóa vốn của DeFi Llama không nhất quán với tiêu chuẩn thống kê tài sản thực tế đang chịu rủi ro.

Mặc dù phương pháp tính toán này không hoàn hảo tuyệt đối, nhưng đủ để phản ánh rõ ràng thực trạng ngành: phần lớn các cuộc tấn công khai thác lỗ hổng chỉ ảnh hưởng đến một mô-đun kinh doanh duy nhất trong các giao thức cho vay, rất hiếm khi xảy ra tình trạng toàn bộ tài sản bị mất, đặc biệt là với các dự án lớn hàng đầu. Dữ liệu khảo sát này cũng cung cấp cơ sở quan trọng cho các hoạt động phòng ngừa rủi ro trong DeFi và dịch vụ lưu ký tài sản an toàn.

Việc truy hồi tài sản cũng cải thiện đáng kể hiệu suất rủi ro thực tế trong lĩnh vực cho vay DeFi. Tổng hợp dữ liệu từ DeFi Llama về tất cả các vụ đánh cắp tài sản DeFi, tổng số tài sản được truy hồi trong ngành chiếm khoảng 8% tổng tổn thất ghi sổ; tuy nhiên, sau khi loại bỏ các sự kiện cầu liên chuỗi, tỷ lệ truy hồi tài sản trong các kênh cho vay EVM và Solana cao hơn, đạt khoảng 20% tổn thất ghi sổ.

Các vụ đánh cắp tài sản xảy ra ở những khu vực có hệ thống pháp trị hoàn thiện và quản lý giám sát chín muồi thường có tỷ lệ truy hồi vốn cao hơn. Hiện tượng này cũng ẩn chứa những bài học ngành liên quan đến quyền truy cập.

Hiện nay, các rủi ro bảo mật trong lĩnh vực vay mượn DeFi đã được định lượng và phân loại rõ ràng, tỷ lệ tổn thất vốn thực tế liên tục giảm. Dữ liệu chứng minh ngành đã bước vào giai đoạn phát triển trưởng thành: tổn thất do khai thác lỗ hổng chiếm tỷ lệ cực kỳ nhỏ so với tổng khối lượng vốn khổng lồ trong lĩnh vực, các rủi ro khác nhau đều rõ ràng và ranh giới rủi ro ngày càng minh bạch.

Tóm lại, đừng để bị ảnh hưởng bởi những lời tiên tri tiêu cực từ bên ngoài; dữ liệu và sự thật đủ để chứng minh mức độ rủi ro thực tế của lĩnh vực vay mượn DeFi.