DeFi còn dám chơi nữa không? Mùi vị này quá quen thuộc rồi…

Thị trường tiền mã hóa bước vào một đêm không ngủ nữa trong làn gió lạnh. Bitcoin đã giảm gần 12% trong một tuần, Ethereum giảm về quanh mức 3.300 USD, các tài sản rủi ro đồng loạt chịu áp lực.

Trong bối cảnh thị trường ảm đạm, tài chính phi tập trung (DeFi) lại một lần nữa trở thành tâm điểm của cơn bão: giao thức kỳ cựu Balancer v2 đã gặp phải vụ tấn công lớn nhất lịch sử, thiệt hại hơn 120 triệu USD; ngay sau đó, nền tảng tối ưu hóa lợi nhuận Stream Finance công bố khoản lỗ 93 triệu USD, stablecoin thế chấp xUSD giảm xuống dưới 0,3 USD.

Cơn bão chưa dừng lại ở đó. Rủi ro do Stream gây ra đang lan rộng sang nhiều giao thức khác thông qua chuỗi “tính khả hợp thành”.
Trong vòng phản ứng dây chuyền mới nhất, công ty quản lý rủi ro DeFi Gauntlet đã gửi đề xuất khẩn cấp lên diễn đàn quản trị của Compound, đề nghị tạm thời dừng các thị trường USDC, USDS, USDT trên Ethereum mainnet để ngăn chặn rủi ro lan rộng.

Các sự kiện hack liên tiếp xảy ra trong bối cảnh thị trường suy yếu, khiến “tài chính không trung gian” đối mặt với thử thách thực tế nghiêm trọng:

Khi giá giảm và sự kiện rủi ro chồng chất, bạn còn dám “chơi” DeFi không?

Sự kiện hack bắt đầu từ Balancer

Vào thứ Hai, Balancer v2 bị phát hiện lỗ hổng cốt lõi. Kẻ tấn công đã lợi dụng lỗ hổng logic trong Composable Stable Pools, thực hiện các cuộc tấn công trên nhiều chuỗi như Ethereum, Arbitrum, Base... và cuỗm đi 128 triệu USD chỉ trong vài giờ.

Các nhà nghiên cứu chỉ ra rằng, kẻ tấn công có thể đã giả mạo “phí ghi nhận” và kích hoạt rút tiền, biến “điểm giả” thành “tiền thật”. Trớ trêu thay, mô-đun hệ thống này từng trải qua hơn mười lần kiểm toán bảo mật, bao gồm cả OpenZeppelin và Trail of Bits. Danh tiếng lâu năm và tích lũy kỹ thuật nhiều năm vẫn không thể ngăn chặn một cuộc tấn công logic.

Hasu, Giám đốc chiến lược của Flashbots và Lido cho biết: “Mỗi khi một hợp đồng cũ như vậy bị tấn công, việc áp dụng DeFi nói chung sẽ bị lùi lại 6 đến 12 tháng.”

Chưa đầy 24 giờ sau, Stream Finance công bố “nhà quản lý vốn bên ngoài” của họ đã gây ra khoản lỗ tài sản 93 triệu USD. Nền tảng tạm dừng nạp/rút, stablecoin thế chấp xUSD mất neo nghiêm trọng, giảm từ 1 USD xuống còn 0,27 USD.

Dữ liệu on-chain cho thấy, tổng giá trị tài sản thế chấp liên quan đến xUSD, xBTC, xETH khoảng 285 triệu USD, liên quan đến nhiều giao thức cho vay như Euler, Silo, Morpho... TVL của nhiều thị trường bốc hơi hàng trăm triệu USD chỉ trong một ngày.

Tiền của bạn không còn là của bạn: “Tính khả hợp thành” phản tác dụng

Nói một cách đơn giản, “tính khả hợp thành” (Composability) hấp dẫn nhất của DeFi giống như một bộ Lego tài chính — bạn có thể xếp pool lợi nhuận của giao thức A lên vay mượn của giao thức B, rồi dùng stablecoin của giao thức C làm tài sản thế chấp, xếp chồng lên nhau.

Trong thị trường tăng giá, cách chơi này thực sự rất “phê”. Lợi nhuận nối tiếp nhau, hiệu quả đáng kinh ngạc. Nhưng nhiều người không nhận ra rằng, càng xếp cao thì khi đổ sập càng thảm hại.

Một khi thị trường nguội lạnh, hoặc một “miếng Lego” nền tảng gặp sự cố — như Balancer hoặc Stream — thì rủi ro sẽ lan truyền theo đúng con đường đã xây dựng, như hiệu ứng domino.

Johnny Time, nhà sáng lập công ty bảo mật Ginger Security, đã giải thích chi tiết về cơ chế lan truyền này.

Nhiều người từng mua một “kho USDC an toàn nhất” trên Beefy Finance, nghĩ rằng tiền của mình rất an toàn. Nhưng thực tế, tiền không hề nằm lại ở Beefy, mà được chuyển qua nhiều lớp, đường đi của vốn như sau:

Beefy → Silo → Arbitrum → một tổ chức khác tên là Valarmore → cuối cùng chảy vào Stream Finance, nơi vừa gặp sự cố.

Bạn tưởng mình mua USDC, thực ra đã bị động nắm giữ xUSD vừa sập.

Trong chuỗi này, nền tảng giao diện Beefy hiển thị cho người dùng một “kho USDC an toàn”, nhưng sau đó vốn được bên trung gian Valarmore phân bổ lại vào chiến lược xUSD của giao thức Stream.

Johnny Time chỉ ra rằng, vấn đề nằm ở chỗ mỗi lớp giao thức đều theo đuổi tối đa hóa lợi nhuận nhưng thiếu cơ chế công bố thông tin và cách ly rủi ro.
Cấu trúc “lồng ghép nhiều tầng” này khiến rủi ro truyền đi vô hình trong chuỗi: quyết định của giao thức thượng nguồn, biến động tài sản nền tảng, hay sai lệch chiến lược trung gian đều bị khuếch đại trên đường đi.
Cuối cùng, khi tài sản tầng đáy (như xUSD) gặp sự cố, toàn bộ cấu trúc sụp đổ như domino.

Tranh luận về phi tập trung

Vì vậy, cộng đồng lại bùng nổ tranh luận về tính phi tập trung.

Haseeb Qureshi, đối tác của Dragonfly, cho rằng: “Ngay cả trong hệ thống phi tập trung, chỉ cần đủ nhiều bên tham gia đồng thuận, họ vẫn có thể đóng băng tài khoản hoặc tài sản.”
Nhưng các nhà phê bình phản bác ngay: “Nếu đủ nhiều người đồng ý làm điều gì đó, thì họ có thể làm bất cứ điều gì — điều này vốn dĩ không còn phi tập trung.”

Cuộc tranh luận này phơi bày nghịch lý quản trị của DeFi: khi hệ thống cần sự can thiệp đồng thuận của con người để “cầm máu”, ranh giới “phi tập trung” bắt đầu trở nên mờ nhạt.

Vladislav Ginzburg, nhà sáng lập OneSource, cho rằng rủi ro vốn là bản chất của hệ sinh thái DeFi: “Sự phức tạp của hợp đồng thông minh và kỹ thuật tài chính quyết định người dùng phải chấp nhận sự bất định.”
Nhà nghiên cứu bảo mật Suhail Kakar thẳng thắn: “Đã được kiểm toán gần như không có ý nghĩa gì. Viết code đã khó, DeFi còn khó hơn.”
Kadan Stadelmann, CTO của Komodo, bổ sung rằng các sự cố bảo mật liên tục sẽ khiến dòng tiền tổ chức tránh xa các cấu trúc phức tạp, quay về chiến lược “chỉ Bitcoin”.

Nicolai Søndergaard, nhà nghiên cứu của Nansen, chỉ ra rằng lỗ hổng tấn công Balancer nằm ở logic tính phí chứ không phải kiểm soát quyền hạn — loại rủi ro thiết kế này rất khó phát hiện qua kiểm toán, cơ chế quản trị cũng khó phản ứng kịp thời.

Tóm tắt

Vấn đề của DeFi chưa bao giờ là kỹ thuật, mà là quản trị.
Trong thị trường tăng giá, các giao thức xếp chồng, lợi nhuận hấp dẫn; thị trường gấu phơi bày sự thật — không có tầng nào là hoàn toàn an toàn.

Dự án có thể sống sót trong tương lai không còn dựa vào lợi nhuận hàng năm, mà phải chứng minh ba điểm:
Vốn có thể xác minh, rủi ro có thể cách ly, quản trị có thể thực thi.

Đối với người chơi phổ thông, kinh nghiệm cũng đã thay đổi: Nếu bạn còn không biết tiền của mình cuối cùng đi đâu, thì thà mua BTC còn chắc chắn hơn.

Suy cho cùng, trong thế giới DeFi: rủi ro mà bạn hiểu được mới là cơ hội, lợi nhuận mà bạn không hiểu đều là cái bẫy.

Tác giả: Seed.eth