TechFlow đưa tin, ngày 02 tháng 5, theo báo cáo của tạp chí Forbes, ngành DeFi vừa trải qua tháng chịu tổn thất nghiêm trọng nhất kể từ khi có số liệu ghi chép, với hơn 12 giao thức bị tấn công và mất mát vượt quá 606 triệu USD trong chưa đầy ba tuần. Trong đó, sự cố tại Drift gây thiệt hại 285 triệu USD, còn vụ tấn công Kelp DAO làm thất thoát 292 triệu USD; hai sự việc này cộng lại chiếm khoảng 95% tổng mức tổn thất.
Drift—sàn giao dịch hợp đồng vĩnh viễn phi tập trung lớn nhất trên mạng Solana—đã trở thành mục tiêu tấn công. Báo cáo điều tra sự việc khẳng định cuộc tấn công đã được “lên kế hoạch trong suốt sáu tháng”, và với mức độ tin cậy trung bình, được quy kết cho một tổ chức tin tặc do Triều Tiên hậu thuẫn. Thủ phạm giả danh một công ty giao dịch lượng tử, thiết lập lòng tin với các nhà đóng góp, sau đó lợi dụng tính năng “nonce bền vững” (durable nonces) của Solana để lừa các thành viên Ủy ban An ninh ký trước những giao dịch trông có vẻ thông thường. Sau khi Drift loại bỏ cơ chế khóa thời gian (time lock) và chuyển sang sử dụng cơ chế đa chữ ký 2-trong-5 (2-of-5), kẻ tấn công đã đưa vào một tài sản giả mạo mang tên CarbonVote Token làm tài sản thế chấp, cuối cùng phá vỡ hoàn toàn các cơ chế bảo mật của giao thức. Đợt kiểm toán gần nhất đối với giao thức này diễn ra vào tháng Hai năm nay; lỗ hổng lần này không xuất phát từ mã hợp đồng thông minh, mà bắt nguồn từ việc thiết bị bị xâm nhập và người ký bị điều khiển—tức là các yếu tố con người.
Vụ tấn công nhắm vào Kelp DAO lại tập trung vào hạ tầng ngoại vi của giao thức. Cầu nối liên chuỗi của Kelp DAO được triển khai thông qua LayerZero, sử dụng cấu hình bộ xác thực 1-trên-1 (1-of-1). Kẻ tấn công chiếm quyền kiểm soát nút RPC và thao túng dữ liệu, dẫn đến việc cầu nối phát hành 116.500 token rsETH—chiếm khoảng 18% nguồn cung lưu hành của token này. Số rsETH bị đánh cắp sau đó được gửi vào Aave làm tài sản thế chấp để vay tiền, khiến rủi ro lan rộng sang các thị trường cho vay chủ chốt như Compound và Euler. Trong vòng hai ngày, giá trị tổng tài sản được khóa trong hệ sinh thái DeFi (TVL) giảm hơn 13 tỷ USD; riêng Aave phải gánh chịu khoản nợ xấu lên tới khoảng 246 triệu USD rsETH. Ngành công nghiệp sau đó đã khởi xướng sáng kiến phối hợp mang tên “DeFi United”, kêu gọi quyên góp hơn 300 triệu USD nhằm ổn định các thị trường bị ảnh hưởng.
Ông Marat Karapetian thuộc Karapetian Private Capital nhận định rằng tình hình năm 2026 khiến thị trường vô cùng sốc, và các nhà đầu tư giờ đây đã ý thức rõ mức độ dễ tổn thương hệ thống vốn có trong cấu trúc DeFi.
