Lừa đảo DeFi hay lỗi thiết kế? Phân tích vụ việc Stream Finance thiệt hại hơn 100 triệu USD

Cuộc khủng hoảng của Stream Finance bùng phát vào cuối năm 2024 đã một lần nữa cảnh báo các nhà đầu tư DeFi. Một người dùng lớn đã bị đóng băng hơn 107 triệu USD tài sản trên nền tảng này và đến nay vẫn chưa thể rút tiền. Sự kiện này không chỉ phản ánh mối nguy hiểm của một vụ lừa đảo DeFi đơn lẻ mà còn phơi bày những thiếu sót hệ thống trong thiết kế toàn bộ hệ sinh thái DeFi. Từ sự lây lan của các giao thức đến đòn bẩy lặp đi lặp lại, từ thiếu sót trong quản lý rủi ro đến thiếu minh bạch trong công bố thông tin, vụ lừa đảo DeFi này sẽ trở thành một ví dụ quan trọng cho các cuộc cải cách trong tương lai.

Một giao thức sụp đổ, nhiều hệ sinh thái rơi vào khủng hoảng

Sau khi chính thức trên Twitter tiết lộ khoản lỗ 93 triệu USD, thị trường mới nhận thức được mức độ nghiêm trọng của vấn đề. Không lâu sau đó, tính thanh khoản của giao thức này bị rút sạch hoàn toàn, hàng loạt vốn của các nhà đầu tư bị khóa trong hệ thống. Theo báo cáo của BlockBeats, ban đầu các nạn nhân không nhận thấy bất thường cho đến khi nhận được tin qua các kênh tin tức về khủng hoảng của giao thức, rồi mới cố gắng rút tiền, nhưng đã quá muộn.

Ảnh hưởng của vụ lừa đảo DeFi này vượt xa dự đoán ban đầu. Các nhà phân tích độc lập của DeFi, YieldsAndMore, đã điều tra và phát hiện ra rằng sự sụp đổ của Stream Finance đã kích hoạt phản ứng dây chuyền liên kết giữa các giao thức. Nhiều giao thức DeFi có các khoản nợ chồng chất lên tới 285 triệu USD, liên quan đến các bên chính như TelosC (123,6 triệu USD), Elixir (68 triệu USD), MEV Capital (25,4 triệu USD).

Điểm nguy hiểm nhất nằm ở stablecoin deUSD của Elixir. Giao thức này đã cho vay 68 triệu USD USDC từ Stream, chiếm khoảng 65% tổng dự trữ của deUSD. Nếu số tiền vay không thể thu hồi, toàn bộ cấu trúc dự trữ của deUSD sẽ đối mặt với nguy cơ sụp đổ. Đây chính là hiện tượng “lây nhiễm giao thức” phổ biến trong hệ sinh thái DeFi — một sự thất bại của một giao thức có thể nhanh chóng lan rộng ảnh hưởng đến toàn bộ chuỗi hệ sinh thái.

Hướng đi của hơn 107 triệu USD bị đóng băng

Theo dữ liệu trên chuỗi, số tiền bị đóng băng phân bổ qua nhiều giao thức DeFi khác nhau. Các nạn nhân đã gửi khoảng 82 triệu USDT vào ba địa chỉ chính trong giao thức Euler, cụ thể như sau:

• Địa chỉ 0xa38d6e3aa9f3e4f81d4cef9b8bcdc58ab37d066a nắm giữ 57 triệu USD USDT;
• Địa chỉ 0x0c883bacaf927076c702fd580505275be44fb63e nắm giữ 3,8 triệu USD USDT;
• Địa chỉ 0x673b3815508be9c30287f9eeed6cd3e1e29efda3 nắm giữ 22 triệu USD USDT.

Ngoài ra, trong giao thức Silo còn bị khóa 233,3 BTC (khoảng 24,5 triệu USD), tổng cộng các khoản bị khóa vượt quá 107 triệu USD.

Nguyên nhân chính khiến các khoản này không thể rút ra là do cơ chế thiết kế của Stream Finance. Hệ thống ban đầu dựa vào dòng tiền mới để giải phóng hạn mức rút tiền, nhưng khi chức năng gửi tiền bị vô hiệu hóa, cơ chế này hoàn toàn mất tác dụng. Tài sản của người dùng bị đóng băng tuyệt đối, như thể tài sản đã biến mất trên chuỗi.

Trong cộng đồng bảo vệ quyền lợi của nạn nhân, tình hình càng thêm rối ren. Một số nhà đầu tư cố gắng giải cứu tài sản qua các kênh phi chính thống, thậm chí xuất hiện hiện tượng “bot chạy thoát”. Có người vì tin tưởng vào các hỗ trợ kỹ thuật mà chuyển nhượng chứng nhận gửi tiền cho người khác, dẫn đến thiệt hại tài sản lần hai. Đội ngũ chính thức từ sau khi vụ việc xảy ra đã không còn cập nhật tiến trình nào, để lại các nhà đầu tư trong tuyệt vọng chờ đợi.

Những điểm yếu chí tử trong thiết kế DeFi: mặt tối của tính ghép nối

Chức năng chính của DeFi nằm ở khả năng ghép nối liền mạch giữa các giao thức. Trong thị trường tăng trưởng, khả năng ghép nối này giúp tối ưu hóa vốn, nâng cao lợi nhuận. Nhưng sự kiện này cho thấy, tính ghép nối cũng là một con dao hai lưỡi. Rủi ro có thể nhanh chóng xuyên qua nhiều lớp giao thức, tạo thành những mối đe dọa hệ thống tiềm ẩn trong mối liên hệ phức tạp.

Đòn bẩy lặp đi lặp lại, lây nhiễm giao thức, thiếu quản lý rủi ro — những vấn đề tưởng chừng mang tính kỹ thuật này thực chất phản ánh những lỗ hổng căn bản trong hệ sinh thái DeFi. Đội ngũ của Stream từng tuyên bố vị thế của họ “mỗi đô la đều có quyền rút lại hoàn toàn”, nhưng trong các tình huống cực đoan, lời hứa này hoàn toàn phụ thuộc vào tính thanh khoản của các tài sản cơ sở. Một khi tài sản cơ sở vỡ nợ, lời hứa đó sẽ mất ý nghĩa.

Điều đáng lo ngại hơn là vấn đề bất đối xứng thông tin. Các chủ nợ chỉ có thể biết được rủi ro thực sự qua phân tích của bên thứ ba sau khi sự cố xảy ra, điều này phơi bày rõ những thiếu sót lớn trong khả năng công bố rủi ro và kiểm tra theo thời gian thực của hệ sinh thái DeFi hiện tại. Không nhà đầu tư nào có thể đánh giá chính xác rủi ro thực trước khi đầu tư, điều này đặt ra mối đe dọa lớn đối với sự phát triển lành mạnh của toàn bộ hệ sinh thái.

Khó khăn và hướng đi sau vụ lừa đảo DeFi

Do tính phi tập trung của các giao thức như Euler, Morpho, Silo, khả năng can thiệp của các chủ thể đơn lẻ là hạn chế. Các nhóm luật sư đang chuẩn bị khởi kiện, nhưng tiến trình pháp lý và khả năng thu hồi vốn hiện vẫn còn mơ hồ. Đối với các nhà đầu tư bị mắc kẹt, điều duy nhất có thể làm là liên tục theo dõi các cập nhật từ chính thức, nhưng thời gian giải ngân tài sản hoàn toàn không thể xác định.

Vụ lừa đảo DeFi này một lần nữa chứng minh rằng, dù blockchain có tính phi tập trung giúp loại bỏ rủi ro trung gian truyền thống, nhưng cũng mang lại những rủi ro hệ thống mới. Khi thiết kế giao thức có lỗ hổng, quản lý rủi ro thiếu sót, tài sản của nhà đầu tư trở nên dễ tổn thương hơn bao giờ hết. Trong tương lai, hệ sinh thái DeFi cần duy trì lợi thế về khả năng ghép nối, đồng thời tăng cường cách ly rủi ro, minh bạch trong công bố và thiết kế các cơ chế ứng phó khẩn cấp để thực sự bảo vệ lợi ích của nhà đầu tư.