Vừa rồi mình đọc được tin Step Finance – một platform tổng hợp DeFi khá nổi tiếng trên Solana – đã chính thức đóng cửa hoàn toàn. Nguyên nhân là vụ hack khiến khoảng 30 triệu USD bị rút ra khỏi hệ thống vào cuối tháng 1. Nhưng cái thú vị ở đây không phải chỉ là một dự án ngừng hoạt động, mà là nó phản ánh một vấn đề lớn hơn trong DeFi mà nhiều người vẫn chưa nhận ra.

Cái gì khác lần này so với các sự cố DeFi trước? Thường thì khi nghe về hack, mọi người nghĩ ngay đến lỗ hổng smart contract – tức là lỗi trong code của hợp đồng thông minh. Nhưng vụ Step Finance không phải vậy. Theo thông tin, lỗ hổng không nằm ở smart contract là gì hay cách nó được code, mà ở phía off-chain – cụ thể là thiết bị của các thành viên quản lý dự án bị xâm phạm. Khi kẻ tấn công kiểm soát được các thiết bị này, họ có thể lấy được khóa riêng tư hoặc can thiệp vào quá trình phê duyệt giao dịch. Kết quả là gần 262.000 SOL bị rút ra, token STEP lao dốc hơn 80% trong thời gian ngắn.

Đây là điểm mấu chốt: ngay cả khi smart contract là gì được kiểm toán kỹ lưỡng, ngay cả khi code sạch sẽ, rủi ro vẫn có thể đến từ con người và cách họ quản lý hệ thống. Việc hiểu smart contract là gì chỉ là phần nhỏ của tranh vẽ. Quản lý khóa riêng tư, quy trình phê duyệt nội bộ, kiểm soát thiết bị – những thứ này cũng quan trọng không kém.

Nhân tiện, Step Finance từng là công cụ khá hữu ích để người dùng Solana theo dõi danh mục DeFi của mình. Bây giờ nó biến mất, tạo ra một khoảng trống nhất định. Tuy nhiên, SOL vẫn khá ổn định, cho thấy thị trường đang phân biệt giữa rủi ro của một giao thức riêng lẻ và triển vọng dài hạn của blockchain.

Nhưng nếu nhìn toàn cảnh thì tình hình còn đáng lo hơn. Theo dữ liệu từ PeckShield, tổng thiệt hại liên quan crypto trong năm 2025 đã vượt 4,04 tỷ USD – tăng gần 34% so với năm trước. Trong đó 2,67 tỷ USD từ các vụ hack, còn 1,37 tỷ USD từ lừa đảo (tăng 64%). Chỉ riêng tháng 2 đã là thảm họa với vụ tấn công trị giá 1,51 tỷ USD nhằm vào một sàn giao dịch lớn. Hơn 200 vụ hack được ghi nhận.

Cái đáng chú ý là xu hướng đang thay đổi. Thay vì chỉ khai thác lỗ hổng kỹ thuật, các cuộc tấn công giờ đây ngày càng nhắm vào con người – kỹ nghệ xã hội, kiểm soát thiết bị, nhắm vào những tổ chức lớn hoặc cá nhân nắm giữ tài sản khủng. Điều này làm tăng đáng kể thiệt hại trung bình mỗi lần bị hack.

So sánh lại, smart contract là gì vẫn là một phần của bảo mật, nhưng DeFi bây giờ phải mở rộng tiêu chuẩn an toàn ra ngoài code. Quản trị nội bộ, quản lý khóa, quy trình phê duyệt giao dịch – tất cả đều cần được tối ưu hóa. Khi dòng vốn tổ chức đang chú ý nhiều hơn đến tài sản số, những sự cố như vậy đặt ra câu hỏi: liệu hạ tầng DeFi đã sẵn sàng xử lý rủi ro vận hành ở quy mô lớn chưa?

Step Finance có lẽ chỉ là một dự án trong hệ sinh thái, nhưng nó nhắc nhở chúng ta rằng rủi ro trong DeFi không chỉ nằm trên blockchain. Nó nằm ở cách con người quản lý, vận hành, bảo vệ những gì phía sau hệ thống. Đó mới là bài toán thực sự mà ngành cần giải quyết.