#DeFiLossesTop600MInApril

Tháng 4 năm 2026 hiện là tháng tồi tệ nhất ghi nhận các vụ vi phạm an ninh DeFi. CertiK đã theo dõi 29 vụ việc gây thiệt hại tổng cộng 651 triệu đô la — và chỉ riêng hai vụ khai thác lớn đã chiếm 93% tổng thiệt hại.

Hai vụ tấn công thảm khốc:

Drift Protocol (Solana) — $285M (Ngày 1 tháng 4): Nhóm Lazarus đã dành 6 tháng xây dựng lòng tin với đội ngũ Drift — gặp mặt trực tiếp ở nhiều quốc gia, hơn $1M trong các khoản gửi tiền thực — rồi lừa các người ký multisig phê duyệt các ủy quyền ẩn và rút hết $285M trong vòng 12 phút. Quỹ đã được chuyển sang Ethereum trong vòng vài giờ. Đây là vụ khai thác lớn thứ hai trong lịch sử Solana.

Kelp DAO (Ethereum/LayerZero) — $293M (Ngày 18 tháng 4): Một kẻ tấn công đã gửi một tin nhắn chéo chuỗi giả mạo đến cầu nối LayerZero của Kelp DAO lúc 17:35 UTC, lừa nó phát hành 116.500 rsETH (~18% tổng cung lưu hành của token). RsETH bị đánh cắp sau đó được gửi làm tài sản thế chấp trên Aave v3, vay mượn lượng lớn wETH — khiến Aave gặp nợ xấu, giá token AAVE giảm 18%, và dòng chảy TVL khoảng ~$195M .

Phân tích theo phương thức tấn công (dữ liệu CertiK):

Phương thức Tổng thiệt hại

Chiếm đoạt ví $8B
Thao túng giá 18,8 triệu đô la

Lỗ hổng mã nguồn 16,9 triệu đô la

Lừa đảo qua email 3,5 triệu đô la

Hợp đồng chưa xác thực 8,5 triệu đô la

Tấn công giao diện người dùng $611M

Hậu quả hệ thống:

~$544K
dòng chảy TVL trong DeFi qua các giao thức

TVL của Aave giảm khoảng ~$14B trong 24 giờ; giá token AAVE giảm từ 112 đô xuống còn 89,5 đô

Aave đã đóng băng các thị trường rsETH trên v3 và v4

Hội đồng Bảo mật Arbitrum đã đóng băng khoảng ~$8B ETH liên quan đến vụ hack Kelp DAO

Các nhà điều hành Triều Tiên (Lazarus Group) hiện chiếm 76% tổng số vụ trộm tiền điện tử trong năm 2026 (TRM Labs)

Điểm sáng — quỹ phục hồi "DeFi United": Một chiến dịch phục hồi cộng đồng do Aave tổ chức đã huy động được hơn $71M — đủ để bồi hoàn toàn vụ khai thác Kelp DAO. Các đóng góp gồm có Aave DAO (25.000 ETH), Lido DAO (2.500 ETH), và cam kết từ chính Kelp DAO và LayerZero.

Nhưng có một diễn biến mới: Nhà điều tra on-chain ZachXBT đã cáo buộc công ty luật Mỹ Gerstein Harrow LLP nộp các yêu cầu gian lận để chiếm giữ số tiền bị phong tỏa của KelpDAO, dựa trên một phán quyết của tòa án năm 2015 chống lại Triều Tiên để ưu tiên khách hàng của họ trước các nạn nhân của vụ hack năm 2026 thực sự. ZachXBT đã đề xuất thành lập một DAO cộng đồng để chống lại công ty này về mặt pháp lý.

Các bài học về an ninh cho người dùng DeFi:

Xác minh quản trị multisig — các chuyển đổi không có thời gian khóa là một lỗ hổng chết người

Kiểm tra kỹ các triển khai cầu chéo chuỗi (việc xác minh tin nhắn LayerZero là rất quan trọng)

Đa dạng hóa tài sản thế chấp — đừng tập trung holdings vào các token restaking duy nhất

Theo dõi khả năng đóng băng/tạm dừng của giao thức — phản ứng nhanh đã cứu khoảng ~$302M trong các nỗ lực tiếp theo của Kelp DAO

Sử dụng ví phần cứng và chiến lược ví nóng/lạnh riêng biệt cho các vị trí lớn

Bài đăng này mới được chia sẻ — chưa có lượt thích hay bình luận. Hãy là người đầu tiên tham gia và giúp lan truyền nhận thức. An ninh DeFi là trách nhiệm của tất cả mọi người.

$71M