Bảo hiểm trên chuỗi và lớp chuyển giao rủi ro: Mảnh ghép quan trọng tiếp theo của DeFi

Giới thiệu

Nguồn: de.fi

Trong năm qua, lĩnh vực DeFi đã mất tổng cộng lên tới 2,02 tỷ USD, trong đó chỉ khoảng 5% số tiền có thể thu hồi được. Quy mô này tương đương khoảng 1,1 lần tổng giá trị khóa (TVL) của Curve Finance, cho thấy các sự cố an ninh vẫn tiếp tục làm suy giảm nền tảng vốn của ngành.

Kể từ tháng 3 năm nay, lĩnh vực DeFi cũng liên tiếp xảy ra nhiều vụ việc an ninh tiêu biểu:

Solv Protocol thiệt hại 2,73 triệu USD do lỗ hổng trong hàm mint() gây ra khả năng đúc trùng lặp; Venus Protocol trên BSC bị vượt qua lỗ kiểm tra giới hạn cung cấp, gây ra khoản nợ xấu 2,18 triệu USD; Resolv Labs bị rò rỉ khoá riêng, dẫn đến việc đúc trái phép khoảng 80 triệu USD USR không thế chấp, cuối cùng thiệt hại khoảng 25 triệu USD; còn Drift Protocol ghi nhận vụ tấn công quy mô lớn nhất từ đầu năm 2026 đến nay, thiệt hại hơn 280 triệu USD. Kẻ tấn công đã triển khai đường dẫn tấn công từ vài tuần trước, lấy được sự chấp thuận của 2/5 multisig qua kỹ thuật xã hội, cuối cùng chiếm quyền quản lý và chuyển khoản hơn một nửa số vốn của giao thức trong thời gian ngắn. Ngoài ra, KelpDAO cũng gặp sự cố an toàn tài sản nền tảng dẫn đến rủi ro rsETH lan rộng và rút ròng thanh khoản, làm tăng áp lực thị trường liên quan đến LRT.

Những sự kiện này phơi bày một thực tế tàn khốc: Dù công nghệ nền tảng có tiên tiến đến đâu, tiền của người dùng vẫn luôn đứng trước rủi ro cuối cùng không thể hoàn toàn loại bỏ.

Thực tế, trong các lĩnh vực khác của DeFi, trong vài năm qua đã xây dựng được nền móng khá vững chắc:

• Cơ sở hạ tầng: Ethereum đã hoàn thành The Merge, Base, Solana và các Layer 1 / Layer 2 khác liên tục cung cấp môi trường thực thi chi phí thấp, throughput cao, độ ổn định và độ tin cậy của các giao dịch trên chuỗi đã dần tiệm cận hạ tầng tài chính truyền thống.

• Cho vay / Lợi nhuận: Các giao thức như Aave, Morpho, Kamino đã hình thành thị trường cho vay trên chuỗi khá trưởng thành; Pendle còn mở rộng khả năng phân tách lãi suất, làm phong phú các sản phẩm dựa trên lợi nhuận.

• Chiến lược / Quản lý tài sản: Các nhóm chuyên nghiệp như Gauntlet, Steakhouse Financial, MEV Capital bắt đầu tham gia thị trường với vai trò “quản lý quỹ trên chuỗi”, chủ động quản lý rủi ro và lợi nhuận.

Tuy nhiên, ngay cả như vậy, toàn bộ hệ thống DeFi vẫn còn tồn tại những khoảng trống rõ rệt trong khâu “chuyển giao rủi ro” – một bước then chốt.

Đối chiếu với tài chính truyền thống: Thiếu hụt lớp bảo hiểm

Hệ thống tài chính truyền thống có thể xử lý hàng trăm nghìn tỷ USD tài sản dựa vào không chỉ quy định pháp luật mà còn một cơ chế chuyển giao rủi ro toàn diện: tiền gửi ngân hàng được bảo hiểm bởi FDIC, tài khoản chứng khoán có SIPC bảo vệ, giao dịch tổ chức có các công cụ phái sinh tín dụng để phòng ngừa rủi ro.

Ngành bảo hiểm như một “bộ giảm chấn” của hệ thống tài chính toàn cầu, tổng doanh thu phí bảo hiểm toàn cầu chiếm khoảng 6–7% GDP toàn cầu, và nếu tính cả quy mô tài sản do các công ty bảo hiểm quản lý, ảnh hưởng của ngành này còn vượt xa tỷ lệ đó. (1)

Ngược lại, các sản phẩm bảo hiểm trên chuỗi hiện mới chỉ chiếm chưa tới 1% TVL của DeFi, khoảng cách này chính là một tín hiệu về quy mô thị trường tiềm năng.

Tại sao bảo hiểm DeFi lại khó làm?

Rủi ro khó tính toán, khung định giá bảo hiểm truyền thống khó áp dụng trực tiếp

Các loại rủi ro trong DeFi rất phức tạp và đa dạng, bao gồm lỗ hổng hợp đồng thông minh, mất peg của stablecoin, lỗi oracle, v.v., và thường tồn tại đồng thời, chồng chéo lên nhau. Khác với bảo hiểm truyền thống, DeFi thiếu dữ liệu lịch sử dài hạn, có thể xác minh, để dựa vào phân phối tổn thất dài hạn và tần suất sự cố, các mô hình định giá dựa trên phân tích rủi ro truyền thống khó phát huy hiệu quả.

Song song đó, ranh giới rủi ro trong DeFi còn mờ nhạt hơn nhiều so với bảo hiểm truyền thống. Trong bảo hiểm truyền thống, đối tượng bảo hiểm như nhà cửa, xe cộ, con người thường có ranh giới rõ ràng, độc lập; còn trong DeFi, các giao thức có tính chất ghép nối cao, một thành phần nền tảng thất bại có thể truyền dẫn theo chuỗi qua các yếu tố như thanh khoản, tài sản thế chấp, chiến lược lợi nhuận, đường dẫn thanh lý, tạo thành các tổn thất liên giao thức. Điều này khiến phạm vi bảo hiểm, trách nhiệm và xác định thiệt hại trở nên phức tạp hơn nhiều.

Hiệu quả vốn thấp, khó cạnh tranh với lợi nhuận gốc của DeFi

Bản chất của bảo hiểm là cần dự trữ một lượng lớn vốn để chi trả các khoản bồi thường tiềm năng; nhưng trong hệ sinh thái DeFi, người dùng và nhà cung cấp thanh khoản thường thích phân bổ vốn vào các chiến lược có khả năng sinh lợi cao hơn, như vay mượn, tạo thị trường, arbitrage, hoặc tổng hợp lợi nhuận.

Nguồn: Nexus Mutual

So sánh, phần lớn các pool bảo hiểm trên chuỗi hiện nay có lợi suất thấp hơn mức lợi nhuận chính của DeFi, nên khó cạnh tranh với các mục đích sử dụng vốn hấp dẫn hơn. Trong bối cảnh này, các pool bảo hiểm khó duy trì đủ vốn để mở rộng quy mô, hạn chế sâu hơn khả năng cung cấp sản phẩm bảo hiểm.

Phân tích thị trường

Dù còn nhiều khoảng trống, chúng ta đã thấy trên chuỗi xuất hiện những hình thái ban đầu của hệ sinh thái bảo hiểm / rủi ro:

Một đầu là các pool bảo hiểm thực sự đảm nhận chức năng chuyển giao rủi ro như Nexus Mutual; đầu kia là Catalysis, OpenCover tích hợp cơ chế bảo vệ vào các dòng tiền gửi và sản phẩm, phối hợp với Credora, LlamaRisk cung cấp xếp hạng rủi ro, cùng các dịch vụ xác thực rủi ro của Accountable, khả năng phát hiện rủi ro theo thời gian của Hypernative.

Trước tiên, định nghĩa bốn chức năng chính.

• Coverage/Underwriting (Bảo hiểm / Đánh giá rủi ro): là lớp cuối cùng tiếp nhận tổn thất, thu phí bảo hiểm, quyết định bồi thường, đồng thời tích hợp sẵn các cơ chế bảo vệ vào vault hoặc dòng sản phẩm, để bảo hiểm không còn là phần mở rộng bên ngoài.

• Risk rating (Xếp hạng rủi ro): chuyển đổi rủi ro thành điểm số so sánh, đề xuất vốn và các tham số.

• Verification (Xác thực): xác nhận tài sản, nợ và dự trữ có thực sự tồn tại và có thể xác minh trên chuỗi.

• Detection (Phát hiện): cung cấp cảnh báo, kiểm tra giao dịch, mô phỏng hoặc chặn tự động trước khi tổn thất xảy ra.

Bốn lớp này tạo thành khung phân tích của bài viết.

Lớp bảo hiểm / đánh giá rủi ro

Thiết kế cốt lõi của Catalysis là tích hợp trực tiếp các cơ chế bảo vệ rủi ro vào vault DeFi, biến bảo hiểm thành một phần của chiến lược phân bổ tài sản, thay vì mua bảo hiểm bên ngoài như các sản phẩm truyền thống. Nói cách khác, khi người dùng gửi tiền vào vault, họ đã tự động nhận được bảo vệ rủi ro tương ứng, không cần tìm kiếm hợp đồng bảo hiểm riêng biệt.

Về cơ chế, Catalysis kết nối ba nhóm tham gia thành một quy trình bảo hiểm trên chuỗi hoàn chỉnh:

Nguồn: Catalysis

Đầu tiên, các restakers gửi ETH, BTC hoặc stablecoin vào các hợp đồng restaking như EigenLayer, Symbiotic, tạo thành quỹ an toàn kinh tế có thể bị phạt, hình thành năng lực bảo hiểm ban đầu của hệ thống; thứ hai, các vốn này được phân bổ vào các CoverPools khác nhau, mỗi pool phù hợp với một loại rủi ro nhất định, ví dụ như vault cho vay hoặc chiến lược lợi nhuận cụ thể; cuối cùng, người dùng vault trả phí bảo hiểm để có được bảo vệ rủi ro, đồng thời các khoản phí này sẽ được phân phối cho các restakers cung cấp vốn bảo hiểm. (2)

Làm thế nào để định giá rủi ro?

Trong Catalysis, việc định giá rủi ro không dựa vào từng quyết định của ủy ban bảo hiểm, mà dựa trên một mô hình tham số do nhóm phát triển thiết lập sẵn và tự động thực thi. Nguyên lý chung là: rủi ro càng cao, cần nhiều vốn bảo hiểm có thể bị phạt, và phí bảo hiểm cũng cao hơn.

Cụ thể, mỗi CoverPool sẽ thiết lập các tham số về khả năng bảo hiểm, tỷ lệ trượt giá (slashing) và phí dựa trên loại rủi ro của vault, nhằm xác định lượng vốn restaked cần thiết làm bảo hiểm và phí bảo hiểm người dùng phải trả. Các khoản phí này về bản chất là chi phí “thuê” vốn bảo hiểm.

Vốn bảo hiểm đến từ các restakers, do đó, phí cũng chịu ảnh hưởng của cung cầu vốn: khi vốn bảo hiểm sẵn có nhiều, phí thấp; khi khan hiếm, phí sẽ tăng. Điều này khiến việc định giá rủi ro vừa dựa vào các tham số của hợp đồng, vừa chịu tác động của thị trường vốn.

OpenCover cũng thuộc dạng “hạ tầng bảo vệ tích hợp”, nhưng không phải là bên cung cấp bảo hiểm cuối cùng, mà là nền tảng phân phối và cấu trúc các sản phẩm bảo hiểm tích hợp sẵn, giúp đóng gói năng lực bảo hiểm nền tảng thành các module có thể tích hợp trực tiếp vào các dòng sản phẩm DeFi. (3)

Nguồn: Opencover

Về cấu trúc bảo hiểm, OpenCover không tự cung cấp vốn bảo hiểm. Thực tế, phần bảo hiểm của các vault được bảo hiểm bởi Nexus Mutual: khi người dùng gửi token vào vault, Nexus Mutual sẽ khóa NXM trong pool theo quy mô bảo hiểm thực tế, tạo thành vốn bảo hiểm có thể xác minh trên chuỗi, giúp mở rộng khả năng bảo hiểm phù hợp với rủi ro của vault.

Về định giá rủi ro, phí bảo hiểm của các vault được bảo hiểm bởi Nexus Mutual không cố định, mà theo cơ chế định giá động của Nexus. Nói đơn giản, quản lý pool bảo hiểm sẽ đặt mức phí tối thiểu chấp nhận được, rồi điều chỉnh theo cung cầu: khi nhu cầu bảo hiểm tăng nhanh, khả năng bảo hiểm bị lấp đầy, giá sẽ tự động tăng; khi khả năng còn dư thừa, giá sẽ giảm dần. Đây là cơ chế định giá dựa trên rủi ro và tình hình vốn lưu động trên chuỗi, biến động theo thời gian thực. (4)

Lớp đánh giá rủi ro

Hiện có một số tổ chức chuyên về đánh giá rủi ro trong DeFi, từ xếp hạng tín dụng, hạ tầng dữ liệu xác thực, đến mô phỏng tham số động, tạo nền tảng cho định giá bảo hiểm và quản lý rủi ro trên chuỗi.

Credora là hệ thống xếp hạng rủi ro định lượng gần nhất với các tổ chức tín dụng truyền thống như S&P, Moody’s, do RedStone phát triển, chuyên đánh giá rủi ro hệ thống của các token, thị trường vay mượn và Vault, cung cấp cơ sở để phân bổ vốn hợp lý.

Hệ thống xếp hạng ba tầng

1) Xếp hạng token

Tính xác suất vỡ nợ của các tài sản như LST, stablecoin dựa trên phương pháp chuẩn mực và các yếu tố điều chỉnh rủi ro, tạo ra điểm số rủi ro cơ bản.

2) Xếp hạng thị trường vay mượn

Phân biệt các cấu trúc thị trường:

Thị trường thế chấp riêng biệt (như Morpho): sử dụng mô phỏng Monte Carlo để thử nhiều kịch bản ngẫu nhiên, ước lượng xác suất các tình huống xảy ra. Chính là: “khi một loại tài sản thế chấp gặp vấn đề, thị trường có thể bị thua lỗ rõ rệt hay không”.

Thị trường thế chấp chung (như Aave, Spark): phức tạp hơn vì cùng một loại tài sản có thể được vay và thế chấp nhiều lần, rủi ro sẽ cộng dồn. Chính vì vậy, họ tập trung đánh giá xem, khi tài sản nền tảng gặp vấn đề, các chuỗi sử dụng liên tiếp có thể làm rủi ro tăng lên như thế nào, ảnh hưởng toàn thị trường. (5)

3) Xếp hạng danh mục chiến lược

Xem Vault như một danh mục tài sản đa thị trường, ngoài phân bổ tài sản nền tảng còn tính đến năng lực quản lý và chất lượng quản trị của người quản lý.

Phương pháp xếp hạng

Nguồn: Credora

Sử dụng hệ thống xếp hạng từ A+ đến D, dựa trên dữ liệu tỷ lệ vỡ nợ lịch sử của ba tổ chức xếp hạng lớn từ 1990–2023, và xây dựng đường cong PD theo hàm số mũ, giúp ánh xạ xếp hạng tín dụng truyền thống sang phân phối rủi ro của DeFi.

Khác với Credora, LlamaRisk không tập trung vào chấm điểm, mà xây dựng một khung dữ liệu rủi ro có thể xác minh, có thể lưu trữ trên chuỗi, nhằm giải quyết một trong những vấn đề then chốt của DeFi: độ tin cậy của dữ liệu.

Hai thành phần chính

Khung SAVE (Structured Attestation & Verification Engine)

Là thư viện mã nguồn mở TypeScript dùng để chuyển đổi dữ liệu tài chính cấu trúc thành các bản ghi có thể xác minh trên chuỗi, gồm:

• Claims: các tuyên bố về thực tế cấu trúc

• Proofs: các chứng minh mật mã

• Attestations: các bằng chứng ký số được đăng tải và lưu trữ trên IPFS

Không chỉ dùng để chứng minh dự trữ, mà còn để xác minh chất lượng tài sản thế chấp, tính minh bạch của chiến lược.

LlamaGuard Suite

Dựa trên khung SAVE, là bộ công cụ quản lý rủi ro RWA:

• LlamaGuard Proof: chứng thực dữ liệu tài chính tự động

• LlamaGuard NAV: oracle NAV có giới hạn dựa trên Chainlink

• LlamaGuard Actions: cơ chế phản ứng rủi ro theo điều kiện (6)

Các giao thức như Aave, Curve, Midas, Ethena đã bắt đầu sử dụng để đánh giá rủi ro, như tình trạng thanh khoản, biến động sử dụng vốn, lệch giá oracle. Các thông tin này giúp nhóm phát triển xác định quy mô dự trữ, giới hạn nợ, các tham số rủi ro khác.

Ngoài ra, Chaos Labs là nền tảng phân tích rủi ro DeFi có phạm vi rộng nhất, chuyên về mô phỏng tức thì, kiểm tra áp lực thị trường và tối ưu tham số rủi ro.

Ba năng lực cốt lõi

Thứ nhất, giám sát rủi ro động, theo dõi các chỉ số chính của các giao thức trên nhiều chuỗi, như tổng cung vay mượn, tỷ lệ sử dụng vốn, sự kiện thanh lý, tập trung của tài sản thế chấp, rủi ro từ các địa chỉ whale; hiện đã theo dõi hơn 63,7 tỷ USD tài sản, trên nhiều chuỗi chính.

Thứ hai, mô phỏng rủi ro tiếp xúc, thử nghiệm các tình huống cực đoan như giảm mạnh giá tài sản thế chấp, rút vốn nhanh, bán tháo tập trung, để đánh giá khả năng thanh toán và rủi ro nợ xấu của giao thức trong các điều kiện này.

Thứ ba, tối ưu tham số, dựa trên kết quả mô phỏng, đề xuất điều chỉnh các tham số rủi ro chính như LTV, ngưỡng thanh lý, đường cong lãi suất, giúp cân bằng giữa hiệu quả vốn và kiểm soát rủi ro. (7)

Lớp xác thực

Lớp xác thực giải quyết vấn đề nền tảng: dữ liệu trên chuỗi có thực sự đáng tin cậy không.

Nếu thiếu cơ chế xác minh tài sản, nợ và dự trữ đáng tin cậy, các mô hình rủi ro tinh vi nhất cũng có thể dựa trên giả định sai. Hiện tại, các hạ tầng xác thực tiêu biểu gồm Chainlink Proof of Reserve và Accountable.

Chainlink PoR là một trong những mạng xác minh dự trữ trên chuỗi phát triển sớm nhất, chủ yếu dùng để xác minh xem stablecoin, tài sản xuyên chuỗi và RWA có đủ thế chấp hay không, nhằm giảm thiểu rủi ro tin tưởng vào dữ liệu off-chain.

Nguồn: Chainlink

Quy trình gồm các bước: tổ chức kiểm toán hoặc nhà cung cấp dữ liệu liên tục thu thập thông tin dự trữ, sau đó Chainlink qua mạng oracle phi tập trung xác minh và đồng thuận, khi có thay đổi vượt ngưỡng hoặc đến thời điểm cập nhật định kỳ, dữ liệu sẽ được ghi vào chuỗi để các hợp đồng có thể truy cập trực tiếp. (8)

Giá trị của PoR không chỉ là hiển thị dữ liệu, mà còn có thể tích hợp vào logic hợp đồng:

• Secure Mint: chỉ cho phép đúc mới khi dự trữ đủ, tránh phát hành trái phép

• Circuit Breaker: tự động kích hoạt tạm dừng vay mượn hoặc các hoạt động liên quan khi phát hiện bất thường

Accountable Capital bổ sung điểm còn thiếu của PoR truyền thống: chỉ xác minh tài sản, không xác minh nợ.

Nguồn: Accountable

Chỉ xác minh tài sản không đủ để chứng minh sức khoẻ của một tổ chức, vì họ vẫn có thể mang theo các khoản nợ ẩn lớn hơn. Phương pháp của Accountable là dùng chứng minh không kiến thức (ZKP) để xác minh đồng thời tài sản và nợ, mà không tiết lộ thông tin nhạy cảm, cung cấp bằng chứng khả năng thanh toán toàn diện hơn.

Cơ chế hoạt động

Kiến trúc chính của họ là Data Verification Network (DVN), liên tục tổng hợp nhiều nguồn dữ liệu như địa chỉ trên chuỗi, tài khoản ủy thác, tài khoản ngân hàng, hệ thống nội bộ và vị thế hợp đồng, sau đó mã hoá cục bộ để tạo ra ZKP chứng minh tổ chức đó có đủ khả năng thanh toán ròng, mà không cần tiết lộ địa chỉ, khoá API hay chiến lược giao dịch. (9)

So với chỉ xác minh dự trữ tồn tại, Accountable còn xác minh toàn diện tình hình tài chính, phù hợp cho các chiến lược tổ chức hoặc stablecoin cần công khai đòn bẩy, vị thế phòng hộ và nghĩa vụ nợ liên tục.

Lớp phát hiện rủi ro

Lớp phát hiện rủi ro giải quyết vấn đề khác: làm thế nào để phát hiện sớm các cuộc tấn công gây thiệt hại và chặn đứng chúng?

Kiểm toán là kiểm tra tĩnh trước khi triển khai, còn lớp phát hiện là hệ thống phòng thủ “thời gian thực” sau khi hợp đồng hoạt động. Một trong các hạ tầng tiêu biểu là Hypernative.

Nguồn: Hypernative

Năng lực chính của Hypernative là sử dụng machine learning, mô phỏng giao dịch, phân tích sơ đồ và giám sát bộ nhớ đệm để liên tục theo dõi các hoạt động bất thường từ nhiều góc độ. Nói cách khác, họ không chỉ kiểm tra xem hợp đồng có lỗ hổng hay không, mà còn theo dõi xem có dấu hiệu chuẩn bị tấn công như đường đi giao dịch bất thường, lệch oracle, hoạt động quản trị bất thường, lừa đảo qua front-end, hành vi liên kết giữa các giao thức. (10)

Khả năng phát hiện này đặc biệt có giá trị vì có thể kết nối trực tiếp với các hành động tự động kiểm soát rủi ro. Khi hệ thống phát hiện rủi ro đạt ngưỡng nhất định, hợp đồng có thể tạm dừng thị trường, phong tỏa chức năng, điều chỉnh LTV hoặc giới hạn vay, cô lập tài sản khả nghi, thậm chí chặn trước khi giao dịch được ghi vào block.

Khác với kiểm toán truyền thống chỉ cung cấp báo cáo tĩnh trước khi triển khai, hệ thống phát hiện này cung cấp sự bảo vệ liên tục trong quá trình vận hành: kiểm toán trả lời câu hỏi “có thể có vấn đề gì”, còn phát hiện trả lời “hiện tại có đang xảy ra sự cố không”.

Triển vọng

Nếu thị trường bảo hiểm DeFi muốn thực sự mở rộng quy mô, ít nhất còn vài vấn đề cốt lõi cần giải quyết.

Thứ nhất, lợi suất của vốn bảo hiểm hiện vẫn thấp, rõ ràng không hấp dẫn so với các cơ hội lợi nhuận khác trên chuỗi. Dù là vay mượn, tạo thị trường hay các chiến lược tổng hợp lợi nhuận, dòng vốn đều có thể tìm kiếm lợi nhuận cao hơn.

Vấn đề trở lại ở cơ chế cung cầu vốn: nếu phần thưởng rủi ro từ quỹ bảo hiểm không đủ hấp dẫn, ai sẽ sẵn lòng cung cấp vốn lâu dài để chịu đựng các rủi ro cuối cùng này?

Thứ hai, để lớp bảo hiểm thực sự phát huy tác dụng, quỹ bảo hiểm cần đủ lớn để có thể bù đắp thiệt hại từ các sự cố an toàn lớn. Các sự kiện “thiên nga đen” tiềm năng có thể gây thiệt hại hàng trăm triệu USD.

Tất nhiên, trách nhiệm quản lý rủi ro không thể hoàn toàn đổ hết cho phía bảo hiểm, các giao thức cũng cần có các cơ chế như timelock, giới hạn rút tiền, để tránh tình trạng thanh khoản bị rút cạn trong một sự kiện. Nhưng dù sao, quỹ bảo hiểm vẫn cần quy mô đủ lớn để tạo ra sự bảo vệ hiệu quả.

Quan trọng hơn, so với tài chính truyền thống, các sự cố an toàn trong DeFi xảy ra với tần suất cao hơn, đường dẫn tấn công đa dạng hơn, điều này đồng nghĩa với việc lượng vốn cần dự trữ để bảo hiểm cũng lớn hơn, và việc mở rộng quy mô sẽ khó khăn hơn.

Thứ ba, các thiết kế hệ thống của các giao thức DeFi hiện vẫn còn thiếu các “cơ cấu dừng lỗ” rõ ràng, khiến lớp bảo hiểm khó định giá rủi ro một cách hợp lý.

Từ góc độ bảo hiểm, vấn đề then chốt không phải là liệu có xảy ra tấn công hay không, mà là khi tấn công xảy ra, thiệt hại có thể bị hạn chế về mặt cấu trúc hay không. Thực tế, nhiều giao thức vẫn cho phép quản trị viên thực hiện các thao tác như di chuyển vốn, thay đổi tham số, nâng cấp hợp đồng trong thời gian cực ngắn. Nếu quyền này bị xâm phạm, thiệt hại có thể “phát sinh tức thì”, khiến LGD (Loss-given-default) gần như 100%.

Trong cấu trúc này, quỹ bảo hiểm thực chất đang gánh chịu rủi ro cuối cùng vô hạn, loại rủi ro gần như không thể bảo hiểm thương mại.

Ngược lại, nếu các giao thức thiết kế theo hướng:

• Giới hạn rút tiền (rate limit)

• Giới hạn rút trong một lần / trong ngày

• Thiết lập danh sách trắng các luồng vốn

• Áp dụng timelock bắt buộc

thì có thể giảm thiểu tối đa thiệt hại trong một lần tấn công, chuyển rủi ro từ “thảm họa” sang “có thể đo đếm được”, từ đó lớp bảo hiểm mới có thể định giá hợp lý.

Thứ tư, công nghệ nền tảng của DeFi vẫn còn nhiều “khoảng chưa biết”, khiến các hợp đồng trên chuỗi vẫn luôn đối mặt với các lỗ hổng mới liên tục xuất hiện.

Gần đây, một số vụ việc tiêu biểu như Drift do bị tấn công qua khoá riêng của quản trị viên bằng kỹ thuật xã hội; KelpDAO liên quan đến lỗi cấu hình verifier 1-of-1. Khi nhận thông điệp xuyên chuỗi qua LayerZero, việc giải phóng vốn chỉ dựa vào một node duy nhất, dẫn đến điểm yếu của hệ thống.

Các rủi ro này không nhất thiết đến từ lỗi mã, mà còn có thể xuất phát từ thiết kế quyền hạn, xác thực xuyên chuỗi, quy trình vận hành, sai sót con người. Nói cách khác, không chỉ “rủi ro đã biết” mới cần quản lý, mà còn tồn tại nhiều rủi ro tiềm ẩn chưa được nhận diện đầy đủ.

Dù đã có các nền tảng như Hypernative để giám sát an toàn theo thời gian thực, các công cụ đánh giá rủi ro như Chaos Labs, LlamaRisk, toàn bộ khung quản lý rủi ro DeFi vẫn cần thêm thời gian để hoàn thiện, mới có thể hướng tới sự trưởng thành và đáng tin cậy thực sự.

1. More about: sigma 03,19 Nov 2024

Về Gate Ventures

Gate Ventures là bộ phận đầu tư mạo hiểm của Gate, chuyên tập trung vào các khoản đầu tư hạ tầng phi tập trung, hệ sinh thái và ứng dụng, nhằm định hình lại thế giới của Web 3.0. Gate Ventures hợp tác với các lãnh đạo ngành toàn cầu, hỗ trợ các nhóm và startup có tư duy sáng tạo, đổi mới, để định nghĩa lại cách xã hội và tài chính tương tác.

Để biết thêm chi tiết, vui lòng truy cập: trang chủ | X | Telegram | LinkedIn | Medium

Lưu ý miễn trừ trách nhiệm :

*Nội dung này không phải là lời mời, tuyển dụng hay khuyến nghị đầu tư nào. Trước khi đưa ra quyết định đầu tư, bạn nên tìm kiếm tư vấn chuyên nghiệp độc lập. Xin lưu ý, GateVentures có thể hạn chế hoặc cấm toàn bộ hoặc một phần dịch vụ đối với các khu vực bị hạn chế. Vui lòng đọc kỹ điều khoản sử dụng tại: ** .