Vì vậy, tôi đã theo dõi những gì đang xảy ra trong DeFi tháng Tư này, và thành thật mà nói, nó khá khó khăn. Chúng ta đang chứng kiến hơn $600m thiệt hại được báo cáo chỉ trong tháng này, và mô hình này khá rõ ràng - đây không chỉ là một vụ vi phạm khóa hoặc một lỗ hổng đơn lẻ. Đó là một vấn đề hệ thống lan rộng trên nhiều lớp của hệ sinh thái.

Hãy để tôi phân tích những gì đã xảy ra. Hai sự cố lớn nhất gây thiệt hại nhiều nhất là tình huống rsETH của Kelp DAO và Drift Protocol. Kelp DAO đã bị thiệt hại khoảng $292m khi ai đó khai thác lỗ hổng cầu nối để tạo ra các tài sản không được đảm bảo. Đó không phải là rút tiền truyền thống, nhưng các tác động lan rộng qua các nền tảng tích hợp đã tạo ra rủi ro hệ thống nghiêm trọng, đặc biệt đối với các giao thức cho vay giữ tài sản đó. Sau đó, Drift Protocol bị tấn công qua thao túng tài sản thế chấp và các vấn đề truy cập - các báo cáo cho thấy hàng trăm triệu đô la cũng bị ảnh hưởng ở đó.

Nhưng điều thú vị là gì. Ngoài các trường hợp tiêu đề này, còn có cả một lớp các vụ khai thác trung bình liên tục xuất hiện. Rhea Finance mất 7,6 triệu đô la do các hợp đồng token giả mạo và thao túng oracle. Sàn Giao dịch Grinex báo cáo bị rút sạch 13,7 triệu đô la qua nhiều địa chỉ ví. GiddyDefi bị tấn công mất 1,3 triệu đô la qua lỗ hổng xác thực ủy quyền liên quan đến việc phát lại chữ ký - đó là một vi phạm khóa theo một cách khác, mang tính vận hành nhiều hơn kỹ thuật.

Sau đó còn có những vụ như sự cố 1,2 triệu đô la của CoW Swap do chiếm đoạt tên miền. Vụ này đặc biệt thú vị vì nó cho thấy bề mặt tấn công mở rộng ra ngoài hợp đồng thông minh. Chúng ta đang nói về hạ tầng, quản lý khóa, kiểm soát tên miền - toàn bộ hệ thống.

Ngay cả các trường hợp nhỏ hơn cũng cho thấy điều gì đó. Silo Finance, Aethir, Dango, Scallop, Volo Protocol - tất cả đều gặp vấn đề riêng. Cấu hình oracle sai, lỗ hổng kiểm soát truy cập, lỗi logic hợp đồng, thậm chí là xâm phạm khóa riêng trong một số trường hợp. Dango thực sự đã thu hồi được tiền thông qua can thiệp của các nhà bảo vệ - ít nhất là điều đó.

Điều thực sự nổi bật đối với tôi là cách mà cảnh quan rủi ro này trở nên phân mảnh như thế nào. Bạn có các vụ khai thác tấn công vào logic hợp đồng thông minh, hệ thống quản lý khóa, hạ tầng tên miền, cầu nối chuỗi chéo, và các tham số của giao thức cùng một lúc. Đó không phải là một điểm thất bại duy nhất - đó là nhiều phương thức tấn công cùng lúc.

Thêm mới nhất vào danh sách là giao thức perpetuals của Aftermath. Họ đã tiết lộ một vi phạm khóa cho phép thiết lập phí nhà tạo lập âm, gây thiệt hại khoảng 1,14 triệu đô la. Giao thức đã bị tạm dừng, nhưng các sản phẩm khác vẫn hoạt động.

Điều rút ra ở đây là thiệt hại tháng Tư tiết lộ điều gì đó sâu hơn ngoài các lỗi mã nguồn. Rủi ro trong DeFi mở rộng từ các lỗ hổng kỹ thuật đến an ninh vận hành và kiến trúc hệ thống. Cho đến khi hệ sinh thái bắt đầu giải quyết đồng thời cả ba lớp này, chúng ta có thể sẽ tiếp tục thấy mô hình này lặp lại.