Mức tổn thất trung bình hàng năm chỉ 0,03%, phân tích dữ liệu rủi ro thực sự của vay và cho vay DeFi

Viết bài: Alex McFarlane

Dịch: Chopper, Foresight News

Mỗi sự phát triển đột phá của công nghệ tài chính đều trải qua giai đoạn đau thương, tài chính phi tập trung (DeFi) cũng không ngoại lệ. Thị trường cho vay ban đầu nhanh chóng ra mắt, quy mô mở rộng mạnh mẽ, ngành công nghiệp liên tục gặp phải các cuộc tấn công an ninh trong thị trường công khai, rồi từng bước mày mò hoàn thiện an toàn mã, kiểm soát rủi ro tài sản thế chấp, cơ chế oracle, logic thanh lý và hệ thống quản trị.

Các trường hợp rủi ro trong quá khứ có giá trị tham khảo, nhưng không thể đại diện cho hệ sinh thái DeFi trưởng thành ngày nay. Dù sao, người chỉ biết nhìn lại quá khứ thường không nắm bắt được cơ hội hiện tại.

Loại bỏ các sự cố an toàn liên quan đến cầu nối chuỗi chéo, hiện tại các hoạt động cho vay trên Ethereum Virtual Machine (EVM) và Solana trên chuỗi, theo tính toán, tỷ lệ thiệt hại do bị trộm cắp và tấn công độc hại gây ra trung bình hàng năm khoảng 0,03% tổng giá trị khóa (TVL) của các khoản vay. Dữ liệu phân tích này đều tổng hợp từ các vụ tấn công hacker và các lỗ hổng bị khai thác theo ghi chú của nền tảng DeFi Llama.

Tiêu chuẩn cốt lõi để đánh giá rủi ro an ninh là: thiệt hại do khai thác lỗ hổng xảy ra so với lượng vốn trên thị trường lớn như thế nào?

Tỷ lệ thiệt hại 0,03% tương đương với xác suất người dân Mỹ bị tai nạn trượt ngã gây tử vong. Như vậy, ngoài tâm lý hoảng loạn chung của thị trường, rủi ro thực tế của hoạt động cho vay DeFi thực ra ở mức khá thấp.

Phân tích chi tiết các sự cố an toàn của DeFi

Tính đến ngày 16 tháng 5 năm 2026, tổng số tiền bị trộm trong các giao thức DeFi thuộc mọi loại do DeFi Llama thống kê đạt 7,751 tỷ USD, phạm vi thống kê rất rộng. Tổng số dữ liệu bao gồm cầu nối chuỗi chéo, sàn giao dịch phi tập trung, giao thức phái sinh, dự án liên quan đến trò chơi chuỗi, ví kỹ thuật số, sự cố hạ tầng nền tảng, cũng như các hoạt động DeFi không liên quan đến vay mượn.

Trong đó, cầu nối chuỗi chéo là khu vực rủi ro nghiêm trọng nhất: loại bỏ các sự cố an toàn liên quan đến cầu nối chuỗi chéo, tổng thiệt hại do trộm cắp trong lĩnh vực DeFi giảm còn 4,518 tỷ USD.

Chạy mã chỉ thực thi chính xác các lệnh đã lập trình, chứ không thể thực hiện theo mong đợi lý tưởng của nhà phát triển, đây cũng là nguyên nhân chính gây ra các lỗ hổng thường xuyên. Việc phân loại rủi ro rõ ràng có ý nghĩa rất lớn: DeFi không phải là một lĩnh vực rủi ro đồng nhất, các loại rủi ro như trộm cắp cầu nối chuỗi, thao túng oracle DEX, lừa đảo ví, lỗ hổng tài sản thế chấp trong thị trường vay mượn đều thuộc các loại rủi ro hoàn toàn khác nhau.

Trong tất cả các giao thức DeFi, hoạt động vay mượn gặp phải các cuộc tấn công với tần suất cao nhất, lý do rất đơn giản: lượng lớn tài sản tích tụ lâu dài trong hợp đồng thông minh, trở thành mục tiêu hàng đầu của hacker.

Các giao thức vay mượn và nhà tạo lập thị trường tự động (AMM) là các lĩnh vực dễ xảy ra sự cố an ninh, điểm chung chính là cần tập trung lượng lớn tài sản vào hợp đồng thông minh. Ngoại trừ cầu nối chuỗi chéo, phần lớn các sự cố an ninh đều tập trung vào hai loại giao thức này. Bài viết này sẽ tập trung phân tích lĩnh vực vay mượn và cho vay.

Tỷ lệ thiệt hại về vốn đã được cải thiện đáng kể

Hiện nay, tổng lượng vốn khóa trong DeFi cao hơn nhiều so với giai đoạn đầu ngành, đặc biệt là trong lĩnh vực vay mượn, hệ thống kiểm soát rủi ro của các dự án đã trưởng thành hơn, kiểm toán mã nguồn toàn diện hơn, cũng như các hệ thống giám sát rủi ro theo thời gian thực trên toàn mạng ngày càng hoàn thiện. Loại bỏ các sự cố cầu nối chuỗi chéo, tỷ lệ thiệt hại thực tế do trộm cắp trong các hoạt động vay mượn trên hệ sinh thái EVM và Solana đã giảm đáng kể.

Euler còn tạo ra một ví dụ điển hình về xử lý rủi ro thành công, hoàn toàn thu hồi được tài sản bị trộm. Năm 2023, Euler bị tấn công với số tiền 197 triệu USD, không chỉ hoàn toàn thu hồi mà còn do biến động giá tài sản, cuối cùng thu về 240 triệu USD, đạt lợi nhuận dương, điều này đã làm rõ sự khác biệt giữa thiệt hại trên sổ sách và số tiền thực tế thu hồi.

Tính đến ngày 16 tháng 5 năm 2026, thống kê dữ liệu gần một năm qua:

Tổng thiệt hại trên sổ sách của các hoạt động vay mượn không liên quan đến cầu nối chuỗi chéo trên EVM và Solana: 30,9 triệu USD

Sau khi trừ đi các khoản thu hồi tài sản, thiệt hại thực tế ròng: 30,1 triệu USD

Quy mô vốn khóa trung bình hàng ngày của lĩnh vực vay mượn: 99,6 tỷ USD

Tỷ lệ thiệt hại vốn trên sổ sách: 3,1 điểm cơ bản

Tỷ lệ thiệt hại thực tế ròng: 3 điểm cơ bản

Chuyển đổi ra, thiệt hại vốn hàng năm duy trì khoảng 0,03% tổng giá trị khóa của hoạt động vay mượn.

Lợi thế của phân bổ tài sản đa dạng

Các sự cố an toàn của DeFi thể hiện rõ đặc điểm phân cực: số ít các vụ trộm cắp lớn chiếm phần lớn tổng thiệt hại công khai của ngành. Phân tích theo trục logarit để xem quy mô các vụ trộm cắp, có thể thấy các loại sự cố này gần như phân phối theo phân phối chuẩn logarit. Nhìn một cách trực quan, phần lớn các sự cố an toàn gây thiệt hại nhỏ, các vụ trộm cắp lớn chỉ tập trung trong một số trường hợp cực đoan.

Dù ChatGPT có ý kiến khác, tôi cho rằng các số liệu này chứng minh rõ ràng rằng đa dạng hóa danh mục đầu tư là phương pháp phòng chống tội phạm hiệu quả nhất.

Xét từ góc độ chuyển giao rủi ro, bảo hiểm thương mại, mô hình dữ liệu này cũng cung cấp nền tảng hợp lý cho hoạt động bảo hiểm an toàn trong ngành, các tổ chức bảo hiểm có thể thiết lập giới hạn bồi thường cho từng hợp đồng, tiến hành bảo hiểm theo thứ tự hợp lý.

Hơn nữa, phần lớn các vụ trộm cắp ảnh hưởng hạn chế, không đủ để làm lung lay toàn bộ thị trường vốn của lĩnh vực vay mượn. Thêm vào đó, quy mô toàn ngành càng lớn, tác động của một sự cố an ninh đơn lẻ đối với toàn cục càng nhỏ.

Lưu ý: Một số thiệt hại do trộm cắp có vẻ vượt quá giá trị khóa của dự án, các trường hợp này đều tính theo tỷ lệ 100% thiệt hại. Nguyên nhân chính của sai lệch này là: một là thời điểm thống kê giá trị khóa và thời điểm xảy ra sự cố có chênh lệch, dẫn đến biến động tài sản; hai là cách thống kê giá trị khóa của DeFi Llama không phù hợp với tiêu chuẩn tài sản đang trong rủi ro.

Phương pháp tính này dù không hoàn hảo tuyệt đối, nhưng đủ rõ ràng phản ánh thực trạng ngành: phần lớn các lỗ hổng và tấn công chỉ ảnh hưởng đến một phần của giao thức vay mượn, rất ít xảy ra tình trạng toàn bộ tài sản bị chiếm đoạt, các dự án lớn hơn phần lớn cũng vậy. Dữ liệu khảo sát này cũng cung cấp căn cứ quan trọng cho các hoạt động phòng chống rủi ro, bảo vệ tài sản trong ngành DeFi.

Khả năng thu hồi tài sản là yếu tố then chốt

Khả năng thu hồi tài sản cũng đã nâng cao đáng kể hiệu quả rủi ro thực tế của lĩnh vực vay mượn DeFi. Tổng hợp dữ liệu trộm cắp của toàn ngành từ DeFi Llama, số tiền thu hồi trung bình chiếm khoảng 8% tổng thiệt hại trên sổ sách; sau khi loại trừ các sự cố cầu nối chuỗi chéo, tỷ lệ thu hồi tài sản trong các hoạt động vay mượn trên EVM và Solana còn cao hơn, khoảng 20% tổng thiệt hại trên sổ sách.

Trong các khu vực có hệ thống pháp luật hoàn chỉnh, quản lý và giám sát chặt chẽ, tỷ lệ thu hồi tài sản bị trộm thường cao hơn. Hiện tượng này cũng chứa đựng những bài học về quyền hạn truy cập.

Triển vọng ngành tích cực

Hiện nay, rủi ro an ninh trong lĩnh vực vay mượn DeFi đã có thể định lượng, phân loại rõ ràng, tỷ lệ thiệt hại thực tế ngày càng giảm. Dữ liệu chứng minh ngành đã bước vào giai đoạn trưởng thành: thiệt hại do lỗ hổng và trộm cắp thực tế so với quy mô vốn lớn của lĩnh vực là rất thấp, các loại rủi ro rõ ràng, ranh giới rủi ro ngày càng minh bạch.

Tổng kết lại, không cần bị các lời đồn tiêu cực làm ảnh hưởng, dữ liệu và thực tế đã chứng minh rõ ràng mức độ rủi ro thực của lĩnh vực vay mượn DeFi.