Sự thật về vụ thảm sát! Cạm bẫy lớn trong bảo hiểm DeFi: phí bảo hiểm ăn hết lợi nhuận, hacker đến là mất trắng, tài sản của bạn còn đang phơi bày không?

Trong thị trường có nhiều người nói rằng bảo hiểm chính là lừa đảo, câu nói nghe có vẻ chói tai, nhưng có thực tế hỗ trợ. Bảo hiểm Cigna của Mỹ đã phát triển một bộ thuật toán, không cần xem hồ sơ bệnh án đã từ chối bồi thường trực tiếp; Bảo hiểm sức khỏe liên kết khi đến thời gian thiết lập trong thuật toán, lập tức ngừng thanh toán phí chăm sóc, lời của bác sĩ không còn trọng lượng. Các chiêu trò của bảo hiểm truyền thống luôn rõ ràng: trước tiên thu tiền, giữ lại phần chia cao, rồi thiết lập nhiều rào cản để gây khó dễ cho việc bồi thường.

Dù có bảo hiểm tiền gửi liên bang (FDIC) bảo vệ, nhưng giới hạn bồi thường chỉ 25.000 USD, tiêu chuẩn này đã được đặt ra từ năm 1934 và gần như chưa từng thay đổi. Tài khoản của nhà môi giới chứng khoán được bảo vệ bởi Công ty Bảo vệ Nhà đầu tư Chứng khoán (SIPC), giới hạn 50.000 USD, nếu vượt quá số này, bảo vệ trở nên vô nghĩa. Mọi người đều nghĩ rằng bảo vệ rất vững chắc, nhưng thực tế giới hạn bồi thường hoàn toàn do công ty bảo hiểm tự đặt ra.

Bảo hiểm DeFi vốn có cơ hội giải quyết điểm đau này — loại bỏ trung gian, hợp đồng thông minh kích hoạt điều kiện tự động bồi thường, hoàn toàn loại bỏ khả năng từ chối bồi thường cố ý của con người. Nhưng thực tế là hầu như không ai muốn mua. Phí bảo hiểm sẽ làm giảm đáng kể lợi nhuận đầu tư, sau khi trừ phí, lợi nhuận còn lại không thể phù hợp với rủi ro đầu tư mà người dùng phải gánh chịu.

Nexus Mutual là nhà cung cấp dịch vụ bảo hiểm DeFi lớn nhất hiện nay, từ khi ra mắt năm 2019 đến nay, tổng số tiền bồi thường chỉ hơn 18 triệu USD. Tháng 4 năm 2026, Kelp DAO bị hacker tấn công, thiệt hại lên tới 292 triệu USD. Chỉ riêng lần bị trộm này đã gấp 16 lần tổng số tiền bồi thường của nhà bảo hiểm hàng đầu này trong bảy năm. Bảo hiểm truyền thống từ chối bồi thường điên cuồng, trong khi bảo hiểm DeFi thu phí rất thấp, nguyên nhân là hầu như không có nhà đầu tư nào muốn mua bảo hiểm.

Bảo hiểm truyền thống có thể vận hành ổn định nhờ vào việc rủi ro không liên quan đến nhau. Một căn nhà cháy không làm thiệt hại các cư dân khác. Công ty bảo hiểm có thể bán cho 1 triệu người mua bảo hiểm, một vụ cháy đơn lẻ có thể được bù đắp bằng toàn bộ phí bảo hiểm. Nhưng DeFi không có loại cách ly rủi ro này — lỗi của oracle, lỗ hổng cầu nối chuỗi, các sự kiện an toàn khác sẽ gây ra tác động dây chuyền đến tất cả các quỹ và giao thức vay dựa trên các tài sản nền tảng đó.

Vụ kiện $USDC mất giá vào tháng 3 năm 2023, tất cả các giao thức sử dụng $USDC làm tài sản thế chấp đều gặp rắc rối trong ngày đó. Đối với quỹ bảo hiểm DeFi, rủi ro có tính liên kết mạnh, nhà bảo hiểm chỉ có thể cược rằng thiệt hại do sự cố an toàn gây ra là kiểm soát được, quỹ bảo hiểm đủ để bù đắp. Tháng 3 năm 2023, Euler Finance bị trộm 197 triệu USD, rủi ro dây chuyền nhanh chóng lan rộng: Angle Protocol thua lỗ 17 triệu USD do giữ token thanh khoản Euler, Yield Protocol phải tạm dừng hoạt động khẩn cấp, các nền tảng khác như Inverse Finance cũng bị ảnh hưởng. Một khi có lỗ hổng an toàn trong giao thức, liên đới nhiều dự án, các sự cố cực đoan trong ngày có thể làm cạn kiệt toàn bộ dự trữ bồi thường của quỹ bảo hiểm.

Hãy xem tỷ lệ phí bảo hiểm của Nexus Mutual và InsurAce hiện tại, so sánh với lợi nhuận hàng năm gốc của các giao thức được bảo hiểm: $Aave V3 có lợi nhuận hàng năm khoảng 3.14%, phí bảo hiểm trong khoảng 1.5%–2.5%, sau khi trừ phí, lợi nhuận ròng chỉ còn 0.6%–1.6%. Nhà đầu tư phải đối mặt với rủi ro an toàn trên chuỗi, lợi nhuận cuối cùng chỉ cao hơn gửi tiết kiệm ngân hàng bình thường một chút. Lợi nhuận của Morpho, Compound, Spark cũng tương tự, lợi nhuận hàng năm gốc 3.5%–4%, phí bảo hiểm sẽ lấy đi một phần ba đến một nửa lợi nhuận, dù còn lợi nhuận nhỏ, nhưng tỷ lệ giá trị trên hiệu quả rất thấp.

Maple Finance có quỹ cho vay trung bình lợi nhuận hàng năm 4.77%–4.90%, nhưng phí bảo hiểm lại cao tới 3%–6%, sau khi mua bảo hiểm, lợi nhuận ròng trong khoảng -1.1% đến 1.9%. Ethena có lợi nhuận hàng năm 3.6%–4%, phí bảo hiểm cũng 3%–6%, lợi nhuận ròng -2.4% đến 1%. Mua bảo hiểm trên hai loại nền tảng này, trong trường hợp cực đoan, vốn gốc thậm chí có thể bị lỗ. Chỉ riêng MakerDAO (Sky) thể hiện nổi bật, sản phẩm tiết kiệm lợi nhuận hàng năm 3.6%, phí bảo hiểm thấp nhất chỉ 0.11%, được thị trường công nhận là mục tiêu rủi ro thấp nhất trong DeFi, sau khi mua bảo hiểm, lợi nhuận ròng duy trì ở mức 2.8%–3.5%, phần lớn lợi nhuận được giữ lại.

Giá phí bảo hiểm được định giá chặt chẽ phù hợp với mức độ rủi ro, nhưng các nền tảng mới nổi có phí quá cao, trực tiếp tiêu hao lợi nhuận cao mà người dùng mong đợi. Nhà đầu tư tiền mã hóa chọn bỏ qua mua bảo hiểm, không phải do lười biếng hay liều lĩnh, họ rõ ràng rằng trong nhiều trường hợp, mua bảo hiểm đồng nghĩa với việc lợi nhuận về 0. Thậm chí nếu tất cả người gửi tiền DeFi ngày mai đồng loạt chọn mua bảo hiểm toàn bộ, toàn ngành cũng không đủ khả năng đáp ứng: tổng quỹ của Nexus Mutual khoảng 81,56 triệu USD, giới hạn bảo hiểm hiệu quả của toàn ngành chỉ vài trăm triệu USD, trong khi các giao thức lớn có tổng giá trị khóa lên tới hàng nghìn tỷ, cung cầu cách biệt quá lớn. Một sự cố an toàn lớn như Kelp DAO, một vụ bồi thường đơn lẻ có thể làm cạn kiệt phần lớn dự trữ bảo hiểm của ngành.

Tổng số tiền bồi thường 18 triệu USD trong quá khứ chính là điểm yếu của quỹ vốn ngành — toàn thị trường chưa từng trải qua một sự kiện rủi ro lớn đủ để phá vỡ dự trữ bảo hiểm. Sau khi người dùng gửi yêu cầu bồi thường tới Nexus Mutual, toàn bộ các thành viên nắm token của nền tảng sẽ bỏ phiếu quyết định có bồi thường hay không. Các thành viên ủng hộ bồi thường, nếu cuối cùng không được thanh toán, tài sản của họ sẽ bị thiệt hại trực tiếp. Cơ chế này tự nhiên sinh ra xu hướng từ chối bồi thường. Bảo hiểm truyền thống có các nhân viên kiểm tra rủi ro, nhân viên xử lý bồi thường để cân bằng mâu thuẫn, còn trong DeFi, tất cả quyền lợi và trách nhiệm đều tập trung trong cùng một nhóm.

Trước cuộc khủng hoảng tài chính 2008, các tổ chức định giá rủi ro tài chính đều cho rằng việc sụp đổ giá nhà Mỹ là không thể xảy ra, vì chưa từng trải qua. Tập đoàn bảo hiểm AIG bán các hợp đồng bảo hiểm rủi ro quy mô lớn, khi khủng hoảng thực sự xảy ra, hoàn toàn không đủ khả năng thanh toán. Trước khi chính phủ Mỹ ra mắt FDIC bảo vệ tiền gửi ngân hàng, người gửi tiền bình thường không có bất kỳ sự đảm bảo an toàn tài sản nào. Cuộc Đại Khủng Hoảng buộc chính phủ bắt buộc phải thực thi bảo hiểm ngân hàng, biến việc mua bảo hiểm thành chi phí bắt buộc của hoạt động ngân hàng. Trong lĩnh vực DeFi, không ai có thể bắt buộc Aave, Morpho hay các giao thức khác mua bảo hiểm, hợp đồng thông minh triển khai hoàn toàn không có giấy phép, không có chủ thể nào có thể bắt buộc dự án trang bị các biện pháp phòng ngừa rủi ro, ngành thiếu cơ chế đệm chống lại các tình huống cực đoan.

Ba vụ bồi thường lớn nhất của Nexus Mutual trong lịch sử lần lượt là: 730.000 USD do hai đợt FTX sụp đổ, 500.000 USD do bị trộm của TribeDAO, 340.000 USD do hacker tấn công Euler Finance. Tổng cộng, ba khoản này gần như bằng tổng số tiền bồi thường của nền tảng trong bảy năm là 1,86 triệu USD. Hiện nay, nền tảng bảo hiểm tự lực này bắt đầu chuyển hướng sang phòng ngừa rủi ro trước, hợp tác với các tổ chức kiểm tra an toàn như Immunefi, Cantina, Sherlock để ra mắt các sản phẩm bảo vệ chống lỗ hổng, dự án chỉ cần chịu trách nhiệm 20% phần thưởng lỗ hổng quan trọng, phần còn lại do Nexus Mutual bảo lãnh, nhằm khuyến khích hacker mũ trắng kiểm tra lỗ hổng từ sớm, tránh các vụ trộm cắp từ nguồn gốc.

Ngoài ra, Nexus Mutual đang phát triển mô hình bảo hiểm tuân thủ pháp lý, cố gắng kết nối rủi ro trên chuỗi với quỹ tái bảo hiểm, thu hút vốn bên ngoài lớn hơn để bổ sung khả năng bảo hiểm. Cantina vào tháng 3 năm 2025 còn ra mắt sản phẩm bảo hiểm nguyên bản độc lập, dù lỗ hổng chưa được phát hiện sớm bởi các hunter, sau khi giao thức bị tấn công, người dùng vẫn có thể nhận bồi thường. Hai bước chuyển đổi này đều thừa nhận một thực tế cốt lõi: vốn tự có trên chuỗi không đủ để bao phủ rủi ro trên chuỗi.

Quỹ bảo hiểm quá nhỏ, rủi ro liên kết cao, bên quyết định bồi thường và cung cấp vốn là cùng một nhóm, ba điểm yếu lớn này không thể loại bỏ. Nexus Mutual theo thống kê của DeFiLlama có tổng vốn khóa khoảng 81,56 triệu USD, chiếm 85% thị phần trong ngành bảo hiểm DeFi. Các đối thủ khác quy mô ngày càng thu nhỏ: InsurAce đỉnh cao có 150 triệu USD, hiện chỉ còn 13,2 nghìn USD, sau khi UST mất giá năm 2022 chỉ mới hoàn thành một khoản bồi thường lớn; Sherlock từ 60 triệu USD giảm còn 505 nghìn USD trong vòng một năm; Unslashed Finance với hàng triệu USD bị mắc kẹt trong mã cũ không cập nhật từ cuối năm 2024. Các dự án bảo hiểm còn lại hoặc đóng cửa hoàn toàn, hoặc chuyển đổi lĩnh vực kinh doanh.

Ngọn hải đăng cảnh báo các tàu thuyền về các rạn san hô, nhưng không thể thu phí sử dụng từ các tàu đi qua, nên rất ít người tự nguyện xây dựng ngọn hải đăng. Lợi ích chia sẻ chung, chi phí do người xây dựng gánh chịu. Giá trị của bảo hiểm DeFi chính là ngăn chặn sự lan rộng của khủng hoảng thanh lý dây chuyền. Tài sản trong thị trường mã hóa có tính liên thông cao, chỉ khi tất cả mọi người cùng mua bảo hiểm, thị trường chung mới có thể duy trì ổn định. Nhưng nếu mọi người đều trông chờ người khác mua bảo hiểm để đảm bảo, không ai sẵn lòng chịu phí, cuối cùng sẽ không ai mua bảo hiểm, hệ thống phòng ngừa rủi ro trở nên vô nghĩa. Không ai chủ động đảm bảo, cuối cùng không thể bảo vệ bất kỳ tài sản nào.