Các vụ hack DeFi giảm 80% nhưng lỗ hổng đa chuỗi nổi lên như rủi ro mới

Tài chính phi tập trung đã trở nên an toàn hơn rất nhiều trong sáu năm qua. Một đánh giá mới về tổn thất giao thức từ năm 2020 đến 2025 đưa ra những con số cụ thể để chứng minh điều đó.

Tổn thất DeFi toàn ngành đạt đỉnh 2,62 tỷ USD vào năm 2022 và giảm khoảng 80% xuống còn 534 triệu USD vào năm 2024. Các vụ hack bridge từng tạo ra những tiêu đề hàng tỷ đô la nay chỉ chiếm một phần nhỏ trong tổng số hàng năm. Một vụ khai thác điển hình hiện nay gây ra thiệt hại chỉ bằng khoảng một phần tư so với thời điểm đỉnh cao.

Tổn thất giảm dù có thêm nhiều chuỗi và người dùng

Điểm đáng khích lệ của dữ liệu là các cuộc tấn công rẻ tiền, có thể lặp lại đã gần như bị loại bỏ hoàn toàn. Tổng tổn thất giảm 80% trong hai năm, ngay cả khi Tổng giá trị bị khóa (TVL) của DeFi tiếp tục tăng. Tổn thất trung vị mỗi sự cố giảm từ 6 triệu USD vào năm 2022 xuống còn 1,5 triệu USD vào năm 2025, giảm 75%.

Số lượng sự cố riêng lẻ tăng lên 83 vào năm 2025. Nhiều vụ hack hơn đang xảy ra nhưng mỗi vụ gây ra thiệt hại ít hơn nhiều. Đó gần như là những gì một lĩnh vực bảo mật đang trưởng thành cần có.

Các bridge là lỗ hổng điển hình vào năm 2021 và 2022. Riêng trong năm thứ hai đó, chín vụ khai thác bridge đã dẫn đến tổn thất 1,9 tỷ USD. Ronin Bridge một mình chiếm tổn thất 624 triệu USD. Các vụ hack bridge chiếm 73% tổng tổn thất DeFi năm đó. Đến năm 2025, tỷ lệ của bridge đã sụt giảm xuống còn 3%. Cơ chế xác minh được cải thiện, các tập hợp validator phi tập trung và sự chuyển dịch sang nhắn tin Cross-chain gốc đã giúp thu hẹp danh mục này.

Các cuộc tấn công flash-loan cũng đi theo cùng xu hướng giảm. Chúng chiếm 54% tổng tổn thất vào năm 2020. Đến năm 2025, chúng chiếm dưới 1%. Các giao thức đã áp dụng các biện pháp phòng thủ phù hợp với loại tấn công đó: giá trung bình có trọng số theo thời gian, tích hợp oracle Chainlink, bảo vệ reentrancy và các thiết kế giả định kẻ tấn công có thể thao túng giá trong một giao dịch nguyên tử duy nhất.

Các vụ xâm phạm khóa riêng tư cũng chứng kiến mức sụt giảm tương tự. Chúng giảm từ 28,7% tổn thất vào năm 2022 xuống còn 8,1% vào năm 2025. Mỗi danh mục này thu hẹp vì ngành đã nhận ra một mô hình có thể lặp lại và xây dựng các giải pháp tiêu chuẩn hóa.

Những gì còn lại khó phòng thủ hơn

Việc ngăn chặn các cuộc tấn công chung để lại một danh mục khó khăn hơn nhiều. Vào năm 2025, 89,1% tổn thất DeFi đến từ các vụ khai thác logic giao thức. Đây là các lỗi ở cấp độ mã cụ thể theo cách thiết kế của một ứng dụng. Một vụ hack bridge liên quan đến các giả định tin cậy có thể nhận biết được. Một cuộc tấn công flash-loan là một phần của một họ kỹ thuật đã biết. Cả hai đều có thể được phòng thủ bằng các mô hình có thể tái sử dụng.

Một lỗi logic giao thức vốn dĩ mang tính đặc thù. Nó xuất phát từ toán học cụ thể, kiểm soát truy cập hoặc các lựa chọn khả năng kết hợp của một codebase duy nhất. Rất khó để phòng thủ một cách có hệ thống vì mỗi trường hợp là một bài toán riêng.

Triển khai đa chuỗi biến lỗi thành khủng hoảng

Triển khai đa chuỗi biến một trong những lỗi đặc thù này thành một cuộc khủng hoảng toàn diện. Các giao thức lớn thường triển khai cùng một mã trên Ethereum, Base, Arbitrum, Polygon, OP Mainnet và Sonic. Một lỗ hổng duy nhất có thể rút cạn tiền trên mọi mạng đang chạy nó cùng một lúc.

Chúng ta đã chứng kiến điều này vào tháng 11/2024 khi V2 Composable Stable Pools của Balancer bị rút cạn khoảng 128 triệu USD trong chưa đầy nửa giờ trên sáu blockchain cùng một lúc. Theo Check Point Research, kẻ tấn công đã khai thác một lỗi độ chính xác số học trong toán học bất biến của các pool. Họ điều chỉnh số dư token đến một ranh giới làm tròn rồi liên kết các hoán đổi theo lô cho đến khi những sai số nhỏ đó tích lũy thành một vụ rút cạn hoàn toàn.

Các hợp đồng có cùng lỗ hổng đã được triển khai trên Ethereum, Arbitrum, Base, Polygon, Sonic và OP Mainnet. Vụ khai thác đã tiếp cận tất cả chúng cùng một lúc vì lỗ hổng được nhúng trong chính mã, và mã đó đã được sao chép ở khắp nơi. Mười một cuộc kiểm toán riêng lẻ đã không phát hiện ra nó.

Báo cáo của ImmuneFi vạch ra một đường thẳng từ vụ khai thác Poly Network trị giá khoảng 611 triệu USD vào năm 2021 đến Balancer vào năm 2025. Poly Network là một thất bại tại điểm kết nối giữa các hệ thống. Balancer là cùng một logic thất bại giống hệt nhau trên các mạng chia sẻ mã, đường dẫn người ký và các giả định xác minh.

Đo lường sự an toàn đã thay đổi

Một khi một chuỗi trở thành một phần của bản đồ triển khai mặc định cho các giao thức lớn, nó hấp thụ bề mặt rủi ro của mọi thứ nó lưu trữ. Báo cáo quy toàn bộ tổn thất từ một vụ khai thác đa chuỗi cho mỗi chuỗi bị ảnh hưởng. Những người tham gia trên cả sáu mạng đều phải chịu toàn bộ tác động.

Số liệu hack năm 2025 của Polygon, OP Mainnet, Base và Sonic bị ảnh hưởng nặng nề bởi sự cố lan rộng của Balancer. Báo cáo loại bỏ hoàn toàn các thất bại của sàn giao dịch tập trung. Vụ trộm đơn lẻ lớn nhất trong năm, vụ hack Bybit trị giá 1,5 tỷ USD mà FBI quy cho Triều Tiên, được coi là thất bại về lưu ký chứ không phải giao thức.

Trên cơ sở tổn thất so với TVL, tầng an toàn nhất trong số các hệ sinh thái lớn là Ethereum ở mức khoảng 0,42%, Solana ở mức 0,42% và BNB Chain ở mức 0,33%. Ba hệ sinh thái DeFi lớn nhất này cho thấy quy mô và bảo mật đã được cải thiện cùng nhau.

Một tổn thất hiện có thể xảy ra trong một ứng dụng mang theo lỗ hổng được nhập từ nơi khác. Sự tiện lợi khiến các ứng dụng đa chuỗi hấp dẫn chính là điều khiến sai lầm này leo thang từ một vấn đề cục bộ thành một vấn đề chung. Tiền mã hoá đã tạo ra các chuỗi riêng biệt một phần để tránh phụ thuộc vào bất kỳ hệ thống nào duy nhất. Việc chạy cùng một số ít giao thức phổ biến trên tất cả chúng đã tái tạo sự tập trung mà các chuỗi đó được tạo ra để thoát khỏi.

Sự cố lớn tiếp theo có thể trông nhỏ vào ngày nó xảy ra, một lỗi logic duy nhất trong một giao thức được triển khai rộng rãi. Quy mô thực sự của nó sẽ chỉ lộ ra khi mọi người nhận ra rằng cùng một mã dễ bị tổn thương đã nằm trên nửa tá mạng trong suốt thời gian đó.

The post DeFi hacks drop 80% but multi-chain flaws emerge as new risk appeared first on TheCryptoUpdates.