Tháng 4 năm 2026, lĩnh vực DeFi đối mặt với cuộc khủng hoảng niềm tin nghiêm trọng nhất trong những năm gần đây. Theo thống kê của các tổ chức như CertiK, trong tháng đó, thiệt hại về an ninh do hacker tấn công, khai thác lỗ hổng gây ra ước tính khoảng 6,34 đến 6,51 tỷ USD, tăng hơn mười lần so với 59,5 triệu USD của tháng 3, lập kỷ lục thiệt hại trong một tháng cao nhất kể từ tháng 3 năm 2022. Điều đáng báo động hơn nữa là trong tháng đó, đã xảy ra tổng cộng 31 vụ tấn công độc lập, gần như trung bình mỗi ngày một vụ, cả về số tiền thiệt hại lẫn tần suất tấn công đều phá vỡ kỷ lục lịch sử của DeFi.

Hai vụ án lớn nằm ở trung tâm của cơn bão này — KelpDAO và Drift Protocol — đã chiếm hơn 90% số tài sản bị đánh cắp trong tháng. KelpDAO bị khai thác lỗ hổng xác thực của cầu nối chuỗi chéo, kẻ tấn công đã vượt qua cơ chế an ninh, tạo ra các token rsETH trị giá 292 triệu USD từ không, rồi dùng các token này làm tài sản thế chấp vay ETH thực trên các nền tảng cho vay như Aave. Hành động này không chỉ khiến Aave đối mặt với khoản nợ xấu tiềm năng gần 200 triệu USD, mà còn gây ra hơn 8 tỷ USD rút khỏi nền tảng trong vòng 24 giờ, TVL giảm khoảng 32%. Sự kiện Drift Protocol ngay sau đó cũng gây sốc: kẻ tấn công đã khai thác thông tin trong sáu tháng, cuối cùng lấy được khóa quản trị, chuyển khoản khoảng 285 triệu USD tài sản. Cả hai vụ việc đều bị cáo buộc có liên quan đến nhóm Lazarus của Triều Tiên, đặc điểm hành vi trên chuỗi của tổ chức này trong chuỗi các cuộc tấn công này rất nhất quán.
Chuỗi khủng hoảng an ninh này không phải là ngẫu nhiên, mà là sự bùng nổ tập trung của mô hình phát triển DeFi lâu dài theo hướng “hiệu quả ưu tiên”. Nó đã phơi bày rõ ràng ba cấp độ rủi ro hệ thống: Thứ nhất, cơ chế xác thực của cầu nối chuỗi chéo tồn tại điểm yếu chết người, kiến trúc xác thực đơn lẻ khiến hàng triệu USD vốn chỉ dựa vào một chìa khóa riêng, trong khi vụ việc Ronin tháng 2022 đã cảnh báo về rủi ro tương tự nhưng ngành vẫn bỏ qua. Thứ hai, các cuộc tấn công xã hội và tấn công dài hạn đang trở thành mối đe dọa mới, phương thức tấn công đã chuyển từ khai thác lỗ hổng mã sang xâm nhập tổng hợp vào quyền hạn nhân sự và quy trình. Thứ ba, khả năng kết hợp của DeFi vừa mở rộng lợi nhuận, vừa đồng thời kết nối rủi ro — một lỗ hổng của một giao thức có thể nhanh chóng lan rộng thành tác động liên kết nhiều giao thức qua chuỗi thế chấp.
Phản ứng dây chuyền trên thị trường cũng rất mạnh mẽ. Toàn bộ lĩnh vực DeFi trong ngắn hạn đã rút khoảng 13 tỷ USD TVL, lượng gửi của Aave giảm 38%, token AAVE giảm từ 15% đến 21%. Dòng vốn rõ ràng chuyển từ các giao thức rủi ro cao sang các nền tảng cho vay trưởng thành hơn hoặc các giải pháp lưu ký tập trung. Ảnh hưởng sâu xa hơn là sự lung lay niềm tin của các tổ chức: JPMorgan đã chỉ rõ rằng các lỗ hổng an ninh liên tục và sự trì trệ trong tăng trưởng TVL đang nghiêm trọng làm giảm sức hút của DeFi đối với các tổ chức. Trong khi đó, Ngân hàng Standard Chartered vẫn giữ quan điểm tích cực về triển vọng dài hạn của thị trường RWA, nhưng cũng thừa nhận rằng cần nâng cấp cấu trúc rủi ro chuỗi chéo như một điều kiện tiên quyết.