Sau Kelp, DeFi Đối Mặt Với Vấn Đề AI Mà Nó Chưa Bắt Đầu Định Giá

Tài chính phi tập trung vừa trải qua hai tuần tồi tệ nhất trong lịch sử. Vụ rút cạn 292 triệu USD từ cầu nối restaked-ether của Kelp DAO vào cuối tuần, ngay sau vụ tấn công Drift Protocol trị giá 285 triệu USD vào ngày 1 tháng 4, đã đẩy tổng thiệt hại DeFi trong tháng 4 vượt quá 580 triệu USD — và kích hoạt dòng chuyển ra 6 tỷ USD chỉ riêng từ Aave khi những người gửi tiền vội vã tìm lối thoát.

Về phần Bitcoin, hầu như không dao động, giao dịch gần 75.000 USD khi sự lây lan diễn ra. Nhưng sự bình tĩnh của ngành che giấu một vấn đề sâu xa hơn. Kẻ tấn công Kelp không phá vỡ mật mã hay tìm thấy lỗi zero-day trong hợp đồng thông minh. Họ khai thác lựa chọn cấu hình trong trình xác minh cross-chain, lừa lớp nhắn tin của LayerZero cho phép một chỉ thị giả mạo đi qua, và đúc 116.500 rsETH từ hư không trên Ethereum. Các hợp đồng, như một bài phân tích hướng đến nhà phát triển đã nói, không bị phá vỡ — lớp xác minh mới bị. Sự phân biệt đó quan trọng, vì thế hệ kẻ tấn công tiếp theo sẽ không cần lỗi cấu hình. Họ sẽ có AI.

Aave giảm mạnh theo tin tức, Nguồn: BNC

Giai đoạn thù địch và lợi thế đang mỏng dần

Bức tranh trước mắt rất xấu. Vụ tấn công Kelp hiện là vụ hack DeFi lớn nhất năm 2026, vượt Drift khoảng 7 triệu USD. Các vụ rút cạn nhỏ hơn tại CoW Swap, Zerion, Rhea Finance và Silo Finance đã xảy ra trong những tuần giữa chừng. Công ty bảo mật blockchain Cyvers ước tính tổng thiệt hại crypto Q1 khoảng 482 triệu USD; con số đó đã lỗi thời nặng nề. Tổng giá trị khóa của Aave giảm từ 26,4 tỷ USD vào ngày 18 tháng 4 xuống dưới 20 tỷ USD vào sáng Chủ nhật theo giờ giao dịch Hoa Kỳ, theo DefiLlama, và token AAVE mất hơn 18% trong cuối tuần khi người gửi tiền cố gắng vay để thoát khỏi thị trường rsETH bị đóng băng.

Stani Kulechov, người sáng lập Aave, nhanh chóng lưu ý rằng các hợp đồng của chính giao thức không bị xâm phạm. Điều đó đúng, và cũng là sự an ủi lạnh lẽo: Aave chấp nhận rsETH làm tài sản thế chấp, tài sản đảm bảo cho tài sản thế chấp đó bốc hơi trên một cầu nối mà Aave không kiểm soát, và khoảng 196 triệu USD nợ xấu hiện đang nằm trong nền tảng cho vay lớn nhất trong DeFi. Các giao thức bao gồm SparkLend, Fluid và earnETH của Lido đã tạm ngưng thị trường rsETH hoặc tạm dừng nạp mới trong khi họ xác định mức độ tiếp xúc của mình.

Bài học rộng hơn mà các nhà xây dựng rút ra là cấu trúc. Bảo mật cross-chain linh hoạt, mô-đun — nơi các dự án riêng lẻ chọn bộ xác minh của riêng họ — có thể sụp đổ thành một điểm lỗi duy nhất nếu cấu hình trượt. "Chúng tôi quan sát các nỗ lực khai thác lặp lại, giống hệt nhau trên nhiều hợp đồng cùng lúc," Stephen Ajayi, trưởng nhóm kỹ thuật kiểm toán dapp tại công ty bảo mật blockchain Hacken, nói với DL News đầu tháng này, mô tả một mô hình mà ông cho là phù hợp với việc thăm dò các hợp đồng DeFi được điều khiển bởi tập lệnh, tác nhân.

AI đã làm gì trong phòng thí nghiệm

Ngôn ngữ của Ajayi quan trọng. Nỗi sợ trong giới bảo mật DeFi không còn là kẻ tấn công cuối cùng sẽ tự động hóa. Đó là họ đã làm như vậy, và rằng kinh tế của cuộc chạy đua vũ trang đã lặng lẽ đảo ngược.

Nhóm red team của Anthropic đã công bố nghiên cứu vào cuối năm ngoái, trong đó các mô hình tiên tiến — Claude Opus 4.5, Claude Sonnet 4.5 và GPT-5 của OpenAI — được thả lỏng trên một điểm chuẩn gồm 405 hợp đồng thông minh thực tế trước đây bị khai thác từ năm 2020 đến 2025. Các tác nhân cùng nhau tạo ra các lỗ hổng hoạt động trị giá 4,6 triệu USD chống lại các hợp đồng có ngày sau thời điểm cắt đào tạo của chúng. Đẩy xa hơn, các mô hình tương tự được hướng đến 2.849 hợp đồng mới triển khai không có lỗ hổng đã biết và tìm thấy hai lỗi mới, tạo ra các lỗ hổng trị giá 3.694 USD với chi phí suy luận 3.476 USD. Các nhà nghiên cứu mô tả kết quả là một bằng chứng khái niệm rằng khai thác tự động, có lợi nhuận hiện khả thi về mặt kỹ thuật.

Anthropic cho thấy các mô hình AI ngày càng tìm thấy nhiều lỗ hổng DeFi hơn, Nguồn: Anthropic

Một điểm chuẩn riêng biệt từ công ty bảo mật AI Cecuro, bao gồm 90 hợp đồng DeFi bị khai thác từ cuối năm 2024 đến đầu năm 2026, phát hiện rằng một tác nhân bảo mật được xây dựng có mục đích đã phát hiện lỗ hổng trong 92% trong số chúng, so với 34% cho một tác nhân mã hóa mục đích chung chạy cùng mô hình cơ bản. Chi phí trung bình của một lần quét hỗ trợ AI, theo nghiên cứu, hiện vào khoảng 1,22 USD cho mỗi hợp đồng. Khả năng khai thác, theo cùng một thước đo, dường như đang tăng gấp đôi cứ mỗi 1,3 tháng.

Đó là con số sẽ làm rung chuyển các nhà phân bổ. Một thị trường trong đó mọi hợp đồng trực tiếp nắm giữ tiền có thể được thăm dò với vài xu, bởi phần mềm ngày càng tốt hơn, không phải là thị trường trong đó một cuộc kiểm toán một lần trước khi triển khai cung cấp bảo vệ có ý nghĩa.

Mô hình Anthropic sẽ không bán

Rủi ro không chỉ là lý thuyết, vì những gì đã nằm trong các phòng thí nghiệm. Claude Mythos Preview của Anthropic — được tiết lộ đầu tháng này và giới hạn cho một liên minh khoảng 40 đối tác doanh nghiệp và chính phủ được thẩm định trong Dự án Glasswing — đã xác định hàng nghìn lỗi zero-day chưa được phát hiện trước đây trong mọi hệ điều hành chính và mọi trình duyệt chính, bao gồm một lỗi 27 năm tuổi trong OpenBSD đã sống sót qua hàng triệu lần quét trước đó. BNC đã chi tiết tại thời điểm đó tại sao khả năng đó là mối quan tâm cấp bách hơn cho DeFi so với cuộc tranh luận về điện toán lượng tử kéo dài: Cơ sở mã DeFi là nguồn mở theo thiết kế, khiến chúng chính xác là loại mục tiêu mà các mô hình lớp Mythos có thể đọc từ đầu đến cuối với tốc độ máy.

Cách định khung của chính Anthropic rất rõ ràng. Công ty từ chối phát hành Mythos ra công chúng và tuần trước đã giao một mô hình thương mại, Claude Opus 4.7, được mô tả rõ ràng là "ít có khả năng rộng rãi hơn" trong các nhiệm vụ an ninh mạng so với hệ thống được giữ bên trong Glasswing. Đó là sự nhượng bộ rằng một bản phát hành công khai sẽ chuyển dịch cân bằng kẻ tấn công-người phòng thủ theo hướng sai.

Định giá sự bất đối xứng

Tư thế bảo mật của DeFi chưa theo kịp. Năng lực bảo hiểm on-chain vẫn được đo bằng hàng trăm triệu USD, so với một ngành có tổng giá trị khóa khoảng 100 tỷ USD. Thị trường kiểm toán không thể theo kịp khối lượng triển khai hợp đồng, và khả năng kết hợp tiếp tục mở rộng bề mặt mà người phòng thủ phải bao phủ. Các cơ quan quản lý, bao gồm EU theo MiCA, đã bắt đầu chính thức hóa các yêu cầu công bố, nhưng chưa có cơ quan nào bắt buộc thử nghiệm đối kháng liên tục hoặc thực thi thời gian chạy cho các giao thức TVL cao.

Các nhà xây dựng đáng lắng nghe đang hội tụ vào cùng một danh sách ngắn. Đối xử với mọi nâng cấp và tích hợp như một bề mặt tấn công mới. Thực hiện thử nghiệm đối kháng liên tục thay vì một mốc kiểm toán một lần. Phân đoạn ranh giới tin cậy để một sự thỏa hiệp duy nhất — dù là trình xác minh được cấu hình sai, như tại Kelp, hay một lỗ hổng hỗ trợ mô hình ngày mai — không thể lan tỏa qua ngăn xếp cho vay. Và định giá tư thế bảo mật vào các quyết định phân bổ theo cách các nhà quản lý tín dụng định giá rủi ro vỡ nợ.

Hậu quả Kelp sẽ giải quyết theo cách này hay cách khác. Một phần trăm nào đó của ether bị đánh cắp có thể được thu hồi, và dự trữ Umbrella của Aave có thể buộc phải hấp thụ thâm hụt. Người gửi tiền cuối cùng sẽ quay lại. Điều sẽ không đảo ngược là đường cong chi phí. Lần đầu tiên, một đối thủ có năng lực không còn cần một nhóm nghiên cứu, một lỗi zero-day và ngân sách sáu con số để rút cạn một giao thức DeFi. Họ cần vài trăm USD tín dụng suy luận và một danh sách mục tiêu.

Câu hỏi của ngành cho phần còn lại của năm 2026 là liệu các biện pháp phòng thủ của nó có thể tăng trưởng nhanh hơn khả năng đó hay không.