KelpDAO đã hứng chịu một cuộc tấn cầu nối xuyên chuỗi giá 292 triệu đô la, và rủi ro lan sang Aave , khiến tổng giá trị tài sản khóa vị thế DeFi bốc hơi 13 tỷ đô la trong vòng 48 giờ.
Nếu bạn gửi USDC vào thị trường tiền tệ và chỉ kiếm được lợi nhuận 5%, vấn đề cốt lõi thực sự không phải là liệu DeFi có rủi ro hay không, mà là liệu lợi nhuận bạn nhận được có tương xứng với rủi ro bạn chấp nhận hay không.
Bài viết này sẽ phân tích vấn đề này bằng cách sử dụng logic định giá trái phiếu.
Hai tuần trước, tin tặc đã đánh cắp 292 triệu đô la từ KelpDAO. Số rsETH bị đánh cắp sau đó được gửi trở lại vào Aave V3 làm tài sản thế chấp, trực tiếp khiến Aave phải gánh nợ xấu khoảng 196 triệu đô la. Chỉ trong ba ngày, tổng giá trị tài sản khóa vị thế Aave đã giảm mạnh từ 26,4 tỷ đô la xuống còn 17,9 tỷ đô la.
Hai tuần trước đó, Drift Protocol, một phần của hệ sinh thái Solana , đã chịu tổn thất 285 triệu đô la do một cuộc tấn công kỹ thuật xã hội nhắm vào private key của quản trị viên do tin tặc Triều Tiên thực hiện. Cuộc tấn công này đã được lên kế hoạch từ mùa thu năm 2025.
Hai sự cố an ninh mạng lớn, xảy ra chỉ cách nhau ba tuần, đã gây ra tổng thiệt hại lên tới 577 triệu đô la. Bị ảnh hưởng bởi rủi ro rút tiền ồ ạt khỏi thị trường vay mượn USDC của Aave , tỷ lệ sử dụng đã đạt 99,87% trong bốn ngày liên tiếp, và lãi suất tiền gửi tăng vọt lên 12,4%. Nhà kinh tế trưởng của Circle, Gordon Liao, thậm chí đã đưa ra Đề án quản trị nhằm tăng gấp bốn lần giới hạn vay mượn để giảm bớt nhu cầu rút tiền.
Một tháng trước, lượng lớn người dùng đã gửi stablecoin vào thị trường tiền điện tử DeFi, chỉ thu về lợi nhuận hàng năm từ 4% đến 6%.
Giờ đây, mọi người cần phải đối mặt với một câu hỏi cốt lõi: Liệu cách định giá tỷ suất lợi nhuận này có hợp lý hay không? Vài tuần trước sự cố KelpDAO, Santiago R Santos đã nêu câu hỏi này trên podcast của Blockworks: Trong DeFi, chúng ta từ lâu đã chấp nhận rủi ro cao nhưng chưa bao giờ nhận được sự bù đắp rủi ro tương xứng. Trong tương lai, mức chênh lệch rủi ro hợp lý cho tài sản khác nhau cần được định nghĩa lại.
Tỷ suất lợi nhuận của tất cả các trái phiếu doanh nghiệp được cấu thành từ nhiều lớp bù rủi ro. Công thức định giá cốt lõi như sau:
• Tỷ suất lợi nhuận= Rf + [PD x LGD] + Phần rủi ro+ Thanh khoản thanh khoản
Rf là lãi suất phi không rủi ro, dựa trên lợi suất tỷ suất lợi nhuận kho bạc Hoa Kỳ có thời hạn tương ứng.
PD × LGD thể hiện tổn thất dự kiến = xác suất vỡ nợ × tổn thất do vỡ nợ, trong đó tổn thất do vỡ nợ = 1 – tỷ lệ thu hồi tài sản. Phần bù rủi ro bù đắp cho những bất trắc vượt quá tổn thất dự kiến; ngay cả khi hai tài sản có PD và LGD giống hệt nhau, giá của chúng vẫn sẽ khác nhau nếu kết quả rủi ro biến động trong các phạm vi khác nhau. Phần thanh khoản đề cập đến các chi phí phát sinh thêm khi tài sản được bán với giá chiết khấu hoặc khi thoái vị thế giữ.
Dựa trên dữ liệu lịch sử dài hạn của Moody's từ năm 1920, các chỉ số tham chiếu sau đây tham khảo :
• Tỷ lệ vỡ nợ hàng năm dài hạn đối với trái phiếu hạng đầu cơ của Mỹ là 4,5%, với mức trung bình 12 tháng gần đây là 3,2%, và dự kiến sẽ tăng lên 4,1% trong quý đầu tiên năm 2026.
• Tỷ lệ thu hồi trung bình lịch sử của trái phiếu lợi nhuận cao không có bảo đảm bậc cao là khoảng 40%, tương ứng với tỷ lệ tổn thất do vỡ nợ khoảng 60%.
• Mức lỗ dự kiến hàng năm dài hạn của trái phiếu lợi nhuận cao: 4,5% × 60% = 2,7%;
Trong lĩnh vực cho vay quỹ đầu tư tư nhân, KBRA dự báo tỷ lệ vỡ nợ đối với vay mượn trực tiếp sẽ ở mức 3,0% vào năm 2026, với tỷ lệ thu hồi trung bình khoảng 48% đối với các trường hợp vỡ nợ trong giai đoạn 2023–2024.
• Tỷ lệ thu hồi nợ lịch sử đối với các khoản vay có bảo đảm đòn bẩy cấp cao dao động từ 65% đến 75%.
Hãy cùng xem xét các số liệu hiện tại. Tỷ suất lợi nhuận trái phiếu kho bạc Mỹ kỳ hạn 10 năm đã đóng cửa ở mức 4,29% vào thứ Tư tuần trước. Chúng tôi cũng đã trích xuất mức chênh lệch điều chỉnh của quyền chọn sản phẩm ICE Bank of America All-Trust cho tháng 4 năm 2026.
Nguyên tắc định giá rất rõ ràng và hợp lý: dọc theo các bậc vốn từ trái phiếu chính phủ, trái phiếu hạng đầu tư, trái phiếu hạng đầu cơ, đến tài sản bất động sản thương mại lần , tỷ suất lợi nhuận tăng song song để bù đắp cho xác suất vỡ nợ ngày càng tăng và quy mô lỗ vốn ngày càng lớn.
Tỷ suất lợi nhuận vay mượn trực tiếp quỹ đầu tư tư nhân vẫn duy trì ở mức khoảng 9%, không phải vì người vay có tỷ lệ vỡ nợ cao hơn, mà vì tài sản quỹ đầu tư tư nhân phi tiêu chuẩn có thanh khoản cực kỳ thấp và phí thanh khoản đáng kể.
Ngược lại, nhìn vào thị trường DeFi: trước sự cố KelpDAO, lãi suất tiền gửi USDC của Aave vào khoảng 5,5%, mức giá nằm giữa trái phiếu hạng đầu tư và trái phiếu lợi nhuận cao hạng B. Trong khi đó, Morpho, dựa trên kho tiền được quản lý chặt chẽ và quá trình sàng lọc chủ động, cung cấp tỷ suất lợi nhuận khoảng 10,4%. Hai con số này không thể đồng thời phản ánh chính xác cùng một rủi ro tiềm tàng.
Các quy trình xử lý vỡ nợ tín dụng truyền thống rất tốn thời gian và rườm rà. Người vay không trả lãi, chủ sở hữu trái phiếu kích hoạt điều khoản đẩy nhanh thu hồi nợ, các công ty tái cấu trúc, tài sản bị thanh lý và xử lý, và việc thu hồi tài sản được đàm phán – một quá trình kéo dài và cần nhiều thương lượng.
Tuy nhiên, DeFi thiếu cơ chế tái cấu trúc nợ, và mối đe dọa chính đến từ các cuộc tấn công vào giao thức, được chia thành ba chế độ lỗi hoàn toàn khác nhau, mỗi chế độ có đặc điểm lỗ vốn riêng biệt.
Các lỗ hổng trong mã nguồn, chẳng hạn như tấn công tái nhập, kiểm tra đối số không hợp lệ và thiếu kiểm soát quyền truy cập, có thể dẫn đến việc đánh cắp tiền điện tử. Kẻ tấn công có thể trực tiếp rút hết tiền điện tử trong quỹ. Dữ liệu lịch sử cho thấy các cuộc tấn công vào giao thức do các hacker Mũ trắng thực hiện có tỷ lệ phục hồi trung bình chỉ từ 5%–15%; nếu có sự tham gia của một nhóm hacker cấp quốc gia Triều Tiên, tỷ lệ phục hồi gần như bằng không.
Việc thu hồi toàn bộ 611 triệu đô la bị đánh cắp từ Poly Network năm 2021 là một trường hợp đặc biệt. 625 triệu đô la bị đánh cắp Ronin và 325 triệu đô la bị đánh cắp từ Wormhole cuối cùng đã được nhóm dự án và nhà tạo lập thị trường tự bù đắp toàn bộ. Đây không phải là việc thu hồi tài sản dựa trên thị trường mà về cơ bản là bồi thường cho cổ đông.
Việc thao túng giá cả một cách độc hại thông qua các nhóm giao dịch phi tập trung có tính thanh thanh khoản thấp có thể tạo ra nợ xấu giả tạo; hoặc kẻ tấn công có thể tích trữ token quản trị và thông qua Đề án độc hại để rút cạn quỹ công. Khoản lỗ 182 triệu đô la mà Beanstalk phải gánh chịu do một cuộc tấn công quản trị vào năm 2022 là một rủi ro điển hình. Mặc dù một số tổn thất có thể được giảm thiểu thông qua sự can thiệp của giao thức, tài sản trái quyền do người cho vay nắm giữ thường trở thành các vị thế giữ token vô giá trị.
Lần KelpDAO thuộc loại này, đại diện cho mô hình rủi ro nguy hiểm nhất và khó kiểm toán toán nhất. Giao thức A phát hành phái sinh staking thanh khoản/ reStake có tính thanh khoản cao, Giao thức B chấp nhận tài sản làm tài sản thế chấp, và Giao thức C chịu trách nhiệm kết nối và chuyển giao tài sản xuyên Chuỗi .
Một cuộc tấn công vào bất kỳ mắt xích nào trong Chuỗi sẽ gây ra sự sụp đổ dây chuyền của tất cả vị thế giữ ở phía hạ nguồn. Kẻ tấn công không cần phải xâm phạm chính Aave ; chỉ cần phá vỡ giao thức rsETH cơ bản ở phía thượng nguồn sẽ trực tiếp buộc những người cho vay Aave phải gánh chịu nợ xấu khổng lồ.
Ba loại rủi ro này có những đặc điểm chung, đồng thời cũng là những điểm khác biệt cốt lõi giữa DeFi và thị trường tín dụng truyền thống: rủi ro bùng phát xảy ra trong vài phút, chứ không phải vài quý. Không có đàm phán hợp đồng, không có tài trợ phá sản để bù đắp tổn thất; hợp đồng thông minh được thực thi tự động, và mã nguồn là quy tắc. Một khi lỗ hổng xuất hiện trong mã nguồn, lỗ vốn gần như không thể phục hồi hoàn toàn. Nợ xấu rsETH của Aave V3 đã tăng vọt từ 0 lên 196 triệu đô la chỉ trong khoảng bốn giờ. Ngược lại, chu kỳ trung bình từ cảnh báo rủi ro đến tái cấu trúc nợ đối với trái phiếu lợi nhuận cao truyền thống được xếp hạng BB kéo dài tới 14 tháng.
Báo cáo giữa năm của Chainalysis vào tháng 12 năm 2025 đã tiết lộ một loạt dữ liệu mâu thuẫn: từ đầu năm 2024 đến tháng 10 năm 2025, tổng tài sản khóa vị thế DeFi đã phục hồi từ 40 tỷ đô la lên mức đỉnh 175 tỷ đô la, nhưng lỗ vốn các cuộc tấn công mạng nhắm vào DeFi vẫn ở mức thấp như năm 2023.
Vào năm 2025, tổng số tài sản crypto bị đánh cắp lên tới 3,4 tỷ đô la, với rủi ro tập trung cao độ vào các vụ trộm từ các nền tảng giao dịch tập trung và ví cá nhân.
Chỉ nhìn vào dữ liệu này, người ta dễ dàng nhầm lẫn rằng bảo mật DeFi đang liên tục được cải thiện. Tuy nhiên, những bằng chứng khách quan vẫn tồn tại: ngành kiểm toán hợp đồng đang trưởng thành, các nền tảng săn tìm lỗi như Immunefi bảo vệ hơn 100 tỷ đô la tài sản của người dùng, và cầu nối xuyên chuỗi đang dần dần giới thiệu các cơ chế khóa thời gian và xác minh bên long.
Nhưng thực tế năm 2026 lại hoàn toàn trái ngược: Drift mất 285 triệu đô la vào ngày 1 tháng 4, và KelpDAO mất 292 triệu đô la vào ngày 18 tháng 4. Hai cuộc khủng hoảng tài chính lớn trong vòng 18 ngày, cả hai đều nhắm vào các lỗ hổng về khả năng kết hợp chứ không phải bản thân giao thức cho vay .
Dựa trên giá tài sản khóa vị thế trung bình hàng năm, tỷ lệ lỗ vốn hàng năm của DeFi trong những năm gần đây được tính như sau:
• Năm 2024: Tổng thiệt hại trong lĩnh vực DeFi ước tính khoảng 500 triệu đô la, với khóa vị thế trung bình là 75 tỷ đô la → tỷ lệ lỗ vốn hàng năm là 0,67%.
• Năm 2025: Khoản lỗ ước tính khoảng 600 triệu đô la, khóa vị thế trung bình là 120 tỷ đô la → Tỷ lệ lỗ vốn hàng năm là 0,50%
• 2026 (Tính toán hàng năm): Thiệt hại từ chỉ hai sự kiện trong quý thứ hai đã lên tới 577 triệu đô la, với khóa vị thế trung bình là 95 tỷ đô la. → Nếu mô hình rủi ro tiếp tục, tỷ lệ lỗ vốn hàng năm sẽ đạt 2,0%–2,5%.
Dựa trên tính toán này, xác suất vỡ nợ hàng năm của việc kinh doanh vay mượn DeFi hàng đầu ước tính khoảng 1,5%–2,0%. Kết hợp với tỷ lệ tổn thất vỡ nợ 90% trong các cuộc tấn công cực đoan (nếu không có cứu trợ từ bên ngoài, tỷ lệ thu hồi điển hình từ các token bị đánh cắp chỉ là 5%–15%), tổn thất dự kiến hàng năm là 1,35%–1,80%. Con số này vượt qua mức của trái phiếu lợi lợi nhuận cao truyền thống và chưa tính đến phí bảo hiểm rủi ro, chiết khấu thanh khoản, rủi ro pháp lý hoặc rủi ro lây lan xuyên Chuỗi .
Dựa trên logic định giá trái phiếu, chúng tôi đã tính toán tỷ suất lợi nhuận hợp lý của các khoản tiền gửi stablecoin hàng đầu trong lĩnh vực DeFi: so sánh với các giao thức mạng chính mạng chủ Ethereum(Aave, Compound ), các sản phẩm vay mượn USDC được thế chấp vượt mức hoàn toàn và nhắm mục tiêu đến người vay nhà đầu tư bán lẻ và người vay định lượng.
Xây dựng tỷ suất lợi nhuận trị hợp lý dựa trên tỷ suất lợi nhuận kho bạc kỳ hạn 10 năm làm chuẩn.
Sử dụng trái phiếu Mỹ kỳ hạn 10 năm làm chuẩn, phí bảo hiểm được cộng dồn từng lớp một:
• Chỉ số tham chiếu không rủi ro(trái phiếu Mỹ kỳ hạn 10 năm): +4,30%
• Mức lỗ cố định dự kiến: +1,50%
Mức phí bảo hiểm rủi ro thao túng oracle : +0,75%
• Phí bảo hiểm rủi ro private key cho quản trị viên/người điều hành: +1,00%
• Rủi ro lan truyền danh mục đầu tư giữa các thỏa thuận (rủi ro tương tự Kelp): +1,25%
• Mức bù rủi ro do sự bất đối xứng trong quy định: +1,25%
• Rủi ro đuôi khi bỏ neo giá Stablecoin : +0,50%
• Phần thanh khoản tài sản : +0,50%
• Phần bù rủi ro: +1,50%
Tỷ suất lợi nhuận hàng năm hợp lý và công bằng cuối cùng là 12,55%.
Do đó, lý tưởng nhất là lãi suất hợp lý cho tiền gửi vào stablecoin tuân thủ DeFi hàng đầu không nên thấp hơn 13%. Đối với tài sản có bảo hiểm và dự trữ giao thức như một mạng lưới an toàn, lãi suất có thể được giảm xuống một cách thích hợp; đối với các giao thức có thời gian sử dụng lâu dài, các thị trường mới ra mắt và các tài sản liên quan đến reStake và tài sản cơ sở xuyên Chuỗi , cần có mức phí rủi ro cao hơn.
Trước hết, hãy hướng đến mức thù lao công bằng. Nếu bạn cung cấp USDC cho DeFi với tỷ suất lợi nhuận 5%, bạn thực chất đang chấp nhận mức giá rủi ro tín dụng xếp hạng BB, thậm chí còn cao hơn xếp hạng CCC xét về công nghệ và rủi ro. Các thị trường select-vault kiểu Morpho, với lãi suất từ 9% đến 12%, gần với mức lợi tỷ suất lợi nhuận công bằng hơn, nhưng chúng cũng đặt ra các vấn đề liên quan đến việc lựa chọn người quản lý và tính minh bạch.
Thứ hai, việc cải thiện cấu trúc vốn là vô cùng quan trọng. Cho vay vượt mức được bảo đảm bằng tài sản thế chấp chất lượng cao (ETH, wBTC và LST đã được kiểm chứng), được bổ sung bởi tính năng dự phòng oracle và các lớp bảo hiểm cấp độ giao thức, và không có rủi ro xuyên Chuỗi , mang lại mức phí rủi ro thấp hơn nhiều so với khuôn khổ đã đề cập ở trên. Những tài sản này thuộc loại "tài sản đầu tư đạt chuẩn" trong không gian DeFi.
Thứ ba, việc đánh giá đúng mức rủi ro đuôi là vô cùng quan trọng. Lỗ hổng bảo mật của KelpDAO không phải là một sự kiện "thiên nga đen", mà là một dạng lỗi có thể dự đoán được của các nguyên tắc reStake tiền điện tử liên quan đến kiến trúc đa chuỗi ngày càng dễ bị tổn thương. Tình huống với Drift cũng tương tự, chỉ khác ở các bên tham gia.
Công ty đã ghi nhận lỗ vốn vĩnh viễn 577 triệu đô la trong quý 2 năm 2026. Một danh mục đầu tư DeFi tỷ suất lợi nhuận 5,5% hoàn toàn không thể bù đắp được rủi ro các cú sụp đổ cực độ và phản ứng dây chuyền vỡ nợ.
DeFi không phải là không thể đầu tư; chỉ là hiện tại giá của nó đang bị định giá sai. Cơ hội phân bổ vốn ở cấp độ tổ chức vẫn tồn tại, nhưng nhà đầu tư phải yêu cầu mức phí rủi ro hợp lý hoặc tiến hành thẩm định độ sâu từng giao thức riêng lẻ bằng các tiêu chuẩn nghiêm ngặt của cho vay quỹ đầu tư tư nhân .
Đơn giản chỉ gửi tiền vào các thị trường tiền điện tử hàng đầu và thụ động chấp nhận các khoản đầu tư lợi nhuận thấp là một chiến lược đầu tư chênh lệch quản lý tài sản rủi ro, được ngụy trang dưới dạng đầu tư không rủi ro .
Các báo cáo liên quan
Bộ Ngân khố Hoa Kỳ công bố báo cáo rủi ro DeFi đầu tiên, tiết lộ các ưu tiên quản lý quan trọng.
