Tài chính phi tập trung đã trở nên an toàn hơn rất nhiều trong sáu năm qua, và một đánh giá mới về các khoản lỗ của giao thức từ năm 2020 đến năm 2025 đã chứng minh điều đó bằng một con số khá lớn.
Tổng thiệt hại trong ngành DeFi đạt đỉnh điểm ở mức 2,62 tỷ đô la vào năm 2022 và giảm khoảng 80% xuống còn 534 triệu đô la vào năm 2024. Các vụ tấn công cầu nối từng gây chấn động với thiệt hại hàng tỷ đô la giờ chỉ chiếm một phần nhỏ trong tổng số hàng năm, và các vụ tấn công điển hình hiện nay gây ra thiệt hại chỉ bằng khoảng một phần tư so với thời kỳ đỉnh điểm.
Mặc dù đây chắc chắn là tin tốt cho ngành công nghiệp tiền điện tử, nhưng vẫn còn khá Bit rủi ro; rủi ro chỉ xuất hiện ở một điểm khác. Các giao thức lớn hiện nay thường triển khai cùng một mã nguồn trên Ethereum, Base, Arbitrum, Polygon, OP Mainnet và Sonic, vì vậy một lỗi duy nhất giờ đây có thể làm cạn kiệt tiền trên mọi mạng lưới đang chạy nó cùng một lúc, và đó có thể là hình thức mà vấn đề hệ thống tiếp theo của tiền điện tử sẽ gặp phải.
Chúng ta đã chứng kiến điều này vào tháng 11 năm ngoái, khi các pool ổn định có thể kết hợp V2 của Balancer bị rút cạn khoảng 128 triệu đô la chỉ trong vòng chưa đầy nửa giờ trên sáu blockchain cùng lúc.
Theo Check Point Research, kẻ tấn công đã khai thác một lỗ hổng về độ chính xác số học trong thuật toán bất biến của các pool, điều chỉnh số dư Token đến ranh giới làm tròn và sau đó thực hiện chuỗi các giao dịch hoán đổi theo lô cho đến khi những lỗi nhỏ đó tích lũy thành một lần rút toàn bộ token.
Các hợp đồng có cùng lỗ hổng đã được triển khai trên Ethereum, Arbitrum, Base, Polygon, Sonic và OP Mainnet, vì vậy cuộc tấn công đã lan đến tất cả chúng cùng một lúc vì lỗi được nhúng trong chính mã nguồn, và mã nguồn đó đã được sao chép khắp mọi nơi.
Như CryptoSlate đã đưa tin vào thời điểm đó, mười một cuộc kiểm toán riêng biệt đã không phát hiện ra lỗi này, điều đó cho thấy loại lỗi này đã trở nên tinh vi đến mức nào và tại sao nó khó dự đoán hơn nhiều so với các cuộc tấn công trước đây.
Các vụ tấn công mạng ngày càng nhỏ hơn khi các chuỗi tấn công nhân lên.
Điểm đáng khích lệ trong dữ liệu là các cuộc tấn công giá rẻ, dễ lặp lại từng đặc trưng cho những năm đầu của tiền điện tử hầu hết đã bị loại bỏ, và tổng thiệt hại đã giảm 80% trong hai năm, ngay cả khi Tổng giá trị khóa (TVL) của DeFi tiếp tục tăng. Mức thiệt hại trung bình mỗi vụ tấn công cũng giảm mạnh, từ 6 triệu đô la năm 2022 xuống còn 1,5 triệu đô la năm 2025, giảm 75%.
Số lượng các sự cố riêng biệt thực tế đã tăng lên 83 vào năm 2025, vì vậy số vụ tấn công mạng đang tăng lên trong khi mỗi vụ gây ra thiệt hại ít hơn nhiều, điều này phản ánh khá chính xác sự trưởng thành của lĩnh vực an ninh mạng.
Các cầu nối (bridge) là điểm yếu chí mạng nổi bật nhất trong năm 2021 và 2022, và chỉ riêng trong năm thứ hai, chín vụ tấn công cầu nối đã gây thiệt hại 1,9 tỷ đô la. Những vụ hack này thực sự là một trong những thời điểm tồi tệ nhất của tiền điện tử, riêng vụ tấn công cầu nối Ronin đã gây thiệt hại 624 triệu đô la.
CryptoSlate đã theo dõi dòng tiền này on-chain khi nó di chuyển qua Tornado Cash, tiếp theo là Binance Bridge với 570 triệu đô la, Wormhole với 326 triệu đô la, Nomad với 190 triệu đô la, Harmony với 100 triệu đô la và Qubit với 80 triệu đô la.
Nó chiếm 73% tổng số lỗ hổng DeFi năm đó, và đến năm 2025, thị phần của cầu nối đã giảm xuống còn 3%, nhờ các cơ chế xác thực được cải tiến, các bộ xác thực phi tập trung và sự chuyển dịch rộng rãi hơn sang nhắn tin xuyên chuỗi gốc.
Các cuộc tấn công cho vay chớp nhoáng cũng đi theo con đường suy giảm tương tự. Chúng chiếm 54% tổng số thiệt hại vào năm 2020 khi chúng là kỹ thuật DeFi đặc trưng, và đến năm 2025, con số này giảm xuống dưới 1%, bởi vì các giao thức đã áp dụng các biện pháp phòng thủ được thiết kế riêng cho kiểu tấn công này: giá trung bình theo thời gian, tích hợp oracle Chainlink , các cơ chế bảo vệ chống tái nhập và các thiết kế giả định rằng kẻ tấn công có thể thao túng giá trong một giao dịch nguyên tử duy nhất.
Các vụ xâm phạm khóa riêng tư cũng chứng kiến sự sụt giảm tương tự, từ 28,7% tổng số vụ mất mát năm 2022 xuống còn 8,1% năm 2025. Mỗi loại hình này đều giảm vì cùng một lý do cơ bản, đó là ngành công nghiệp đã nhận ra một mô hình lặp đi lặp lại và xây dựng một giải pháp tiêu chuẩn cho nó, và như báo cáo cuối năm 2025 của CryptoSlate đã chỉ ra, những giải pháp đó phần lớn vẫn hiệu quả.
Những gì còn lại sẽ khó phòng thủ hơn.
Việc loại trừ các cuộc tấn công chung chung đã để lại một loại hình khó khăn hơn nhiều: vào năm 2025, 89,1% tổn thất DeFi đến từ các lỗ hổng logic giao thức, nghĩa là các lỗi ở cấp độ mã cụ thể liên quan đến cách thiết kế của một ứng dụng. Một cuộc tấn công cầu nối liên quan đến các giả định về độ tin cậy có thể nhận biết được, và một cuộc tấn công cho vay nhanh là một phần của nhóm các kỹ thuật đã biết, vì vậy cả hai đều có thể được phòng thủ bằng các mẫu có thể tái sử dụng.
Tuy nhiên, lỗi logic giao thức mang tính chất riêng biệt. Nó phát sinh từ các phép toán, kiểm soát truy cập hoặc lựa chọn khả năng kết hợp cụ thể của một cơ sở mã duy nhất, khiến việc phòng chống một cách có hệ thống trở nên khó khăn, bởi vì mỗi trường hợp là một bài toán riêng và có rất ít điểm chung với trường hợp trước đó.
Việc triển khai Multi-Chain là yếu tố biến một trong những lỗi bảo mật nhỏ này thành một cuộc khủng hoảng toàn diện. Báo cáo của ImmuneFi đã chỉ ra mối liên hệ trực tiếp từ sự cố Multi-Chain mang tính bước ngoặt năm 2021, vụ khai thác Poly Network trị giá khoảng 611 triệu đô la, đến Balancer vào năm 2025.
Poly Network gặp sự cố ở điểm kết nối giữa các hệ thống, kiểu điểm nghẽn mà các cầu nối tạo ra, trong khi Balancer lại gặp lỗi tương tự trên các mạng chia sẻ mã, đường dẫn người ký và giả định xác minh. Một khi chuỗi trở thành một phần của sơ đồ triển khai mặc định cho các giao thức chính, nó sẽ hấp thụ toàn bộ bề mặt rủi ro của mọi thứ mà nó lưu trữ, bất kể cơ sở hạ tầng của chính nó có vững chắc đến đâu.
Điều đó làm thay đổi cách bạn đánh giá mức độ an toàn của một hệ sinh thái, và phương pháp của báo cáo cho thấy điều này bằng cách quy toàn bộ thiệt hại từ một cuộc tấn công Multi-Chain cho mỗi chuỗi bị ảnh hưởng, dựa trên logic rằng những người tham gia trên cả sáu mạng lưới đều phải chịu toàn bộ tác động.
Điểm bất lợi là số liệu về các vụ tấn công mạng năm 2025 đối với Polygon, OP Mainnet, Base và Sonic bị ảnh hưởng nặng nề bởi hiệu ứng dây chuyền Balancer. Báo cáo cũng loại bỏ hoàn toàn các lỗi Sàn tập trung (CEX) , đó là lý do tại sao vụ trộm lớn nhất năm, vụ tấn công Bybit trị giá 1,5 tỷ đô la mà FBI cho là do Triều Tiên gây ra, được coi là lỗi về quyền kiểm soát chứ không phải lỗi về giao thức.
Xét trên tỷ lệ tổn thất trên tổng giá trị bị khóa (TVL), nhóm an toàn nhất trong số các hệ sinh thái lớn là Ethereum với khoảng 0,42%, tiếp theo là Solana với 0,42% và BNB Chuỗi với 0,33%, ba hệ sinh thái DeFi lớn nhất theo giá trị bị khóa, điều này cho thấy quy mô và bảo mật đang được cải thiện song song chứ không phải bằng cách hy sinh lẫn nhau.
Mặc dù những thay đổi này mang lại lợi ích tốt hơn nhiều cho giao thức trung bình, nhưng chúng lại không tốt cho người dùng thông thường. Giờ đây, tổn thất có thể xảy ra trong một ứng dụng mang lỗi được nhập từ nơi khác, và sự tiện lợi khiến các ứng dụng Multi-Chain trở nên hấp dẫn chính là điều làm cho lỗi này leo thang từ phạm vi cục bộ thành phạm vi chung.
Ngành tiền điện tử đã tạo ra tất cả các chuỗi riêng biệt này một phần để tránh phụ thuộc vào bất kỳ hệ thống duy nhất nào, và điều trớ trêu là việc sử dụng cùng một số giao thức phổ biến trên tất cả các chuỗi đó đã tái tạo lại sự tập trung mà các chuỗi này vốn được thiết kế để tránh.
Sự cố lớn tiếp theo có thể trông nhỏ nhặt vào ngày xảy ra (một lỗi logic đơn lẻ trong một giao thức được triển khai rộng rãi), nhưng chỉ khi mọi người nhận ra rằng cùng một đoạn mã dễ bị tổn thương đó đã tồn tại trên hàng loạt mạng lưới trong suốt thời gian qua thì thì quy mô thực sự của nó mới được bộc lộ.
