Tất cả DeFi có phải đều không an toàn? Các lãnh đạo ngành phản hồi sau cảnh báo của người sáng lập Openzeppelin rằng nhà đầu tư cá nhân nên rời khỏi các blue-chips

Đồng sáng lập Openzeppelin Manuel Aráoz đã khơi dậy tranh luận rộng rãi trong ngành khi cho rằng tài chính phi tập trung (DeFi) không an toàn. Các nhà lãnh đạo trong ngành phản biện rằng cách đóng khung của Aráoz thổi phồng rủi ro, đồng thời chỉ ra rằng bảo mật cho mảng cho vay DeFi đã được cải thiện khoảng 98% kể từ năm 2020.

• Những ý chính:
• • Các bình luận gần đây của đồng sáng lập Openzeppelin Manuel Aráoz đã thổi bùng lại nỗi lo về bảo mật DeFi.
• • CEO 0G Labs Heinrich ghi nhận mức tăng 98% về an toàn cho vay kể từ năm 2020, làm suy yếu các tuyên bố rằng mọi DeFi đều không an toàn.
• • Người hâm mộ Cysic hướng tới mức tăng bảo hiểm gấp 5 lần vào năm 2029, kêu gọi cơ quan quản lý tập trung vào opsec thay vì mã AI.

Chuyển từ kịch sang dữ liệu

Khi đồng sáng lập Openzeppelin và cựu Giám đốc Công nghệ (CTO) Manuel Aráoz mô tả tài chính phi tập trung (DeFi) là hoàn toàn không an toàn, điều đó khiến cả ngành vốn đã chao đảo vì các vụ hack tăng đột biến. Nhấn mạnh vào tính dễ tổn thương này, một phân tích gần đây của công ty bảo mật blockchain Peckshield cho thấy chỉ riêng các vụ khai thác lỗ hổng trên các giao thức xuyên chuỗi đã rút đi 328,6 triệu USD từ đầu năm đến giữa tháng 5.

Các cảnh báo lan truyền của Aráoz đã buộc Openzeppelin phải công khai tách mình khỏi một số khẳng định của ông, nhưng các phát biểu vẫn thành công trong việc khởi động một cuộc tranh luận gay gắt về bảo mật DeFi. Tuy vậy, các nhà phê bình cho rằng cách dùng ngôn ngữ kịch tính chỉ là một nỗ lực tự phục vụ nhằm gieo sợ hãi và gây hoảng loạn. Những người khác, như Leo Fan, nhà sáng lập Cysic, tin rằng cách đóng khung làm suy giảm độ tin cậy của một thông điệp vốn có phần cốt lõi thật sự.

“Bọc nó trong cụm ‘thoát khỏi mọi thứ’ biến một cảnh báo cần thiết thành nội dung kiểu doomer,” Fan nói. “Bạn không cần kịch tính để kéo mọi người trong lĩnh vực này; bạn cần một con số.”

Quan điểm tương tự cũng được Michael Heinrich, đồng sáng lập và CEO của 0G Labs, nhắc lại. Ông chỉ ra mức cải thiện khoảng 98% về bảo mật cho vay DeFi so với mốc năm 2020. Heinrich cũng nhấn mạnh tỷ lệ thua lỗ hằng ngày đã giảm rõ rệt trên các giao thức cho vay lớn, hiện chỉ quanh 0,001%, như một yếu tố khác làm suy yếu nhận định “mọi DeFi đều không an toàn” của Aráoz.

“Kêu gọi người dùng bán lẻ thoát khỏi những blue-chip như Aave và Maker không khớp với bức tranh rủi ro đã điều chỉnh thực tế,” Heinrich nói với Bitcoin.com News.

Để lập luận chống lại DeFi, Aráoz khẳng định các tác nhân viết mã dựa trên trí tuệ nhân tạo (AI) đã trở nên cực kỳ tiên tiến trong việc quét các hợp đồng thông minh mã nguồn mở và nhận diện các lỗ hổng khai thác phức tạp với tốc độ theo kiểu máy. Mối đe dọa do các tác nhân này gây ra lớn đến mức ông đã tư vấn riêng cho bạn bè và người thân rút hoàn toàn khỏi vị thế của họ trong các giao thức DeFi “blue-chip” lớn, đã được thiết lập từ lâu.

Cái chết của cuộc kiểm toán tĩnh

Tuy nhiên, Heinrich và Fan cho rằng việc kẻ tấn công AI vượt “tầm siêu phàm” không có nghĩa là người phòng thủ nên rời bỏ cuộc chơi. Thay vào đó, họ nói rằng điều đó đòi hỏi một thay đổi căn bản trong cách ngành tiếp cận bảo mật.

“Cuộc kiểm toán theo từng thời điểm đã chết rồi; chỉ là người ta chưa làm lễ tang,” Fan nói. Ông cảnh báo rằng việc chuyển hoàn toàn từ kiểm toán sang bug bounty là bài học sai. “Bạn không thay thế phòng ngừa bằng giám sát — bạn thu hẹp khoảng cách giữa chúng.”

Theo Heinrich, việc dựa vào một cuộc kiểm toán hằng năm không còn là một sự phòng thủ đáng tin cậy. Thay vào đó, tương lai của bảo mật hợp đồng thông minh dựa trên một chuỗi phòng thủ nhiều lớp theo tốc độ máy, trong đó các cuộc kiểm toán đóng vai trò là cột mốc kiểm tra đầu tiên thay vì chỉ là một sự kiện đơn lẻ. Ông phác thảo một “ngăn xếp” bảo mật gồm 4 lớp: kiểm toán có hỗ trợ AI trước khi triển khai kết hợp với rà soát của con người, giám sát liên tục sau triển khai, bug bounty được tài trợ tốt, và AI có thể kiểm chứng ở phía người phòng thủ.

Mục tiêu cuối cùng, Heinrich cho biết, là tích hợp xác minh hình thức trên các đường đi then chốt — dùng các chứng minh toán học thay vì các đánh giá mang tính chủ quan — cùng với các rà soát có tăng cường AI chạy liên tục chống lại các hợp đồng trực tiếp theo đúng cách mà kẻ tấn công hoạt động.

“Kiểm toán không biến mất,” ông nói. “Chúng trở thành cột mốc kiểm tra đầu tiên trong một đường ống phòng thủ theo tốc độ máy.”

Vượt ra ngoài các đường ống bảo mật mang tính phòng ngừa, cuộc trò chuyện về giảm thiểu rủi ro tất yếu chuyển sang bảo hiểm, một “nguyên thủy” mà Heinrich lưu ý vẫn đang phát triển rất kém trong hệ sinh thái crypto. Theo Heinrich, một vài rào cản mang tính cấu trúc khiến mảng bảo hiểm phi tập trung bị kìm hãm. Thứ nhất, các quỹ bảo hiểm khóa vốn mà lẽ ra có thể tạo lợi suất chủ động ở nơi khác trong DeFi.

Để minh họa điều này, Heinrich nêu Nexus Mutual — công ty dẫn đầu thị trường — nắm giữ khoảng 190 triệu USD trong bối cảnh thị trường DeFi rộng hơn biến động từ 40 tỷ USD đến hơn 100 tỷ USD về tổng giá trị bị khóa. Heinrich nhận xét rằng tỷ lệ vốn này về mặt cấu trúc khá mỏng. Một trở ngại khác là xác định thế nào được coi là một vụ khai thác trên chuỗi, điều mà ông mô tả là một bài toán không hề đơn giản.

Dù vậy, Heinrich lập luận rằng việc áp đặt nghĩa vụ bảo hiểm trên các giao thức không phải là công cụ đúng để thúc đẩy mức độ chấp nhận. Thay vào đó, ngành phải đổi mới ở cấp độ sản phẩm.

“Thứ thực sự tạo ra khác biệt là các sản phẩm on-chain dạng tham số có khả năng chi trả tự động theo các tín hiệu có thể kiểm chứng, và các giao thức tích hợp bảo hiểm vào sản phẩm theo cách mà phí thanh toán bù trừ vận hành trong các thị trường truyền thống,” Heinrich nói.

Điều tiết vận hành, không chỉ điều tiết mã

Mặc dù “lưới an toàn” hiện tại còn hẹp, nhu cầu thị trường đang tăng tốc. Theo dự báo tháng 3 năm 2026 của Coinlaw, thị trường bảo hiểm phi tập trung được dự kiến sẽ tăng gần 5 lần vào năm 2029.

“Vốn đang đến,” Heinrich nhận xét. “Thứ còn thiếu là bề mặt sản phẩm để triển khai nó.”

Sự dịch chuyển nội bộ của ngành sang phòng thủ theo tốc độ máy và các “lưới an toàn” tự động đặt ra những câu hỏi rộng hơn về giám sát quy định. Khi các nhà hoạch định chính sách ngày càng soi xét bảo mật tài sản số, Fan cảnh báo rằng các cơ quan quản lý có nguy cơ tập trung quá mức vào những mối đe dọa không đúng, như viễn cảnh về các hệ thống AI “quái”.

“Trực giác quản lý thông minh hơn không phải là hoảng sợ về các kẻ tấn công bằng AI một cách riêng biệt,” Fan nói. “Mà là tập trung vào lớp vận hành nơi tiền thực sự rời đi: lưu ký khóa, quản trị multisig, bảo mật cầu nối, và ứng phó sự cố.”

Fan cho rằng bằng cách áp đặt các tiêu chuẩn nghiêm ngặt về bảo mật vận hành trên các “vectơ” cụ thể này, các cơ quan giám sát có thể loại bỏ phần lớn các khoản lỗ vốn ngoài đời thực. Việc chỉ tập trung vào mã hợp đồng thông minh trong khi bỏ qua vận hành hằng ngày, ông cảnh báo, tương đương với “điều tiết 10% và bỏ lỡ 90%.”

Ngoài ra, Fan chỉ ra một “nguyên thủy” kỹ thuật mà các nhà làm chính sách thường đánh giá thấp một cách nhất quán: mật mã tiên tiến.

“Bằng chứng mật mã, như proof zero-knowledge, về việc mã nào đã chạy và mã chạy đúng là một nguyên thủy tuân thủ tốt hơn rất nhiều so với báo cáo kiểm toán dạng PDF,” Fan nói. “Nó có thể kiểm chứng bằng toán học, không phải bằng niềm tin. Đó là nơi tôi muốn năng lượng điều tiết được đổ vào.”