Tháng Tư đã chứng kiến hơn $600m bị đánh cắp qua DeFi, cầu nối và ví, biến an ninh từ một mối quan tâm cấp độ giao thức thành một phần của phí rủi ro thị trường toàn diện.

Tóm tắt

• Các giao thức tiền điện tử đã mất hơn $600m do các vụ hack trong tháng Tư, dẫn đầu là $292m bị đánh cắp từ KelpDAO và $285m từ Drift Protocol.
• Các lỗ hổng hiện nay bao gồm các hợp đồng thông minh, hạ tầng và các cuộc tấn công xã hội‑kỹ thuật, bao gồm các chiến dịch dựa trên AI chống lại các ví như Zerion.
• Trong khoảng từ 11:00 đến 13:00 UTC, các tên tuổi DeFi trung cấp đã chứng kiến các đợt bán tháo kiểu đầu hàng khi thị trường phái sinh định giá một “phí rủi ro an ninh” liên tục.

Các số liệu tổng hợp mới cho thấy các giao thức tiền điện tử đã mất hơn $606m do các vụ hack trong 18 ngày đầu tháng Tư, khiến tháng này trở thành tháng tồi tệ nhất về các vụ khai thác kể từ tháng Hai năm 2025 và đẩy tổng số trong năm 2026 lên trên 770 triệu đô la. Theo dữ liệu từ DefiLlama, ít nhất 13 giao thức đã bị xâm phạm trong tháng này, trong đó KelpDAO và Drift Protocol chiếm khoảng 95% tổng thiệt hại của tháng Tư và khoảng 75% tổng thiệt hại của năm 2026.

KelpDAO, một giao thức staking thanh khoản Ethereum, đã bị tấn công vào ngày 18 tháng 4, làm rò rỉ khoảng 116.500 rsETH, trị giá khoảng 292 triệu đô la, sau khi kẻ tấn công giả mạo các tin nhắn liên chuỗi để lừa hợp đồng cầu nối EndpointV2 của LayerZero phát hành dự trữ. Drift, sàn giao dịch perpetual phi tập trung lớn nhất của Solana, đã bị tấn công vào ngày 1 tháng 4 trong một vụ khai thác mà các phương tiện truyền thông khu vực gọi là “tinh vi”, mất khoảng $285m trong vụ vi phạm an ninh lớn thứ hai trong lịch sử Solana sau vụ hack $326m Wormhole vào năm 2022.

Từ lỗi hợp đồng đến xã hội‑kỹ thuật dựa trên AI

Làn sóng hack mới nhất không chỉ giới hạn ở các lỗi hợp đồng thông minh hoặc các nguyên thủy đặt lại. Các vụ việc đã ảnh hưởng đến các lớp định tuyến và hạ tầng như Hyperbridge cũng như các nhà cung cấp front‑end và DevOps như Vercel, nơi kẻ tấn công truy cập hệ thống nội bộ và bị cáo buộc đang mua bán dữ liệu bị đánh cắp để thúc đẩy các “cuộc tấn công chuỗi cung ứng toàn cầu.”

Về mặt con người, nhà cung cấp ví Zerion tiết lộ rằng họ đã bị tấn công bởi các hacker Triều Tiên sử dụng các chiến dịch xã hội‑kỹ thuật dựa trên AI, kéo dài thời gian để xâm nhập các khoá ví nóng, đánh cắp khoảng 100.000 đô la trong khi giữ nguyên quỹ người dùng và hạ tầng cốt lõi. Liên minh An ninh $2m SEAL( đã xác định ít nhất 164 tên miền độc hại liên kết với nhóm UNC1069 có liên hệ với DPRK, mô tả phương thức hoạt động của nhóm này là “kiên nhẫn, chính xác và có chủ đích trong việc sử dụng các mối quan hệ tin cậy hiện có làm vũ khí.”

Dữ liệu ngành từ các vụ việc trước đó, như vụ khai thác ví nóng tại sàn giao dịch Phemex có trụ sở tại Singapore vào năm 2025, đã làm nổi bật xu hướng của các tác nhân liên kết với Triều Tiên trong việc nhanh chóng chuyển đổi USDT và USDC bị đánh cắp thành ETH để tránh bị đưa vào danh sách đen, một mô hình mà các cơ quan chức năng cho rằng vẫn tiếp tục trong năm 2026.

Cấu trúc thị trường phản ứng theo thời gian thực khi các vụ hack tháng Tư tích tụ. Trong khoảng từ 11:00 đến 13:00 UTC vào các ngày tin tức quan trọng, các sổ lệnh của các tên tuổi DeFi trung cấp yếu hơn cho thấy các dấu hiệu “đầu hàng” điển hình: giảm khoảng 5–8% trong một phiên, các lệnh mua thưa thớt và sự chuyển hướng rõ ràng vào các giao thức có hồ sơ an ninh rõ ràng hơn. Các thị trường phái sinh chứng kiến các khoản tài trợ rổ cho DeFi giảm nhẹ, trong khi thanh khoản spot rút đi, kiểu cấu hình mà các bàn giao dịch liên kết với một “thuế an ninh” rộng đối với các tài sản rủi ro thay vì các cú sốc cá biệt.

Đối với các nhà giao dịch, điều đó đã biến an ninh thành một yếu tố rõ ràng: giảm kỳ vọng vào DeFi đòn bẩy dựa trên các tiêu đề khai thác, duy trì vị thế dài hạn tại các sàn tập trung và hạ tầng kiếm lợi từ biến động, và giữ sẵn tiền mặt để bán tháo bắt buộc khi nợ xấu và các khoản giảm giá đã được ghi nhận đầy đủ trên chuỗi.