Mười hai vụ khai thác với tổng giá trị 606 triệu USD trong 18 ngày biến tháng 4 năm 2026 thành tháng tồi tệ nhất cho các vụ hack crypto kể từ vụ vi phạm Bybit, với Jefferies cảnh báo các tổ chức tài chính truyền thống có thể làm chậm việc áp dụng blockchain.
Tháng 4 năm 2026 đã trở thành tháng tồi tệ nhất cho bảo mật crypto kể từ vụ vi phạm Bybit vào tháng 2 năm 2025, với 12 vụ khai thác rút cạn 606 triệu USD từ các giao thức DeFi chỉ trong 18 ngày. Ngân hàng đầu tư Jefferies cảnh báo rằng thiệt hại có thể làm chậm đà tiến vào blockchain của Wall Street.
Hai cuộc tấn công chiếm khoảng 95% tổng thiệt hại của tháng 4. Vào ngày 1 tháng 4, Drift Protocol, sàn DEX hợp đồng tương lai vĩnh viễn lớn nhất trên Solana, mất 285 triệu USD sau chiến dịch kỹ nghệ xã hội kéo dài sáu tháng. Kẻ tấn công giả danh công ty giao dịch định lượng đã lừa các thành viên Security Council ký trước các giao dịch durable nonce, sau đó đưa token giả vào danh sách trắng làm tài sản thế chấp và rút 285 triệu USD tài sản thực.
Vào ngày 18 tháng 4, Lazarus Group của Triều Tiên thực hiện vụ khai thác DeFi đơn lẻ lớn nhất năm 2026, rút 116.500 rsETH trị giá 292 triệu USD từ cầu nối cross-chain của Kelp DAO được vận hành bởi LayerZero. Kẻ tấn công xâm nhập hai nút RPC cung cấp cho relayer của Kelp DAO, sau đó phát động tấn công DDoS để buộc chuyển đổi dự phòng. Bộ xác minh của LayerZero sau đó phê duyệt giao dịch cross-chain gian lận.
Hậu quả diễn ra ngay lập tức: hơn 13 tỷ USD thanh khoản DeFi đã được rút khỏi hơn 20 giao thức trong vòng 48 giờ. Aave chứng kiến khoảng 6,6 tỷ USD TVL rời đi trong bốn ngày và đối mặt với khoản nợ xấu tiềm tàng lên tới 230 triệu USD từ vụ khai thác.
Nhà phân tích Jefferies Andrew Moss cảnh báo rằng các vụ khai thác "có thể tạm thời làm chậm việc áp dụng TradFi khi các rủi ro bảo mật được đánh giá lại." Ngân hàng lưu ý rằng các tổ chức tài chính truyền thống đang đẩy nhanh nỗ lực token hóa có thể tạm dừng để đánh giá lại các lỗ hổng, đặc biệt là xung quanh các cầu nối cross-chain dựa vào hệ thống xác minh đơn validator.
Con số đáng báo động vượt xa tổn thất tiêu đề. Tính từ đầu năm, các giao thức crypto đã mất khoảng 772 triệu USD qua 47 sự cố, tần suất tấn công tăng 68% so với cùng kỳ năm 2025. Các vector tấn công đã đa dạng hóa vượt ra ngoài lỗi hợp đồng thông minh để bao gồm tấn công cơ sở hạ tầng, kỹ nghệ xã hội và khai thác ví bằng AI.
Moss nhấn mạnh rằng "ngành tài sản kỹ thuật số non trẻ vẫn cần thời gian để trưởng thành," mặc dù Jefferies coi sự chậm lại là tạm thời chứ không phải vĩnh viễn. Sự quan tâm dài hạn của tổ chức đối với stablecoin và thanh toán dựa trên blockchain vẫn được duy trì.
Các giao thức DeFi đang triển khai các biện pháp khẩn cấp bao gồm giới hạn tốc độ rút tiền và đóng băng luồng cầu nối. Thị trường rộng hơn đang định giá "phí bảo hiểm rủi ro bảo mật" vào tài sản DeFi, điều này có thể gây áp lực lên định giá token trong ngắn hạn. Bất kỳ cập nhật quy kết nào từ Chainalysis hoặc FBI về 10 vụ khai thác nhỏ hơn còn lại có thể định hình thêm phản ứng pháp lý.
Đây là câu chuyện đang phát triển. Quy mô các vụ khai thác tháng 4 đã mở lại cuộc tranh luận về việc liệu cơ sở hạ tầng DeFi có sẵn sàng cho vốn tổ chức hay không, và câu trả lời từ Wall Street dường như là "chưa."
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
Tuyên bố miễn trừ: Nội dung tin tức chỉ dành cho mục đích thông tin và không nên được coi là tư vấn tài chính. Điều kiện thị trường có thể thay đổi nhanh chóng. Luôn tự nghiên cứu.
