Điều gì xảy ra khi một giao thức DeFi bị hack: dòng thời gian “sự kiện ký quỹ” trên chuỗi

Những gì xảy ra khi một giao thức DeFi bị hack thường được quyết định trong vài phút: kẻ tấn công khai thác rủi ro của giao thức để rút tài sản ra khỏi kho nhanh hơn con người có thể phản ứng. Người dùng cảm nhận điều này qua việc thoát vốn bị đóng băng, giá cả bị phá vỡ, và đôi khi là các chuỗi thanh lý, vì các khoản tiền gửi được kiểm soát bởi hệ thống hợp đồng thông minh của giao thức, không phải ví của người dùng.

Điểm chính

• Việc gửi tiền vào DeFi chuyển giao quyền kiểm soát của tài sản cho các hợp đồng thông minh, vì vậy một ví phần cứng không thể bảo vệ các khoản tiền đã được gửi vào một giao thức bị xâm phạm.
• Cuộc tấn công vào Giao thức Drift vào ngày 1 tháng 4 năm 2026 đã rút khoảng 285 triệu USD trong vòng vài phút, loại bỏ hơn một nửa số tiền đã báo cáo là 500 triệu USD+ TVL trước khi các hành động phản ứng có thể ngăn chặn nó.
• Nhiều cuộc tấn công lớn là những thất bại liên kết qua các oracle và quyền kiểm soát đặc quyền, không chỉ là một lỗi hợp đồng thông minh đơn lẻ.
• Việc phục hồi là không chắc chắn ở cấp độ hệ sinh thái: một đánh giá bảo mật DeFi trích dẫn từ REKT Database báo cáo 77,1 tỷ USD thiệt hại với 6,5 tỷ USD đã được phục hồi.

Điều đó có nghĩa là gì khi một giao thức DeFi bị “hack”

Một “hack” DeFi không thường là ai đó phá vỡ ví của người dùng. Đó là một kẻ tấn công trích xuất giá trị từ các tài sản đã nằm trong các kho được kiểm soát bởi giao thức.

Chi tiết hoạt động chính là quyền sở hữu: một khi một khoản tiền gửi được thực hiện, quyền kiểm soát chuyển từ khóa riêng của người dùng sang các quy tắc hợp đồng thông minh của giao thức, các đầu vào oracle của nó, và bất kỳ quyền kiểm soát đặc quyền nào có thể thay đổi hoặc bỏ qua những quy tắc đó.

Đó là lý do tại sao mô hình tâm lý bán lẻ phổ biến thất bại. Một ví phần cứng bảo vệ khóa riêng khỏi bị đánh cắp, nhưng nó không thể bảo vệ các khoản tiền đã được gửi vào một giao thức bị xâm phạm. Sau khi gửi tiền, ranh giới bảo mật liên quan là thiết kế của giao thức, bao gồm cách nó định giá tài sản thế chấp, ai có thể thực hiện các hành động nhạy cảm, và liệu có sự chậm trễ nào làm chậm các khoản rút lớn hay không.

Giải thích này là một phần của hướng dẫn rộng hơn về DeFi, nhưng nó tập trung vào con đường sự cố mà các nhà giao dịch thực sự trải nghiệm. Trong thực tế, một cuộc hack DeFi hoạt động giống như một sự kiện ký quỹ trực tuyến: giao thức bắt đầu tin vào giá sai hoặc tôn trọng các khoản rút không được ủy quyền, và các hệ thống tự động thực hiện ngay lập tức.

Cách mà kẻ tấn công thường trích xuất giá trị (các con đường khai thác phổ biến)

Kẻ tấn công thường thắng bằng cách khiến giao thức chấp nhận một trạng thái sai, sau đó chuyển đổi trạng thái sai đó thành tài sản có thể rút. Cách đơn giản nhất để nghĩ về nó là đầu vào → quy trình → đầu ra. Đầu vào là các giả định tin cậy của giao thức, như giá oracle và quyền quản trị. Quy trình là chuỗi khai thác biến những giả định đó thành một lỗ hổng thanh khoản. Đầu ra là tài sản rời khỏi các kho, cộng với các tác động thứ cấp như thanh lý và nợ xấu trong DeFi.

Sự thao túng oracle là một mô hình cốt lõi vì nó thay đổi những gì giao thức nghĩ rằng tài sản thế chấp có giá trị. Một cơ chế đã được tài liệu hóa là làm tăng giá trị rõ ràng của một token có thanh khoản thấp, bao gồm thông qua giao dịch rửa, để oracle báo cáo một giá cho phép kẻ tấn công vay nhiều hơn giá trị thực tế của thị trường.

Một ví dụ riêng biệt được trích dẫn trong các báo cáo là Dexodus Finance (tháng 5 năm 2025), nơi một kẻ tấn công đã sử dụng một khoản vay chớp nhoáng khoảng 10.500 USD và tái sử dụng chữ ký oracle, với thiệt hại được báo cáo trong khoảng 152.000–300.000 USD.

Quyền truy cập đặc quyền là nửa còn lại của nhiều vụ nổ. Nếu một khóa quản trị bị xâm phạm, các chức năng nhạy cảm có thể được thực hiện trực tiếp, bao gồm rút tiền từ kho hoặc nâng cấp. Thời gian khóa được thiết kế để buộc phải có sự chậm trễ giữa việc yêu cầu một hành động đặc quyền và thực hiện nó, điều này tạo ra một khoảng thời gian để phát hiện và phản ứng. Nếu không có sự chậm trễ đó, cuộc khai thác trở thành một cuộc đua mà kẻ tấn công thường thắng.

Những gì xảy ra trong và ngay sau khi hack (hoạt động của giao thức)

Chuỗi sự kiện từng phút thường là: rút, phát hiện, tạm dừng, điều tra, sau đó là một chuỗi dài các nỗ lực phục hồi. Giai đoạn rút chủ yếu là tự động. Một khi các điều kiện khai thác được đáp ứng, kẻ tấn công có thể thực hiện nhiều giao dịch nhanh chóng, và chuỗi sẽ xử lý chúng miễn là chúng hợp lệ.

Sự cố Giao thức Drift vào ngày 1 tháng 4 năm 2026 là một ví dụ rõ ràng vì nó kết hợp nhiều vectơ và di chuyển nhanh. Kẻ tấn công được báo cáo đã tạo ra một token giả giá rẻ, thao túng oracle để giao thức đọc sai giá trị tài sản thế chấp, sau đó sử dụng những gì các nhà điều tra tin rằng là một khóa quản trị bị xâm phạm để rút các kho dựa trên Solana thông qua nhiều lần rút nhanh. Thiệt hại khoảng 285 triệu USD trong vòng vài phút.

Tốc độ không phải là một chi tiết. Tại thời điểm khai thác, Drift được báo cáo nắm giữ hơn 500 triệu USD trong TVL, và hơn một nửa số TVL đó đã bị rút trước khi đội ngũ có thể phản ứng. Đó là ý nghĩa thực tiễn của “circuit breakers” và thời gian khóa. Nếu các hành động đặc quyền và các khoản rút lớn không bị chậm lại, kẻ tấn công có thể thoát trước khi con người xác nhận những gì đang xảy ra.

Sau khi phát hiện, các đội thường giao tiếp công khai, tạm dừng giao thức nếu có thể, và bắt đầu một cuộc điều tra. Phản ứng của Drift được mô tả trong nguồn bao gồm xác nhận công khai, tạm dừng giao thức, và một cuộc điều tra. Tính đến ngày công bố của bài viết đó, các khoản tiền chưa được phục hồi.

Những gì xảy ra với vị thế của người dùng và tại sao các khoản thanh lý có thể làm xấu đi kết quả

Người dùng trải nghiệm một cuộc hack qua ba chế độ thất bại: mất quyền sở hữu, mất chức năng thị trường, và tác động phụ của động cơ rủi ro. Mất quyền sở hữu là điều đơn giản. Nếu kho bị rút, các khoản tiền gửi có thể biến mất vì giao thức là người giữ tài sản.

Mất chức năng thị trường xuất hiện dưới dạng rút tiền bị tạm dừng, giao dịch bị ngừng, hoặc vay tiền bị vô hiệu hóa, điều này có thể kẹt vị thế ngay cả khi người dùng không phải là mục tiêu trực tiếp.

Các tác động phụ là nơi mà các nhà giao dịch bị bất ngờ. Thanh lý DeFi là một quy trình hợp đồng thông minh tự động được kích hoạt khi giá trị tài sản thế chấp giảm xuống dưới ngưỡng thanh lý. Các nhà thanh lý bên ngoài trả nợ và nhận tài sản thế chấp với mức chiết khấu, và người vay thường phải trả một khoản phí thanh lý.

Trong một sự cố bảo mật, giá cả có thể trở nên không đáng tin cậy và thanh khoản có thể bị mỏng đi, điều này làm cho động cơ thanh lý có khả năng kích hoạt cao hơn.

Các khoản thanh lý cũng có thể tạo ra rủi ro hệ thống. Các khoản thanh lý lớn làm tăng áp lực bán và có thể tạo ra chuỗi. Trong thời gian biến động cao, tắc nghẽn mạng hoặc oracle chậm có thể làm chậm các khoản thanh lý và tăng khả năng giao thức tiếp xúc với nợ xấu. Đó là cách mà một cuộc hack có thể biến thành rủi ro lây lan DeFi ngay cả đối với những người dùng chưa bao giờ chạm vào kho bị khai thác.

Khả năng thanh khoản của giao thức và khả năng của thị trường để thanh lý một cách sạch sẽ có liên quan, và mối liên hệ này trở nên chặt chẽ hơn dưới áp lực.

Các bước mà một giao thức thực hiện sau khi bị hack

Sau khi phát hiện một cuộc hack, các giao thức thường cố gắng ngăn chặn tổn thất trước, sau đó tìm hiểu điều gì đã xảy ra, rồi quyết định cách xã hội hóa hoặc sửa chữa thiệt hại. Đòn bẩy đầu tiên là kiểm soát hoạt động: tạm dừng các hợp đồng, vô hiệu hóa các khoản gửi hoặc rút tiền, hoặc kích hoạt các bộ ngắt mạch nếu có. Phản ứng sự cố của Drift được mô tả trong nguồn bao gồm xác nhận công khai, tạm dừng giao thức, và một cuộc điều tra.

Đòn bẩy thứ hai là pháp y. Các đội và các nhà điều tra bên ngoài lần theo các giao dịch, xác định con đường khai thác, và xác định xem nguyên nhân gốc rễ có phải là lỗi hợp đồng thông minh, thao túng oracle, quyền truy cập đặc quyền bị xâm phạm, hay một chuỗi của những điều này.

Bài viết về Drift khung lại cuộc khai thác như một chuỗi phối hợp qua việc tạo token giả, thao túng oracle, và một khóa quản trị bị xâm phạm, với thời gian khóa và bộ ngắt mạch vắng mặt hoặc không kích hoạt.

Đòn bẩy thứ ba là quản trị và khắc phục. Nếu cần nâng cấp hoặc thay đổi tham số, chúng thường đi qua một quy trình dao crypto, thường thông qua một đề xuất quản trị ủy quyền các bản vá, khung bồi thường, hoặc các kiểm soát bảo mật mới như yêu cầu multisig và thời gian khóa. Điểm thực tiễn là “tạm dừng” là kiểm soát thiệt hại, không phải là cơ chế hoàn tiền.

Bạn có thể lấy lại tiền của mình sau một cuộc hack defi không

Đôi khi, nhưng việc phục hồi là không chắc chắn về cấu trúc vì các tài sản có thể được chuyển nhanh chóng và rửa tiền qua các địa điểm, và vì nhiều giao thức không có bảng cân đối kế toán có thể làm cho người dùng được hoàn lại.

Dự đoán tốt nhất ở cấp độ hệ sinh thái trong các nguồn cung cấp đến từ một đánh giá bảo mật DeFi trích dẫn các số liệu từ REKT Database: 77,1 tỷ USD tổng thiệt hại do lừa đảo, hack, và khai thác, với 6,5 tỷ USD đã được phục hồi.

Ở cấp độ giao thức, trường hợp Drift là một ví dụ về lý do tại sao “tạm dừng” không có nghĩa là “đã phục hồi.” Giao thức đã tạm dừng và tiến hành một cuộc điều tra, nhưng tính đến ngày công bố của bài viết đó, các khoản tiền chưa được phục hồi.

Một ràng buộc thực tiễn thứ hai là việc giữ tài sản. Khi quỹ được gửi vào, chúng sẽ được kiểm soát bởi các hợp đồng thông minh của giao thức. Một ví phần cứng không thể bảo vệ quỹ đã được gửi vào một giao thức bị xâm phạm vì ví chỉ kiểm soát các khóa của người dùng, không phải logic kho của giao thức. Việc phục hồi phụ thuộc vào những gì giao thức có thể làm sau sự cố, không phải vào cách người dùng lưu trữ khóa một cách an toàn.

Phục hồi whitehat là gì

Phục hồi whitehat là khi một nhà nghiên cứu bảo mật hoặc một tác nhân đối thủ sử dụng cùng một con đường khai thác như kẻ tấn công, nhưng chuyển hướng quỹ đến một địa chỉ an toàn hơn với ý định trả lại chúng. Trong thực tế, đây là một nỗ lực để chạy trước vụ trộm hoặc để "cứu" quỹ mà nếu không sẽ bị rút cạn.

Chi tiết hoạt động chính là phục hồi whitehat vẫn phụ thuộc vào việc giao thức có thể bị khai thác. Nó không phải là một công cụ phản ứng sự cố tiêu chuẩn như tạm dừng một hợp đồng. Nó gần giống như một hoạt động khẩn cấp mà chỉ hoạt động khi whitehat có thể thực hiện nhanh hơn kẻ xấu, và khi có một con đường đáng tin cậy để trả lại tài sản.

Bởi vì các nguồn được cung cấp không định lượng được kết quả của whitehat, kỳ vọng duy nhất có thể bảo vệ là cấu trúc. Các phục hồi whitehat là cơ hội và cụ thể cho từng trường hợp. Chúng không thay đổi thực tế cơ bản rằng các vụ hack DeFi thường được quyết định trong vài phút, và rằng các khóa thời gian và các bộ ngắt mạch tồn tại đặc biệt để tạo thời gian cho con người phản ứng mà không cần phải chạy đua trên chuỗi.

Làm thế nào để phân bổ tổn thất sau một vụ khai thác

Việc phân bổ tổn thất phụ thuộc vào vị trí của lỗ hổng và cách thức kế toán của giao thức hoạt động. Nếu kẻ tấn công rút cạn một kho chung, tổn thất có thể được xã hội hóa giữa các người gửi vì kho là người giữ tài sản chung. Nếu vụ khai thác tạo ra các khoản vay không đủ tài sản thế chấp thông qua việc thao túng oracle, giao thức có thể gặp phải nợ xấu defi, nơi mà các nghĩa vụ vẫn tồn tại nhưng tài sản thế chấp thì không đủ.

Cơ chế thanh lý ảnh hưởng đến phân bổ trong thời gian căng thẳng. Các vụ thanh lý được thiết kế để giữ cho các nhà cho vay an toàn bằng cách bán tài sản thế chấp khi một vị trí giảm xuống dưới ngưỡng. Người vay phải trả một khoản phí thanh lý, và các nhà thanh lý nhận tài sản thế chấp với mức giá chiết khấu.

Nếu các oracle chậm hoặc tắc nghẽn làm chậm các vụ thanh lý trong thời gian biến động, sự tiếp xúc của giao thức với nợ xấu có thể tăng lên, và các tổn thất cuối cùng có thể rơi vào các nhà cho vay, quỹ bảo hiểm, hoặc dự trữ của giao thức tùy thuộc vào thiết kế.

Đây là nơi mà khung "sự kiện ký quỹ" trở nên quan trọng. Một vụ hack không chỉ là trộm cắp. Nó cũng có thể là một sự kiện định giá cưỡng bức đẩy các vị trí vượt qua ngưỡng thanh lý, khuếch đại tổn thất thông qua việc bán tự động và các hiệu ứng dây chuyền.

Vai trò của token quản trị trong phục hồi là gì

Token quản trị quan trọng vì chúng thường kiểm soát các công cụ có thể thay đổi hành vi của giao thức sau một sự cố. Trong một cấu trúc dao crypto, những người nắm giữ token có thể ủy quyền nâng cấp, thay đổi tham số, và khung bồi thường thông qua một đề xuất quản trị. Điều đó có thể bao gồm việc thêm các khóa thời gian, thắt chặt cấu hình oracle, thay đổi các yếu tố thế chấp, hoặc hạn chế các hành động đặc quyền phía sau multisig.

Giới hạn là tốc độ. Quản trị hiếm khi đủ nhanh để ngăn chặn một vụ rút cạn đang diễn ra trừ khi quyền khẩn cấp đã tồn tại. Trường hợp của Drift minh họa lý do tại sao. Vụ khai thác đã loại bỏ hơn một nửa TVL được báo cáo trước khi có phản ứng, và bài viết chỉ ra rằng có những cơ chế trì hoãn bị thiếu hoặc không hiệu quả trên các chức năng quản trị.

Quản trị có thể làm cứng giao thức sau sự việc, nhưng nó không phải là một sự thay thế cho các bộ ngắt mạch đã được cài đặt trước.

Token quản trị cũng không tự động tạo ra một sự bảo vệ. Trừ khi giao thức có các dự trữ hoặc cơ chế doanh thu rõ ràng để bù đắp tổn thất, các phiếu bầu quản trị chỉ có thể quyết định cách phân phối đau đớn, không thể xóa bỏ nó. Các nhà giao dịch thường coi quản trị là một phần của rủi ro được bảo hiểm khi gửi tiền, không phải là một chính sách bảo hiểm.

Các giao thức bảo hiểm thanh toán như thế nào

Các giao thức bảo hiểm thường thanh toán dựa trên các điều khoản bảo hiểm đã được xác định trước và quy trình yêu cầu, không dựa trên việc một vụ hack "cảm thấy thực" trên mạng xã hội. Bước thực tế đầu tiên là đọc định nghĩa bảo hiểm, bao gồm những gì được coi là một vụ khai thác được bảo hiểm, những loại trừ nào tồn tại, và cách các yêu cầu được phân xử. Đó là sự khác biệt giữa việc có một sản phẩm gọi là bảo hiểm và có một con đường thanh toán.

Bước thứ hai là hiểu rằng bảo hiểm là một sự phụ thuộc khác. Nó có thể giảm rủi ro đuôi, nhưng nó cũng mang lại những rủi ro riêng: giới hạn bảo hiểm, tranh chấp yêu cầu, và khả năng rằng vốn của nhà bảo hiểm không đủ trong một sự kiện lớn.

Các số liệu tổng hợp của đánh giá bảo mật DeFi, trích dẫn từ REKT Database, cho thấy rằng số tiền được phục hồi chỉ là một phần nhỏ trong tổng tổn thất ở cấp hệ sinh thái, điều này nhất quán với lý do tại sao các nhà giao dịch không giả định hoàn trả đầy đủ.

Để có một phân tích sâu hơn về cách thức bảo hiểm, yêu cầu, và loại trừ thường hoạt động, xem giải thích về bảo hiểm defi. Bài học chính trong hoạt động là bảo hiểm là một hợp đồng và quy trình riêng biệt. Nó không thay đổi thực tế rằng một khi tài sản được gửi vào, hợp đồng thông minh của giao thức, thiết kế oracle, và các kiểm soát đặc quyền quyết định kết quả ngay lập tức.

Phục hồi, phòng ngừa, và những điều cần lưu ý cho người dùng DeFi

Phòng ngừa bắt đầu trước khi gửi tiền, vì những phút đầu tiên của một sự cố quyết định hầu hết các kết quả. Giao dịch thực tế cho thấy mẫu nguy hiểm là chuỗi: khiến giao thức tin vào một lời nói dối thông qua một oracle, đạt được hoặc lạm dụng quyền lợi thông qua một khóa quản trị, sau đó rút nhanh thông qua việc rút tiền.

Vụ khai thác của Drift là một ví dụ cụ thể về chuỗi đó, và đó là lý do tại sao sự thẩm định nên tập trung vào toàn bộ rủi ro, không chỉ các cuộc kiểm toán.

Một danh sách kiểm tra thực tế trước khi gửi tiền giống như danh sách kiểm tra của một nhà quản lý rủi ro. Xác định oracle là gì và liệu nó có thể bị thao túng bởi thanh khoản mỏng hay không. Xác định ai có thể chạm vào các chức năng đặc quyền, và liệu có một multisig và khóa thời gian thực sự giữa "quyết định" và "thực hiện" hay không.

Các khóa thời gian tồn tại để tạo thời gian cho việc phát hiện và phản ứng, và tốc độ tổn thất của Drift cho thấy điều gì xảy ra khi thời gian đó không tồn tại.

Quản lý vị trí quan trọng vì việc dọn dẹp có thể làm tổn thương người dùng ngay cả khi không có trộm cắp trực tiếp. Các vụ thanh lý là tự động, có thể dây chuyền, và có thể bị tồi tệ hơn bởi tắc nghẽn hoặc các oracle chậm, làm tăng sự tiếp xúc với nợ xấu. Đó là cầu nối cơ học từ một sự cố bảo mật đến rủi ro lây lan DeFi rộng hơn.

Đối với những độc giả quay lại hướng dẫn chính về DeFi, bài học cốt lõi là đơn giản và không thoải mái. Gửi tiền vào DeFi có nghĩa là bảo hiểm toàn bộ rủi ro của giao thức, và trong một vụ hack, kết quả thường được quyết định bởi việc các kiểm soát làm chậm bán kính vụ nổ hay để cho kẻ tấn công biến việc định giá sai và truy cập thành các khoản rút tiền ngay lập tức.

Nguồn

• D'CENT Wallet (store.dcentwallet.com)
• OneKey (onekey.so)
• Expert Systems with Applications (ScienceDirect)
• BitHide (bithide.io)