Người sáng lập OpenZeppelin lên tiếng "Toàn bộ DeFi đều không an toàn": Mối đe dọa từ AI khiến ngay cả Aave cũng khó phòng thủ

Người đồng sáng lập công ty bảo mật mã hóa OpenZeppelin, Manuel Araoz, đã đăng bài trên mạng xã hội cho biết hiện ông cho rằng "tất cả DeFi đều không an toàn", và đã bắt đầu đích thân khuyên người thân, bạn bè rút khỏi tất cả các vị thế DeFi bao gồm Aave, MakerDAO, Compound. (Tin liên quan: Kelp DAO tuyên bố rsETH đã khôi phục hoàn toàn: 5 tuần trước bị hacker Bắc Triều Tiên đánh cắp 293 triệu USD) (Bổ sung bối cảnh: SquidRouterModule bùng phát lỗ hổng nghiêm trọng! 86 Gnosis Safe bị hack mất 3 triệu USD) Tóm tắt trọng điểm - Người đồng sáng lập OpenZeppelin Manuel Araoz công khai khuyên người thân bạn bè rút khỏi tất cả các vị thế DeFi như Aave, MakerDAO - Tháng 4 DeFi bị đánh cắp gần 630 triệu USD, Drift (285 triệu) và Kelp DAO (293 triệu) đều có liên quan đến hacker Bắc Triều Tiên - TVL của DeFi đã giảm khoảng 14% kể từ giữa tháng 4, tháng 5 lại xảy ra thêm 25 sự cố bảo mật, hơn 40 protocol đã tuyên bố đóng cửa Người đã từng tạo ra framework bảo mật smart contract được sử dụng nhiều nhất trong thế giới mã hóa, nay khuyên bạn rút toàn bộ tiền khỏi DeFi. Người đồng sáng lập OpenZeppelin Manuel Araoz gần đây đã đăng bài trên mạng xã hội, cho biết ông đã thay đổi quan điểm về tính an toàn của DeFi, và kết luận hiện tại là "tất cả DeFi đều không an toàn". Ông tiết lộ rằng bản thân đã bắt đầu đích thân khuyên người thân, bạn bè rút khỏi tất cả các vị thế DeFi, kể cả các protocol "blue-chip" hoạt động lâu năm như Aave, MakerDAO và Compound cũng không ngoại lệ. PSA: I now consider *all* of DeFi unsafe. Coding agents are superhuman at finding vulnerabilities, and smart contract security is too asymmetric: defenders need to fix every bug while attackers need just one exploit to steal funds. — Manuel Aráoz (@maraoz) May 26, 2026 AI khiến tấn công và phòng thủ hoàn toàn mất cân bằng Vấn đề cốt lõi mà Araoz chỉ ra nằm ở sự bất đối xứng mang tính cấu trúc giữa kẻ tấn công và người phòng thủ. Ông cho biết, các AI coding agents có "năng lực siêu việt" trong việc tìm ra lỗ hổng smart contract, và năng lực này tự nhiên thiên về phía kẻ tấn công. Người phòng thủ phải vá mọi lỗ hổng, kẻ tấn công chỉ cần tìm ra một lỗ là có thể cuỗm sạch tiền. Lời này phát ra từ miệng người sáng lập công ty bảo mật mang trọng lượng đặc biệt. Thư viện smart contract của OpenZeppelin được tuyệt đại đa số nhà phát triển Solidity trên toàn cầu sử dụng, hiểu biết của Araoz về bảo mật DeFi không phải là lý thuyết suông. Phán đoán của ông tương đương với việc nói rằng: dưới kiến trúc công nghệ hiện tại, mô hình bảo mật của DeFi về căn bản đã nghiêng về phía kẻ tấn công. Thiệt hại từ tháng 4 đến nay tiếp tục mở rộng Dữ liệu đứng về phía Araoz. Riêng tháng 4, các protocol DeFi đã bị đánh cắp gần 630 triệu USD, là tháng thiệt hại nặng nề nhất kể từ vụ Bybit bị đánh cắp khoảng 1,5 tỷ USD vào tháng 2 năm 2025. Trong đó, hai vụ khai thác lỗ hổng lớn là Drift (285 triệu USD) và Kelp DAO (293 triệu USD) đều được các tổ chức theo dõi quy kết cho nhóm hacker được chính phủ Bắc Triều Tiên hậu thuẫn là Lazarus Group. Niềm tin thị trường đã bị tổn thương rõ rệt, tổng giá trị bị khóa (TVL) của các protocol DeFi đã giảm khoảng 14% kể từ giữa tháng 4, từ khoảng 172 tỷ USD xuống còn 148 tỷ USD. Tháng 5 cũng không yên ổn, đến nay đã xảy ra 25 sự cố bảo mật, bao gồm cầu nối liên chuỗi Verus Network bị khai thác gây thiệt hại 11,6 triệu USD, cũng như UMA CTF Adapter của Polymarket bị tấn công gây thiệt hại khoảng 570.000 USD. Hơn 40 protocol đã lần lượt tuyên bố đóng cửa hoặc bước vào chế độ thanh lý trong năm tháng đầu năm nay. Về mặt thống kê, các kẻ tấn công có liên quan đến Bắc Triều Tiên chiếm 76% thiệt hại do hack tiền mã hóa toàn cầu trong năm 2026, tăng thêm so với mức 64% của năm 2025. Cuộc khủng hoảng mất niềm tin vào DeFi vẫn đang lan rộng. Câu hỏi thường gặp Tại sao người đồng sáng lập OpenZeppelin nói tất cả DeFi đều không an toàn? Manuel Araoz cho rằng các AI coding agents khiến kẻ tấn công có lợi thế tuyệt đối trong việc phát hiện lỗ hổng, người phòng thủ phải vá mọi lỗ hổng, nhưng kẻ tấn công chỉ cần tìm một lỗ là có thể đánh cắp tiền, sự bất đối xứng mang tính cấu trúc này khiến tất cả các protocol DeFi bao gồm Aave, MakerDAO đều có rủi ro. Năm 2026 DeFi đã bị đánh cắp bao nhiêu tiền? Tính đến cuối tháng 5 đã vượt quá 770 triệu USD, riêng tháng 4 đã bị đánh cắp gần 630 triệu USD. Hai sự kiện lớn nhất là Drift (285 triệu USD) và Kelp DAO (293 triệu USD), đều có liên quan đến nhóm hacker Bắc Triều Tiên Lazarus Group.