Đồng sáng lập OpenZeppelin Manuel Aráoz tuyên bố "toàn bộ DeFi" không an toàn từ ngày 26/5/2026, vì các tác nhân lập trình AI giờ đây tìm ra lỗ hổng hợp đồng thông minh nhanh hơn khả năng vá lỗi của con người — tạo ra... Cảnh báo của Aráoz được đưa ra sau tháng 4/2026, tháng tồi tệ nhất đối với các vụ hack DeFi kể t...

Create a landscape editorial hero image for this Studio Global article: What prompted OpenZeppelin co-founder Manuel Aráoz to declare "all of DeFi" unsafe, what specific incidents and evidence supported his warni. Article summary: On **May 26, 2026**, OpenZeppelin co-founder Manuel Aráoz posted on X that he now considers **"all of DeFi" unsafe** and advised friends and family to withdraw all funds, including from blue-chip protocols like Aave, Mak. Topic tags: general, general web, news, user generated. Reference image context from search candidates: Reference image 1: visual subject "A circular diagram highlights the core principles of OpenZeppelin AI, Standards & Expertise, emphasizing phases like architecting, building, supporting, and securing, with specific" Reference image 2: visual subject "OpenZeppelin Founder Warns: DeFi Is Unsafe" source context "DeFi Is Unsafe Says OpenZeppeli
Vào ngày 26 tháng 5 năm 2026, người đồng sáng lập của công ty an ninh mạng được tin cậy nhất trong ngành tiền mã hóa đã đưa ra một phán quyết gây chấn động toàn bộ lĩnh vực tài chính phi tập trung. Manuel Aráoz, người đã xây dựng OpenZeppelin thành một tiêu chuẩn vàng cho các cuộc kiểm toán hợp đồng thông minh, đã chia sẻ trên mạng xã hội X rằng hiện tại ông coi "toàn bộ DeFi" là không an toàn. Ông thậm chí còn tiết lộ rằng mình đã bí mật khuyên bạn bè và người thân rút tiền ra khỏi cả những giao thức hàng đầu như Aave, MakerDAO và Compound .
Cảnh báo này không xuất phát từ một mối lo ngại lý thuyết viển vông. Nó bắt nguồn từ một thực tế phũ phàng: Tháng 4 năm 2026 vừa ghi nhận là tháng tồi tệ nhất đối với các vụ hack DeFi trong hơn một năm qua khi những kẻ tấn công khai thác một bối cảnh các mối đe dọa hoàn toàn mới .
Lập luận của Aráoz đơn giản một cách đáng báo động, và chính vì thế mà nó càng trở nên đáng sợ hơn. Bảo mật hợp đồng thông minh từ trước đến nay vẫn luôn mang tính bất cân xứng, nhưng sự xuất hiện của trí tuệ nhân tạo (AI) đã biến sự bất cân xứng đó thành một cái bẫy. Bên phòng thủ phải tìm ra và vá mọi lỗ hổng trong mã lệnh, cơ sở hạ tầng và quy trình quản trị của giao thức. Trong khi đó, bên tấn công chỉ cần sử dụng các tác nhân lập trình AI để tìm ra một con đường duy nhất có thể khai thác .
Aráoz đã viết như sau: "Các tác nhân lập trình có năng lực tìm kiếm lỗ hổng một cách phi thường. An ninh hợp đồng thông minh quá bất cân xứng: bên phòng thủ cần vá mọi lỗi trong khi bên tấn công chỉ cần một cách duy nhất để đánh cắp tiền" .
Đây không phải là một lỗi có thể sửa chữa bằng một cuộc kiểm toán tốt hơn. Đây là một đặc điểm cấu trúc trong cách các cuộc tấn công có sự hỗ trợ của AI vận hành. Các biện pháp phòng thủ truyền thống – như tính minh bạch của mã nguồn mở, nhiều cuộc kiểm toán độc lập, hay xác minh chính thức – đều được thiết kế cho một kỷ nguyên mà những kẻ tấn công là con người phải đối đầu với những người phòng thủ là con người trên một thế cân bằng tương đối. AI đã thay đổi hoàn toàn cuộc chơi này .
Cảnh báo của Aráoz không phải là không có cơ sở. Trong tháng 4/2026, một loạt các cuộc tấn công dồn dập đã rút cạn ước tính từ 630 đến 647 triệu USD khỏi các giao thức DeFi, trải rộng trên hơn 25 vụ việc riêng biệt. Đây là tổng thiệt hại hàng tháng cao nhất kể từ tháng 2 năm 2025, thời điểm thiệt hại lên đến 1,47 tỷ USD .
Drift Protocol – 285 triệu USD (ngày 1 tháng 4)
Tháng 4 mở đầu với một chiến dịch tấn công kỹ thuật xã hội (social engineering) tinh vi được cho là của nhóm tin tặc Lazarus có liên hệ với Triều Tiên. Những kẻ tấn công đã dành khoảng sáu tháng để xây dựng lòng tin với các thành viên Hội đồng Bảo mật của Drift, cuối cùng lừa được họ ký trước các giao dịch để cấp quyền truy cập đặc quyền. Khi đã vào được bên trong, bọn tấn công nạp một token giả làm tài sản thế chấp và rút sạch khoảng 285 triệu USD khỏi sàn giao dịch phi tập trung (DEX) trên nền tảng Solana này chỉ trong vòng 10 giây .
Đây không phải là một lỗi hợp đồng thông minh. Đây là một sự thỏa hiệp từ chính yếu tố con người trong cấu trúc quản trị.
KelpDAO – 293 triệu USD (ngày 18 tháng 4)
Vụ khai thác DeFi lớn nhất năm 2026 đã tấn công vào cầu nối xuyên chuỗi LayerZero của KelpDAO. Một kẻ tấn công đã đúc ra 116.500 token rsETH, trị giá ước tính 293 triệu USD, và sử dụng số token này làm tài sản thế chấp để vay ETH thật. Số ETH này sau đó đã được chuyển qua giao thức THORChain . Công ty phân tích blockchain Chainalysis sau đó xác định rằng vụ khai thác này đã phơi bày các điểm yếu trong khâu xác minh ngoài chuỗi (off-chain) hơn là một lỗ hổng hợp đồng thông minh thông thường
.
Trong vòng 48 giờ sau vụ tấn công, những người dùng hoảng loạn đã tạo ra một hiệu ứng rút tiền dây chuyền, xóa sổ hàng tỷ USD khỏi TVL của DeFi. Aave, giao thức cho vay lớn nhất DeFi, đã ngay lập tức đóng băng các thị trường liên quan đến token rsETH trên nhiều phiên bản của mình .
Wasabi – sự thỏa hiệp khóa quản trị (tháng 4)
Một vụ việc lớn thứ ba trong tháng 4 nhắm vào Wasabi, liên quan đến một khóa quản trị (admin key) bị xâm phạm, gây ra hiệu ứng domino trên toàn bộ giao thức. Cùng với Drift và KelpDAO, ba vụ tấn công này đại diện cho ba dạng thức "lỗi không xuất phát từ mã lệnh" hoàn toàn khác biệt – tấn công kỹ thuật xã hội, lỗ hổng xác minh ngoài chuỗi, và xâm phạm cơ sở hạ tầng .
Các nhà phân tích an ninh đã lưu ý rằng các nhóm lỗ hổng gây ra thiệt hại trong năm 2026 – bao gồm lỗi kiểm soát truy cập, khai thác khả năng nâng cấp proxy, và tấn công cầu nối xuyên chuỗi – là những vectơ tấn công hầu như không tồn tại vào năm 2020 .
Những con số đã phác họa một bức tranh ảm đạm. Tổng giá trị bị khóa (TVL) của DeFi đã giảm hơn 50% từ mức đỉnh khoảng 170 tỷ USD vào tháng 10 năm 2025 xuống còn khoảng 38–43 tỷ USD vào giữa tháng 5 năm 2026. Đây là đợt suy giảm tồi tệ nhất kể từ sau sự sụp đổ của sàn FTX . Một công cụ theo dõi dữ liệu khác cho thấy TVL vào cuối tháng 5 ở mức 82,08 tỷ USD, con số này vẫn phản ánh cả sự nén giá của tài sản lẫn tình trạng rút vốn thực sự
.
Cảnh báo ngày 26 tháng 5 của Aráoz đã tạo ra một làn sóng rút tiền mới từ các nhà đầu tư cá nhân và tổ chức đang lo lắng, những người vốn bám víu vào hy vọng rằng các giao thức đã được thiết lập vẫn còn an toàn. Thực tế là ngay cả những giao thức mà chính OpenZeppelin đã giúp bảo mật từ năm 2015 như Aave, MakerDAO và Compound, giờ đây cũng bị chính chuyên gia an ninh am hiểu mã lệnh của chúng nhất gắn cờ là không an toàn .
Đối mặt với một cuộc khủng hoảng hiện hữu, ngành công nghiệp DeFi đã tổ chức một trong những phản ứng phối hợp đồng bộ nhất trong lịch sử của mình.
Quỹ cứu trợ DeFi United. Được dẫn dắt bởi Aave, hơn 30 giao thức và công ty – bao gồm Mantle, Consensys, Lido, EtherFi và Compound – đã cam kết hơn 300 triệu USD bằng Ether nhằm bù đắp nợ xấu và khôi phục tài sản đảm bảo cho rsETH sau vụ khai thác KelpDAO . Sáng kiến này đã thu hút được các cam kết vượt quá 43.500 ETH, trong đó riêng Mantle đã đề xuất cho Aave DAO vay tới 30.000 ETH
. Ngân hàng Standard Chartered đã công khai ca ngợi nỗ lực này là bằng chứng cho sự trưởng thành của hệ sinh thái
.
Sự can thiệp chưa từng có từ Arbitrum. Hội đồng Bảo mật của Arbitrum đã đưa ra quyết định đầy tranh cãi là đóng băng và di chuyển khoảng 30.766 ETH tiền có thể truy vết từ vụ tấn công KelpDAO mà không cần đến khóa riêng tư của kẻ tấn công. Đây là một trong những can thiệp trực tiếp lên chuỗi (on-chain) mạnh mẽ nhất từng được thực hiện bởi một mạng Layer 2 .
Tạm dừng giao thức khẩn cấp. KelpDAO đã tạm dừng tất cả các hợp đồng trên mạng chính (mainnet) và các giải pháp mở rộng (L2s) trong vòng vài giờ sau khi phát hiện ra sự cố. Aave cũng đã đóng băng các thị trường liên quan đến rsETH trên phiên bản V3 và V4 của mình để ngăn chặn các đợt thanh lý dây chuyền .
Áp lực pháp lý gia tăng. Các cơ quan quản lý tài chính của Liên minh Châu Âu đã bắt đầu soạn thảo các yêu cầu cấp phép khẩn cấp cho các giao thức DeFi, trong khi Bộ Tài chính Hoa Kỳ phát tín hiệu sẽ tăng cường giám sát các giao thức quản lý khối tài sản người dùng trên 50 triệu USD .
Kế hoạch phục hồi của Drift Protocol. Tether đã công bố cam kết 127,5 triệu USD để tài trợ cho một quỹ phục hồi liên quan đến doanh thu cho người dùng của Drift, đánh dấu một trong những gói cứu trợ lớn nhất từ một nhà phát hành stablecoin trong lịch sử DeFi .
Bất chấp những nỗ lực phi thường này, lập luận cốt lõi về sự bất an vẫn chưa có lời phản bác. Cảnh báo của Aráoz không phải về một đợt tăng đột biến tạm thời các vụ khai thác, hay một vài giao thức cần được kiểm toán tốt hơn. Đó là một chẩn đoán mang tính cấu trúc: những kẻ tấn công được hỗ trợ bởi AI đã thay đổi vĩnh viễn phương trình an ninh, và ngành công nghiệp này vẫn chưa chứng minh được một bước đột phá phòng thủ nào có thể so sánh được .
Các giao thức sống sót qua tháng 4 năm 2026 hiện đang vận hành trong một thế giới nơi một cuộc tấn công kỹ thuật xã hội có thể rút cạn 285 triệu USD chỉ trong vài giây, nơi các trình xác minh cầu nối có thể bị giả mạo để đúc ra 293 triệu USD tài sản thế chấp giả, và là nơi các tác nhân AI có khả năng quét tìm các lỗ hổng mới nhanh hơn bất kỳ đội ngũ kiểm toán nào của con người có thể vá chúng. Cho đến khi sự bất cân xứng này được giải quyết ở một mức độ cơ bản — thông qua kiến trúc hệ thống, thiết kế lại cơ chế quản trị, và các biện pháp phòng thủ sử dụng chính AI — lời cảnh báo của Aráoz sẽ vẫn còn nguyên giá trị.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Đồng sáng lập OpenZeppelin Manuel Aráoz tuyên bố "toàn bộ DeFi" không an toàn từ ngày 26/5/2026, vì các tác nhân lập trình AI giờ đây tìm ra lỗ hổng hợp đồng thông minh nhanh hơn khả năng vá lỗi của con người — tạo ra...
Đồng sáng lập OpenZeppelin Manuel Aráoz tuyên bố "toàn bộ DeFi" không an toàn từ ngày 26/5/2026, vì các tác nhân lập trình AI giờ đây tìm ra lỗ hổng hợp đồng thông minh nhanh hơn khả năng vá lỗi của con người — tạo ra... Cảnh báo của Aráoz được đưa ra sau tháng 4/2026, tháng tồi tệ nhất đối với các vụ hack DeFi kể từ tháng 2/2025, với số tiền bị đánh cắp lên tới 630–647 triệu USD qua hơn 25 vụ việc — bao gồm vụ khai thác cầu nối KelpD...
Tổng giá trị bị khóa (TVL) của DeFi đã lao dốc hơn 50% từ đỉnh 170 tỷ USD tháng 10/2025 xuống còn 38 43 tỷ USD vào giữa tháng 5/2026, trong khi ngành công nghiệp này đang nỗ lực thực hiện một nỗ lực giải cứu chéo giao...