Trong bối cảnh thị trường tiền mã hóa đang dần nóng lên, một xu hướng mới đang len lỏi: sự hội nhập giữa DeFi và tài chính truyền thống (TradFi) thông qua các giao thức RWA (Real-World Assets). Để đáp ứng nhu cầu của các tổ chức, nhiều giao thức DeFi đang vội vã “mã hóa” các tài sản tài chính như trái phiếu, cổ phiếu và bất động sản lên blockchain, với lời hứa về tính thanh khoản cao hơn và khả năng tiếp cận rộng rãi hơn. Nhưng liệu thị trường đã thực sự sẵn sàng cho điều này? Hay chúng ta chỉ đang tạo ra những lỗ hổng mới cho các cuộc tấn công tiếp theo? Câu chuyện về một giao thức RWA huy động được 2 tỷ USD gần đây, nhưng lại có một lỗ hổng cốt lõi trong cơ chế định giá, là một lời cảnh tỉnh cho toàn bộ ngành.
Hãy nhìn vào nền tảng cho vay phi tập trung, nơi đang tích hợp trái phiếu kho bạc Hoa Kỳ. Với lãi suất hiện tại khoảng 5%, họ hứa hẹn một nguồn lợi nhuận ổn định cho người dùng DeFi. Điều này nghe có vẻ hoàn hảo: kết hợp sự an toàn của tài sản truyền thống với tính linh hoạt của blockchain. Nhưng dưới kính hiển vi của một kiểm toán viên bảo mật, một lớp hỗn loạn đang ẩn mình. Các giao thức này thường sử dụng các oracle giá phi tập trung để cập nhật giá trị của trái phiếu. Tuy nhiên, tính thanh khoản của thị trường trái phiếu thứ cấp, đặc biệt là trong các phiên giao dịch đêm, là cực kỳ thấp. Một kẻ tấn công có thể dễ dàng thao túng giá trên một sàn giao dịch phi tập trung nhỏ, sau đó sử dụng oracle này để kích hoạt một cuộc thanh lý hàng loạt trên giao thức DeFi. Đây không phải là viễn cảnh viễn tưởng; tôi đã chứng kiến một lỗ hổng tương tự trong một giao thức cho vay stablecoin có vốn hóa 100 triệu USD chỉ vài tháng trước. Sự khác biệt duy nhất là lỗ hổng đó chưa được khai thác thành công. Nhưng với RWA, quy mô thiệt hại có thể lên đến hàng trăm triệu USD.
Một xu hướng khác đáng chú ý là sự trở lại của NFT, nhưng lần này là dưới dạng “veNFT” (vote-escrowed NFT) và “Floor NFTs”, được gắn với các giao thức DeFi. Ý tưởng là biến NFT thành bằng chứng cổ phần, mang lại quyền biểu quyết hoặc quyền hưởng lợi tức từ giao thức. Sự bắt tay giữa hệ sinh thái NFT và DeFi nhằm mục đích tăng tính thanh khoản cho NFT, thứ vốn dĩ rất kém thanh khoản. Nhưng từ góc nhìn bảo mật, điều này tạo ra một “mặt phẳng tấn công” lớn hơn gấp bội. Nếu một hacker kiểm soát được contract thông minh quản lý việc khóa và bỏ khóa NFT, họ có thể can thiệp vào toàn bộ quá trình kiểm phiếu trong DAO, phá hoại các quyết định quản trị và chiếm đoạt quỹ. Tôi mới đây đã kiểm toán một giao thức sử dụng veNFT và phát hiện ra rằng cơ chế “unlock” không có một ràng buộc thời gian hợp lý. Kẻ tấn công có thể gửi một NFT, bỏ phiếu cho một đề xuất độc hại, rút NFT ngay lập tức và bán nó trên thị trường thứ cấp, gây ra sự hỗn loạn. Đây là một lỗ hổng kinh điển, nhưng lại bị bỏ qua trong cơn sốt “DeFi x NFT”.

Nguy cơ thực sự nằm ở điểm mù: thị trường đang quá say sưa với câu chuyện tăng trưởng và tính thanh khoản mới, mà quên mất rằng việc kết nối các hệ thống tài chính truyền thống vốn dĩ đã được kiểm soát với các giao thức DeFi mở và không được kiểm soát sẽ tạo ra một “khoảng trống bảo mật” cực kỳ nguy hiểm. Các quỹ đầu tư mạo hiểm đang đổ tiền vào các dự án RWA và NFT-DeFi, nhưng họ thường đánh giá dựa trên tiềm năng thị trường hơn là chất lượng mã nguồn. Sự thiếu hiểu biết về kỹ thuật của các nhà đầu tư truyền thống là một điểm yếu chết người. Tôi nhận thấy rằng hầu hết các dự án “huyền thoại” trong lĩnh vực này đều bỏ qua các nguyên tắc cơ bản của an toàn thông tin: nguyên tắc đặc quyền tối thiểu và kiểm tra đầu vào nghiêm ngặt. Họ xây dựng những cây cầu nối giữa các thế giới, nhưng lại quên đặt hệ thống báo cháy.
Hãy nhìn vào các báo cáo tài chính gần đây của các dự án lớn. Một dự án RWA nổi tiếng vừa huy động thành công 200 triệu USD, nhưng họ chỉ dành chưa đến 5% ngân sách cho kiểm toán bảo mật. Trong khi đó, nhóm phát triển lại tập trung vào marketing và xây dựng quan hệ đối tác. Đây là một dấu hiệu rõ ràng của một “bong bóng bảo mật”. Khi thị trường tăng, mọi người đều tin rằng mình sẽ không gặp rủi ro, nhưng lịch sử đã chứng minh điều ngược lại. Vụ tấn công vào Wormhole, Ronin Bridge, và gần đây là Euler Finance đều là những bài học đắt giá: thanh khoản càng lớn, mục tiêu càng hấp dẫn.
Tôi nhận thấy một mô hình rủi ro đáng lặp lại: các giao thức RWA và NFT-DeFi thường có cấu trúc quản trị yếu và phụ thuộc quá nhiều vào một nhóm phát triển trung tâm. Điều này đi ngược lại với tinh thần phi tập trung. Một lỗ hổng trong một oracle hoặc trong cơ chế khóa NFT có thể làm sụp đổ toàn bộ hệ thống. Các cuộc kiểm toán bảo mật thông thường thường không bắt kịp được sự phức tạp của các cấu trúc kết hợp này. Tôi tin rằng các dự án cần áp dụng một khung kiểm toán đa lớp (multi-layer audit framework) không chỉ kiểm tra smart contract đơn lẻ mà còn mô phỏng các cuộc tấn công hệ thống ở quy mô lớn, bao gồm cả giá oracle giả mạo và thao túng biểu quyết.
Nếu thị trường tiếp tục bỏ qua những rủi ro cấp độ giao thức, chúng ta sẽ chứng kiến một cuộc khủng hoảng tương tự như vụ sụp đổ của Terra/Luna, nhưng lần này là trên một quy mô rộng hơn, liên quan đến tài sản tài chính thực. Sự phục hồi hiện tại giống như một tấm thảm được dệt bằng lụa, nhưng lại có hàng ngàn lỗ hổng nhỏ bên dưới. Liệu các nhà đầu tư có đủ kiên nhẫn để kiểm tra từng sợi chỉ, hay họ sẽ để toàn bộ tấm thảm bị xé toạc trong một cơn sốt FOMO?