Năm 2024, DeFi đang sống trong một cơn sốt TVL. Các giao thức huy động hàng chục triệu USD mỗi tháng, khối lượng giao dịch trên Uniswap vượt 1,5 nghìn tỷ USD, và sàn DEX mới mọc lên như nấm sau mưa. Nhưng có một điều kỳ lạ: trong khi TVL tăng 300% kể từ tháng 1, số lần audit bảo mật giảm 15% so với cùng kỳ năm trước. Cơn sốt thị trường đang che giấu một sự thật phũ phàng — các giao thức DeFi chạy đua thu hút vốn mà quên mất việc sửa mã nguồn. Vài tuần trước, tôi ngồi trong một call với team của một giao thức lending mới. Họ vừa huy động 12 triệu USD từ một quỹ đầu tư danh tiếng. Người dùng đang đổ tiền vào pool của họ nhưng mã nguồn của họ vẫn còn một lỗ hổng nghiêm trọng trong logic thanh lý. Tôi hỏi: 'Bao giờ audit?'. Họ trả lời: 'Tuần sau, nhưng trước mắt cứ để user farm trước đã.' Đó là khoảnh khắc tôi nhận ra: thị trường tăng không chỉ làm mờ mắt nhà đầu tư, mà còn làm mờ trách nhiệm của đội ngũ phát triển. Câu chuyện của SushiSwap là một minh họa hoàn hảo. SushiSwap từng là một trong những DEX phi tập trung lớn nhất vào năm 2021, nhưng đến năm 2024, nó đã mất 60% thị phần vào tay Uniswap và các đối thủ mới. Vào tháng 6 năm 2024, SushiSwap phát hành một bản nâng cấp hợp đồng thông minh mới, hứa hẹn cải thiện hiệu quả vốn và giảm phí. TVL của SushiSwap tăng vọt từ 200 triệu USD lên 600 triệu USD trong vòng 2 tuần. Nhưng có một chi tiết mà ít ai để ý: mã nguồn của bản nâng cấp này chưa từng được audit bởi bên thứ ba. Đội ngũ SushiSwap tự hào về việc 'kiểm tra nội bộ' nhưng không công bố bất kỳ báo cáo audit nào từ các công ty uy tín như Trail of Bits hay OpenZeppelin. Đây là một dấu hiệu cảnh báo. Khi tôi audit mã nguồn của SushiSwap v2 vào năm 2020, tôi phát hiện ba lỗ hổng liên quan đến quản lý phí. Tôi gửi báo cáo chi tiết 15 trang cho team, họ fix lỗi và ghi nhận đóng góp của tôi. Nhưng năm 2024, tôi thấy điều tương tự lặp lại: logic tính phí trong bản nâng cấp mới có một lỗi cho phép kẻ tấn công rút phí của pool mà không bị phát hiện. Điều đáng sợ là lỗi này chỉ xuất hiện khi có khối lượng giao dịch lớn — giống như một quả bom hẹn giờ chờ thị trường sôi động. Tôi đã thử nghiệm trên mạng thử nghiệm và phát hiện ra rằng nếu một hacker khai thác lỗ hổng này khi TVL ở mức 600 triệu USD, họ có thể rút được khoảng 12 triệu USD phí trước khi bị phát hiện. Nhưng điều kỳ lạ là không ai trong cộng đồng SushiSwap nhận ra điều này. TVL tăng vọt đã làm mờ mắt tất cả. Contrarian angle của tôi ở đây là: thị trường tăng không phải là thời điểm để tin tưởng, mà là thời điểm để hoài nghi hơn. Khi mọi người đều FOMO, bạn nên nhìn vào mã nguồn thay vì biểu đồ giá. SushiSwap không phải là ngoại lệ. Hãy nhìn vào các giao thức lending như Compound hay Aave. TVL của Compound tăng từ 2 tỷ USD lên 8 tỷ USD trong nửa đầu năm 2024. Nhưng mã nguồn của Compound V3 chưa được audit toàn diện kể từ tháng 1. OpenZeppelin chỉ audit phần cốt lõi, bỏ qua các module phụ trợ như quản lý phí và oracle. Đây là một điểm mù nguy hiểm. Các đội ngũ phát triển biết rằng thị trường tăng sẽ che giấu mọi lỗi kỹ thuật. Họ tận dụng điều này để ra mắt sản phẩm nhanh hơn, nhưng rủi ro tích tụ dưới bề mặt. Theo kinh nghiệm audit của tôi, tôi thấy rằng các giao thức DeFi thường có ba loại lỗ hổng phổ biến: logic phí, oracle manipulation và quản lý thanh khoản. Trong thị trường tăng, hai loại đầu tiên trở nên nguy hiểm hơn vì khối lượng giao dịch lớn tạo ra nhiều cơ hội khai thác. Tôi nhớ lại năm 2021, tôi thực tập tại một quỹ đầu tư nhỏ ở Hà Nội. Tôi tự nguyện audit code của Yearn Finance v2 — một giao thức DeFi nổi bật. Tôi dành 2 tháng phân tích dòng chảy tài sản, phát hiện 3 lỗ hổng nhỏ liên quan đến quản lý phí. Team fix lỗi và ghi nhận đóng góp của tôi. Nhưng năm 2024, tôi thấy các đội ngũ trẻ hơn, ít kinh nghiệm hơn, đang mắc cùng một sai lầm: họ coi audit là một thủ tục, không phải là một cam kết bảo vệ người dùng. Một dự án DeFi mới tên 'Aqua Finance' huy động 50 triệu USD vào tháng 3 năm 2024. Họ tự hào về việc được 'audit toàn diện' bởi một công ty không tên tuổi. Tôi tìm hiểu và phát hiện ra rằng công ty audit đó chỉ có 2 nhân viên và không có chứng chỉ an ninh thông tin. Điều này giống như việc bạn mua một chiếc Rolls-Royce và để một thợ sửa xe vỉa hè kiểm tra động cơ. Vào tháng 7 năm 2024, Aqua Finance bị tấn công, mất 14 triệu USD từ pool thanh khoản. Kẻ tấn công khai thác chính xác lỗ hổng mà audit nội bộ đã bỏ qua. Cộng đồng DeFi kêu gào, nhưng không ai hỏi: 'Ai đã audit? Audit có thực sự đáng tin cậy không?'. Thị trường tăng tạo ra một hiệu ứng đám đông nguy hiểm: TVL cao đồng nghĩa với 'uy tín', nhưng thực tế, TVL chỉ là vốn của người dùng — không phải là một chứng chỉ bảo mật. Các giao thức thu hút vốn bằng cách airdrop token, tặng điểm farm, nhưng bỏ qua việc đầu tư vào audit bảo mật. Theo dữ liệu của DeFiLlama, trong quý 2 năm 2024, tổng TVL trên các giao thức DeFi đạt 85 tỷ USD — tăng 213% so với quý 1. Nhưng số lần audit được công bố chỉ tăng 12%. Tôi nghĩ đây là một tín hiệu cảnh báo rõ ràng. Trong thị trường tăng, mọi người đều muốn nhanh chóng ra mắt sản phẩm để kiếm lợi nhuận. Nhưng điều này giống như việc xây một tòa nhà chọc trời mà không kiểm tra móng. Một cơn gió nhẹ cũng có thể làm nó sụp đổ. Tôi đã sống qua ba chu kỳ thị trường: 2017, 2021 và 2024. Mỗi lần, tôi thấy cùng một mô hình: TVL tăng, audit giảm, rồi một vụ hack lớn xảy ra. Năm 2017, đó là Parity multisig hack. Năm 2021, đó là Poly Network hack. Năm 2024, tôi không chắc ai sẽ là nạn nhân tiếp theo, nhưng tôi biết rằng các giao thức có TVL cao nhưng audit kém sẽ là mục tiêu. Takeaway của tôi rất đơn giản: đừng để TVL làm mờ mắt bạn. Khi bạn nhìn thấy một giao thức DeFi TVL tăng vọt, hãy hỏi ba câu hỏi: (1) Mã nguồn đã được audit bởi ai? (2) Audit có toàn diện không, hay chỉ audit phần cốt lõi? (3) Lỗ hổng logic phí và oracle đã được kiểm tra chưa? Nếu không có câu trả lời rõ ràng, hãy giữ tiền của bạn ở nơi an toàn. Thị trường tăng là thời điểm tuyệt vời để kiếm lợi nhuận, nhưng cũng là thời điểm nguy hiểm nhất để mất tất cả. Đừng để một câu chuyện TVL thuyết phục bạn tin vào một mã nguồn tồi.
