#Aave #rsETH #RiskManagement #An NinhCrypto

An ninh – Khủng hoảng Aave có kiểm soát được không?
Một $200M lỗ hổng, phản ứng toàn ngành, và ý nghĩa của nó đối với rủi ro DeFi

Vào ngày 18 tháng 4 năm 2026, giao thức đặt lại thanh khoản Kelp DAO đã chịu đợt khai thác DeFi lớn nhất trong năm. Một kẻ tấn công lợi dụng lỗ hổng trong cầu nối sử dụng LayerZero của Kelp, tạo ra khoảng 116.500 rsETH trị giá khoảng $292 triệu đô la mà không cần gửi ETH nền tảng. Các token không được đảm bảo này sau đó được đăng làm tài sản thế chấp trên Aave V3 để vay khoảng $236 triệu đô la WETH và wstETH.

Kết quả: khoảng $124 triệu đến $230 triệu đô la nợ xấu nằm trên Aave, tùy thuộc vào cách phân bổ thiệt hại giữa các chuỗi. Trong vòng 48 giờ, hơn $9 tỷ đô la tiền gửi đã rút khỏi Aave. Tổng giá trị bị khóa giảm từ 26,4 tỷ đô la xuống còn 17,9 tỷ đô la. TVL toàn hệ thống DeFi giảm hơn $13 tỷ đô la.

1. Chuyện gì đã xảy ra và tại sao Aave lại bị ảnh hưởng
Cuộc tấn công không làm tổn hại các hợp đồng thông minh của Aave. Rủi ro xuất phát từ rsETH, một token đặt lại thanh khoản được chấp nhận làm tài sản thế chấp. Khi cầu nối bị rút sạch, rsETH mất đi sự hỗ trợ của nó. Giá của nó sụp đổ, biến các khoản vay khỏe mạnh thành các vị thế chìm trong nước mà không thể thanh lý. Các Quản trị viên của Aave đã đóng băng các thị trường rsETH, wrsETH, và WETH và đặt tỷ lệ vay trên giá trị về 0.

Tỷ lệ sử dụng WETH tăng vọt lên 100%. Người dùng không thể rút tiền. Lãi suất vay ETH, USDT, USDC tăng lên 8% và 14%. Giao thức không bị hack, nhưng đã hấp thụ rủi ro hệ thống của một tài sản bên ngoài.

2. Phản ứng: DeFi Đoàn Kết
Ngành công nghiệp đã phản ứng nhanh chóng. Một nỗ lực cứu trợ phối hợp gọi là “DeFi United” đã được thành lập để khôi phục sự hỗ trợ cho rsETH. Các đóng góp chính cho đến nay:
• Aave DAO: Đề xuất 25.000 ETH, trị giá khoảng $58 triệu đô la, từ quỹ dự trữ của nó. Người sáng lập Stani Kulechov cam kết 5.000 ETH cá nhân. • Mantle: Đề xuất một khoản vay tín dụng lên tới 30.000 ETH để giúp Aave hấp thụ nợ xấu còn lại. • Quỹ EtherFi Foundation: 5.000 ETH. • Lido DAO: Tối đa 2.500 stETH. • Quỹ Golem: 1.000 ETH. • Hội đồng Bảo mật Arbitrum: Đã đóng băng và chuyển 30.700 ETH truy nguyên từ kẻ khai thác, hiện đang xem xét đề xuất quản trị để phát hành vào quỹ phục hồi.
Bao gồm các cam kết cá nhân và của giao thức, quỹ hiện có khoảng 69.534 ETH, tương đương khoảng $161 triệu đô la. Với số ETH Arbitrum bị đóng băng, các nhà phân tích ước tính khoản thiếu hụt có thể được bù đắp hoàn toàn nếu tất cả các đề xuất đều được thông qua.

Kelp DAO tự báo cáo đã thu hồi được 73.700 ETH, mặc dù còn khoảng 89.500 ETH chưa được khắc phục tính đến cuối tuần trước.

3. Giao thức có khả năng chống chịu không? Ba tín hiệu

Tốc độ kiểm soát: Aave đã tạm dừng các thị trường trong vòng một giờ sau khi khai thác và ngăn chặn các khoản vay bổ sung. Vectors tấn công nằm ngoài giao thức, nhưng các kiểm soát rủi ro đã kích hoạt nhanh chóng.

Năng lực Quỹ dự trữ: Quỹ dự trữ của Aave DAO giữ khoảng $181 triệu đô la, trong đó có $62 triệu đô la các tài sản liên quan đến ETH. Đề xuất 25.000 ETH là một trong những phản ứng khẩn cấp lớn nhất dựa trên quỹ dự trữ trong lịch sử DeFi. Mô-đun An toàn Umbrella đã giữ khoảng $50 triệu đô la trước sự kiện.

Phối hợp liên chuỗi: Đây là lần đầu tiên nhiều DAO, L2, và nhà cung cấp hạ tầng chuyển tiền vào một phương tiện chung để bảo vệ một giao thức khỏi nợ xấu. Tiền lệ này quan trọng: nó cho thấy quản trị có thể phân bổ vốn quy mô lớn dưới áp lực.

4. Niềm tin chưa hoàn toàn được khôi phục
Các số liệu cho thấy tiến bộ, nhưng sự tự tin cần thời gian để phục hồi. Số dư staking của Aave giảm 33% từ $45 tỷ đô la xuống còn $30 tỷ đô la trong ba ngày. Tổng TVL của DeFi giảm hơn 27% kể từ đầu năm. Các nhà phân tích nhận thấy các vụ khai thác lặp lại đang ảnh hưởng đến sự quan tâm của các tổ chức.

Vụ khai thác cũng phơi bày rủi ro cấu trúc: cầu nối vẫn là điểm yếu nhất. Cuộc tấn công sử dụng cấu hình DVN 1-đến-1 trên LayerZero, nơi một verifier bị xâm phạm có thể ký một thông điệp gian lận. Không có chìa khóa nào bị đánh cắp. Không có lỗi hợp đồng thông minh. Chỉ là phá hoại hạ tầng.

5. Tại sao Quản lý Rủi ro vẫn còn quan trọng
• Tiêu chuẩn tài sản thế chấp: Các tài sản có phụ thuộc vào cầu nối điểm đơn tạo ra rủi ro hệ thống. Các giao thức hiện đang đánh giá lại các token cầu nối đủ điều kiện làm tài sản thế chấp. • Phân quyền DVN: LayerZero và các nền tảng khác đang chuyển sang thiết lập nhiều verifier hơn. Flare đã mở rộng từ hai lên bốn verifier sau sự kiện. • Bộ đệm nợ xấu: Quản trị của Aave đang thử nghiệm xem quỹ dự trữ và các mô-đun an toàn có thể bao phủ các sự kiện rủi ro cực đoan mà không phải xã hội hóa thiệt hại. Phiếu bầu về khoản chi 25.000 ETH là biến số ngay lập tức.

Aave đã bao phủ hoặc chuẩn bị sẵn sàng khoảng 80% khoản lỗ thông qua sự kết hợp của các khoản thu hồi, đóng góp của DAO, và cam kết của hệ sinh thái. Các hợp đồng cốt lõi của giao thức không bị xâm phạm, và phản ứng khẩn cấp đã ngăn chặn một chuỗi lây lan lớn hơn.

Điều này thể hiện phản ứng mạnh mẽ của giao thức và khả năng chống chịu thực sự dưới áp lực. Nhưng cũng là một lời nhắc nhở: trong DeFi, rủi ro không bị loại bỏ, mà được chuyển đổi. Cầu nối, oracles, và token đặt lại thanh khoản là các lớp tin cậy mới. Quản lý chúng giờ đây là hạ tầng then chốt.

Niềm tin chưa hoàn toàn bị phá vỡ, nhưng cũng chưa hoàn toàn được khôi phục. Cách Aave xử lý nợ xấu, cách rsETH lấy lại sự hỗ trợ, và cách quản trị cập nhật chính sách tài sản thế chấp sẽ quyết định liệu đây có trở thành một nghiên cứu điển hình về phục hồi hay một cảnh báo về độ phức tạp.
#GateSquareDaily