Aave đang đối mặt một trong những bài kiểm tra rủi ro lớn nhất năm khi vụ khai thác cầu nối của Kelp DAO có thể để lại khoản lỗ từ 123 triệu USD tới 230 triệu USD. Điểm đáng lo nhất không chỉ là số tiền, mà là cách một lỗi xác thực xuyên chuỗi đã biến rsETH thành tài sản thế chấp méo giá, rồi kéo theo làn sóng rút vốn gần 6 tỷ USD khỏi giao thức cho vay lớn nhất DeFi.
Lỗ hổng không nằm ở Aave, nhưng Aave vẫn lãnh đủ
Tâm điểm sự cố là rsETH, token restaking thanh khoản của KelpDAO. Theo báo cáo từ Aave Labs và LlamaRisk, kẻ tấn công đã giả mạo thông điệp chuyển tài sản qua cầu nối, khiến hệ thống chấp nhận phát hành token mới dù tài sản gốc chưa hề bị khóa ở chuỗi gửi đi.
Hệ quả là 116.500 rsETH được tạo ra mà không có bảo chứng thực. Đây là điểm mấu chốt: Aave không bị hack trực tiếp, nhưng lại trở thành nơi hấp thụ rủi ro khi loại tài sản méo giá này được mang vào giao thức để vay tài sản thật.
Kẻ tấn công dùng rsETH làm thế chấp để rút 190 triệu USD
Thay vì bán tháo ngay, kẻ tấn công gửi 89.567 rsETH vào Aave làm tài sản đảm bảo và vay ra khoảng 190 triệu USD dưới dạng ETH cùng các tài sản liên quan trên Ethereum và Arbitrum. Đòn đánh này biến một lỗi cầu nối thành bài toán nợ xấu cho hệ thống cho vay.
Aave đã phản ứng khá nhanh khi đóng băng các thị trường rsETH, đưa tỷ lệ vay trên giá trị tài sản về 0 và chặn các khoản vay mới dùng tài sản này. Nhưng phần thiệt hại thực vẫn còn treo lơ lửng, vì nó phụ thuộc vào việc Kelp DAO sẽ phân bổ khoản thiếu hụt như thế nào.
Aave đứng trước hai kịch bản xấu
Nếu tổn thất được chia đều cho toàn bộ người nắm giữ rsETH, mức mất neo ước tính khoảng 15% sẽ khiến Aave ghi nhận khoảng 124 triệu USD nợ xấu. Nhưng nếu thiệt hại chỉ bị nhốt trong các mạng Layer 2, rủi ro có thể phình lên tới 230 triệu USD, tập trung ở các hệ như Arbitrum và Mantle.
Đây là lý do thị trường phản ứng rất mạnh: rủi ro hiện chưa khóa lại ở một con số cuối cùng, mà vẫn đang phụ thuộc vào quyết định của KelpDAO, trong khi chính Kelp vẫn chưa công bố cách gánh lỗ cụ thể.
Cú sốc niềm tin mới của DeFi
Sự cố cũng làm lộ rõ điểm yếu cố hữu của DeFi hiện đại: một giao thức có thể quản trị rủi ro khá chặt nội bộ, nhưng vẫn bị đánh mạnh vì phụ thuộc vào các lớp hạ tầng bên ngoài. Khi tài sản thế chấp bị định giá sai hoặc không còn được bảo chứng đầy đủ, hiệu ứng dây chuyền là gần như không tránh khỏi.
Khoảng 6 tỷ USD đã bị rút khỏi Aave sau vụ việc, cho thấy người dùng không chờ tới khi báo cáo chốt thiệt hại mới phản ứng. Trong DeFi, niềm tin thường rút nhanh hơn thanh khoản.
Aave còn quỹ đệm, nhưng câu hỏi lớn vẫn để ngỏ
Quỹ dự trữ của DAO treasury Aave hiện có khoảng 181 triệu USD, nghĩa là giao thức vẫn còn bộ đệm nhất định để xử lý khủng hoảng. Nhưng nếu kịch bản xấu nhất thành hiện thực, khoản đệm đó vẫn có thể chịu áp lực rất lớn.
Vụ việc lần này là lời nhắc rõ ràng rằng rủi ro của DeFi không còn nằm ở từng giao thức riêng lẻ, mà ở chính mức độ liên kết giữa chúng. Với Aave, thiệt hại cuối cùng chưa được chốt. Nhưng ngay lúc này, cú hack Kelp DAO đã đủ để biến một tài sản restaking thành bài kiểm tra lớn về sức chịu đựng của cả hệ cho vay phi tập trung.
