Ngày 18 tháng 4 năm 2026, sáng sớm, chỉ vài giờ sau vụ tấn công KelpDAO, nhà phát triển Solidity có tên 0xQuit đã đăng một bài viết trên X.

「Tôi hy vọng mình mang lại tin tức tốt hơn, nhưng WETH trên Aave dường như đã hỏng. Nếu có thể, hãy rút tiền, nhưng có lẽ đã quá muộn. Sau khi Umbrella giải quyết, tiền gửi bình thường có thể được rút một phần. Điều này là một cú sốc lớn đối với tầm nhìn DeFi.」

Khi bài viết này được đăng, người sáng lập Aave Stani Kulechov vừa đăng một tuyên bố khác trên cùng một nền tảng: rsETH đã bị đóng băng, hợp đồng thông minh của Aave 「không bị tổn thương」, vấn đề xuất phát từ phía Kelp DAO. Hai bài viết cuộn dọc song song trên một dòng thời gian duy nhất.

Cả hai bài viết đều nói đúng. Nhưng chúng đang trả lời các câu hỏi khác nhau. Stani đang trả lời câu hỏi ai đã thay đổi mã, 0xQuit đang trả lời câu hỏi ai sẽ chịu hậu quả.

Đáp án là: Không có mã nào bị thay đổi. Nhưng hậu quả đó, rơi vào mỗi người đã gửi WETH vào Aave, người tưởng họ chỉ đang kiếm một ít lãi suất.

Trong sáu tháng trước vụ tấn công, hệ thống quản trị của Aave đã phê duyệt mỗi quyết định đã làm cho sự việc này trở thành khả năng. Không ai đã hack bất kỳ mã nào. Một ai đó đã sử dụng một tập hợp các quy tắc đã được phê duyệt, để làm cho giao thức sụp đổ theo cách đã thiết kế. Điều này xứng đáng được nói rõ từ đầu.

Mười Hai Ngày

Ngày 6 tháng 4, người sáng lập Chaos Labs Omer Goldberg đã đăng bài viết trên X tuyên bố rằng, sự hợp tác giữa Chaos Labs và Aave DAO sẽ chính thức kết thúc.

Trong ba năm qua, Chaos Labs đã dẫn dắt việc quản lý thông số rủi ro của Aave. Trong khoảng thời gian này, TVL của Aave đã tăng từ 52 tỷ USD lên hơn 260 tỷ USD. Đằng sau mỗi tỷ USD tăng trưởng, đều có mô hình của Chaos Labs đang tính toán ranh giới: thông số nào có thể điều chỉnh, thông số nào không thể chạm vào.

Goldberg đã nêu ba lý do rời bỏ. Một là 「sự không đồng lòng cơ bản」 trong chiến lược rủi ro, đặc biệt là sau khi Aave V4 giới thiệu kiến trúc mới. Hai là sự phức tạp trong vận hành mà V4 mang lại tăng đáng kể, nhưng việc bồi thường tài nguyên không tương xứng. Ba là thậm chí sau cả một kế hoạch ngân sách trị giá 5 triệu USD, Chaos Labs vẫn đang hoạt động lỗ, không bền vững về mặt kinh tế.

「Mối quan hệ đối tác này không còn phản ánh cách chúng tôi nghĩ về việc quản lý rủi ro nữa,」 ông viết.

Phản ứng từ phía Aave đến rất nhanh. Stani Kulechov cho biết giao thức sẽ không ngừng hoạt động, tổ chức quản lý rủi ro LlamaRisk sẽ đảm nhận toàn bộ trách nhiệm, 「Hệ thống quản lý rủi ro hai lớp tiếp tục duy trì」. LlamaRisk sau đó công bố, cam kết 「liên tục vận hành toàn diện」, và trong vòng một tuần đã nộp đề xuất gia hạn chính thức cho Aave DAO. Từ bên ngoài, đây là một cuộc chuyển giao có tổ chức.

Ba ngày sau đó, vào ngày 9 tháng 4, LlamaRisk với tư cách là người quản lý rủi ro mới đã nộp đầu tiên bản điều chỉnh thông thường: nâng hạn mức cung rsETH trên mạng chính Aave V3 từ 480,000 đến 530,000 đồng. Lý do là dữ liệu trên chuỗi, tỷ lệ sử dụng lành mạnh, tính thanh khoản đầy đủ, tập trung vị thế trong ngưỡng cho phép. Không có bất kỳ dấu hiệu ngoại lệ nào.

Mới chín ngày sau đó, vào lúc 17:35 UTC ngày 18 tháng 4, kẻ tấn công đã gọi hợp đồng EndpointV2 của LayerZero trên mạng chính Ethereum, đưa một gói dữ liệu liên chuỗi giả mạo vào hợp đồng cầu rsETH của Kelp DAO. Hợp đồng cầu không nhận ra rằng tin nhắn này là giả mạo. 116,500 đồng rsETH đã chuyển tới địa chỉ được kiểm soát bởi kẻ tấn công.

Bốn mươi sáu phút sau đó, cơ chế tạm dừng khẩn cấp của Kelp DAO được kích hoạt, ngăn chặn đợt cố gắng lấy cắp tiếp theo của kẻ tấn công, hai lần cố gắng này kết hợp lại có khoảng 100 triệu đô la Mỹ. Tuy nhiên, số tiền đầu tiên đã không thể khôi phục. Mục tiêu của kẻ tấn công là khoảng 390 triệu đô la Mỹ, họ đã nhận được ba phần tư số tiền đó.

Trước khi cơ chế tạm dừng được kích hoạt, kẻ tấn công đã nạp số rsETH đã lấy trội vào Aave V3 làm tài sản thế chấp, vay ra một lượng lớn WETH và ETH. Giá thị trường của rsETH bắt đầu sụt giảm sau khi tin nhắn tấn công lan rộ, giá trị tài sản thế chấp bốc hơi theo đó. Những vị thế ban đầu vẫn công nhận về mặt kỹ thuật trở nên không thể thanh toán. Công nợ xấu từ đó ra đời.

Tài liệu chưa từng được viết

Vào ngày 19 tháng 1 năm 2026, cộng đồng Aave đã thông qua đề xuất quản trị số 434. Trọng tâm của đề xuất là thêm WETH vào LST E-Mode của rsETH, đồng thời tăng tỷ lệ giá trị tài trợ tối đa của rsETH trong chế độ này từ 92.5% lên 93%. Sự thay đổi nhỏ nhưng ý nghĩa rõ ràng, người dùng có thể vay ra 93 đô la Mỹ của WETH từ Aave bằng 100 đô la Mỹ của rsETH.

Đề xuất này được thúc đẩy bởi ACI (Aave Chan Initiative, Tổ chức Quản trị Lõi của Aave). Văn bản đề xuất xác định rõ: thông qua việc giới thiệu chiến lược vòng lặp rsETH/WETH, hấp thụ lưu lượng ETH dư thừa trong giao protokô, dự kiến sẽ mang lại "đến 10 tỷ USD dòng tiền rsETH", đồng thời đưa tỷ lệ sử dụng hồ WETH trở lại trong khoảng tối ưu.

Đề xuất còn có một lý do khác, diễn đạt trực tiếp hơn, là để "duy trì mức cạnh tranh với ezETH, weETH". Kể từ khi tài sản LRT của đối thủ đã nhận được các tham số tương tự trên Aave, rsETH cũng nên được cân nhắc.

Đây là một logic quyết định rất phổ biến trong DeFi, được gọi là so sánh cạnh tranh. Đối thủ của bạn có được gì, bạn cũng nên có, nếu không, thanh khoản sẽ bị thoát đi. Trong bối cảnh tìm kiếm hiệu quả vốn, logic này gần như không thể bị bác bỏ. Nó cũng mang trong mình một áp lực đơn hướng, các tham số chỉ có thể tăng lên, không thể giảm đi. Bất kỳ đề xuất nào muốn thắt chặt tham số sẽ bị coi là "giảm khả năng cạnh tranh". Kết quả là toàn bộ ngành công nghiệp đều đang dần dần di chuyển theo cùng một hướng, mà không ai đang tự hỏi hướng đó là đâu.

Mở tài liệu quản trị của đề xuất 434, có một điều không thể tìm thấy: một bản báo cáo đánh giá rủi ro cụ thể về việc "LTV của rsETH có thể tăng lên 93% không". LlamaRisk đã từng nộp một bản đánh giá rủi ro tài sản đầy đủ vào tháng 11 năm 2024 khi rsETH lần đầu tiên niêm yết, phân tích cơ chế tích lũy lợi nhuận của rsETH, cấu trúc hợp đồng thông minh và đặc điểm lưu thông. Nhưng bản báo cáo đó đã trả lời "rsETH có thể được niêm yết trên Aave". Khi đề xuất 434 đề cử LTV lên 93%, cơ sở của tài liệu quản trị là so sánh ngang cấp và dự kiến thu nhập giao protokô.

Hai giao protokô khác với rsETH đã đưa ra câu trả lời khác nhau, SparkLend đặt LTV cho rsETH là 72%, giao protokô Fluid sử dụng tỷ lệ tín dụng tối thiểu cố định tương đương với khoảng 75% LTV. Cả hai giao protokô đã hoàn thành việc đóng băng thị trường rsETH trong vài giờ sau khi xảy ra cuộc tấn công. Con số của Aave là 93%. 21 điểm phần trăm còn lại, đổi lấy là sự cạnh tranh mạnh mẽ.

Ngày 6 tháng 4, Chaos Labs đã thông báo rút lui khỏi Quản lý Rủi ro của Aave. Ngày 9 tháng 4, LlamaRisk mới tiếp quản đã nộp một đề xuất điều chỉnh điều kiện rủi ro thông thường, nâng mức cung cấp rsETH từ 48 nghìn đến 53 nghìn. Lý do là dữ liệu trên chuỗi lành mạnh, tỷ lệ sử dụng bình thường, thanh khoản dồi dào, tập trung vị thế trong phạm vi chấp nhận được. Tất cả các chỉ số đều đến từ chuỗi.

Các chỉ số trên chuỗi ghi lại tình trạng lưu thông của rsETH trong Aave, bao gồm số người đang sử dụng, mức độ phân tán rủi ro, và tính thanh khoản. Những điều mà chúng không thể bao phủ là: trước khi rsETH đến Aave, nó đã đi qua một chiếc cầu nào.

Một Cảnh Báo Không Được Đọc Hiểu

Vào lúc nửa đêm ngày 10 tháng 3 năm nay, chuỗi Ethereum bắt đầu xuất hiện một loạt các giao dịch thanh lý không bình thường. 34 vị thế đòn bẩy cao sử dụng wstETH làm tài sản thế chấp đã liên tiếp kích hoạt đường thanh lý mà không có bất kỳ cảnh báo nào. Người dùng chưa kịp phản ứng thì các robot thanh lý đã hoàn tất giao dịch.

Nguyên nhân kích hoạt là do hệ thống Oráculo CAPO của Aave gặp một lỗi cấu hình, tỷ lệ chụp ảnh không khớp với thời điểm chụp ảnh, dẫn đến giá báo cáo của wstETH khoảng 1.1939, trong khi tỷ giá thị trường thực tế khoảng 1.228. Sai biệt là 2.85%, trong điều kiện bình thường gần như có thể bỏ qua.

Tuy nhiên, trong môi trường E-Mode, 2.85% sự đánh giá thấp hơn về giá đủ để đẩy 34 vị thế đòn bẩy cao qua đường thanh lý, tạo ra khoảng 27 triệu USD lỗ thanh lý sai lầm. Từ Chaos Labs với hệ thống Edge Risk gửi ra lời khuyên, đến BGD với AgentHub thực hiện trong khối tiếp theo, và sau đó robot thanh lý hoàn tất giao dịch, toàn bộ chuỗi đã chạy xong trong vài phút. Không để lại cửa sổ cho can thiệp của con người.

Sau sự kiện, Chaos Labs đã phát hành báo cáo phân tích. Kết luận là: "Sự kiện này không phản ánh lỗi thiết kế của hệ thống CAPO hoặc dự đoán rủi ro ngoại chuỗi, mà do cấu hình trên chuỗi trong các ràng buộc cập nhật khác nhau dẫn đến sự không khớp giữa tỷ lệ chụp ảnh và thời điểm chụp ảnh."

Vấn đề là cấu hình, không phải thiết kế. Sự cố, không phải cảnh báo.

Aave đã thông qua đề xuất quản trị, bồi thường đầy đủ người dùng bị ảnh hưởng từ quỹ thu hồi và kho bạc DAO. Sự việc đã kết thúc theo cách đó. Sau đó, một báo cáo ngành viết rằng, "Mặc dù có sự kiện này, tổng số tiền gửi và vay của Aave vẫn ổn định vào đầu năm 2026, không làm suy yếu đáng kể lòng tin vào thiết kế cốt lõi của giao thức."

Sáu tuần sau, thuật ngữ "thiết kế cốt lõi" này sẽ trải qua một cuộc thử nghiệm khác, quy mô thay đổi một cấp độ.

Hóa Đơn Đã Được Gửi Đến

Khoảng một giờ sau vụ tấn công, Stani Kulechov trên X nhấn mạnh rằng, hợp đồng thông minh của Aave "không bị tổn thương". Ở mặt kỹ thuật không có vấn đề gì, không có mã lỗi được tấn công, không có khóa riêng được đánh cắp, hợp đồng hoạt động chính xác theo cách nó được thiết lập.

Vấn đề nằm ở đây. Khi rsETH bị tấn công rút mãi và giá trị giảm đột ngột, thiết kế "liên kết cao" của E-Mode đã phản tác dụng: hệ thống tiếp tục xem rsETH đã giảm giá mạnh như là tài sản thế chấp hợp lệ, WETH và ETH đã được cho vay không thể thanh lý bình thường. Cơ chế thiết kế để tăng cường hiệu quả vốn bị đảo ngược trong trường hợp cực đoan trở thành một khóa tín dụng chiếm khoản xấu.

Ước tính quy mô các khoản xấu khoảng từ 177 triệu đến 200 triệu USD (theo nhiều nguồn như Phemex, Yahoo Finance, v.v.), tổng giá trị của các vị thế cho vay mà kẻ tấn công đã mở lớn hơn 236 triệu USD (theo CryptoBriefing). Với việc sử dụng 116,500 đồng rsETH làm tài sản thế chấp, dưới sự giữ tỷ lệ giá trị thế chấp (LTV) E-Mode 93%, có thể mượn tối đa khoảng 272 triệu USD WETH, vượt qua giới hạn của LTV tiêu chuẩn 72% khoảng 62 triệu USD, E-Mode đã nén độ an toàn từ 28% xuống còn 7%, bất kỳ biến động giá nhẹ nào cũng đủ khiến vị thế mất kiểm soát.

Aave có một cơ chế an toàn được thiết kế đặc biệt cho tình huống như vậy, gọi là Umbrella. Người dùng có thể thế chấp aWETH vào kho an toàn của Umbrella để đổi lấy lợi nhuận bổ sung, khi có thâm hụt từ các khoản xấu trong giao thức, phần tài sản này sẽ bị tự động hủy bỏ để bù đắp khoản lỗ, không cần can thiệp bằng công cuộc bỏ phiếu quản trị. Người dùng tự nguyện thế chấp chủ yếu là những người hiểu rõ thiết kế cơ chế, sẵn lòng trao đổi vốn để nhận lãi suất cao hơn, đồng thời chấp nhận chức năng bảo kê của giao thức, là những người ủng hộ tích cực của giao thức. Umbrella đã ra mắt vào cuối năm 2025, thay thế Mô-đun An toàn phiên bản cũ, và đây là lần thử nghiệm thực sự đầu tiên của nó.

Umbrella hiện có khoảng 50 triệu USD WETH để hấp thu lỗ (theo Forbes). Quy mô các khoản xấu là từ 177 triệu đến 200 triệu USD. Khoảng cách giữa hai con số này, khoảng từ 127 triệu đến 150 triệu USD.

Phần này sẽ được chịu bởi các nhà gửi tiền không thế chấp thông thường WETH. Tài liệu chính thức của Aave về cơ chế Umbrella mô tả rằng: "Sau khi tài sản thế chấp bị hủy, 'Người còn lại cung cấp WETH nên có thể rút ra một phần, nhưng không đảm bảo hoàn toàn khôi phục, người gửi tiền có thể phải đối mặt với haircut." "Haircut" có nghĩa là mất một phần vốn.

Vào đêm tấn công, Marc Zeller đã lên tiếng. Anh ấy là người sáng lập ACI, cũng là người ủng hộ chính của đề xuất 205 và 434, sẽ rời khỏi Aave vào tháng 7 năm nay. Anh ấy phản bác các ước lượng "cực đoan" về quy mô nợ xấu từ bên ngoài, gọi con số thực tế "thấp hơn nhiều" và khuyến khích người dùng rút WETH từ Aave V3 để giảm thiểu rủi ro. Anh ấy cũng bổ sung rằng "sự kiện này sẽ hiệu quả kiểm tra Umbrella", như là một cuộc thử nghiệm áp lực, chứ không phải là sự mất vốn thực sự của người dùng.

Vào ngày đó, token AAVE giảm 10.27%, đóng cửa ở mức 105.73 đô la. Điều này xảy ra khi quy mô nợ xấu vẫn chưa được xác định, và một lượng lớn người gửi WETH đang chờ đợi thời điểm giải ngân của Umbrella.

Kết luận

Bài đăng của 0xQuit đã được lan truyền rộng rãi vào đêm tấn công. Trong số những người đăng bài, có rất nhiều người gửi WETH của Aave. Trước khi lan truyền, họ đã đọc những hàng đó điều đó một vài lần. "Sau quá trình giải ngân của Umbrella, việc gửi tiền bình thường có thể rút một phần." "Một phần" có nghĩa là bao nhiêu? "Bình thường" có ý nghĩa gì? "Có thể" trong từ ngữ này, lại tượng trưng cho điều gì?

Cuối cùng câu cuối cùng của 0xQuit là "Điều này là một đòn đau lớn đối với tầm nhìn DeFi." Trong tầm nhìn DeFi, có một điều: tài sản của bạn, quy tắc của bạn, không ai có thể thay bạn đưa ra quyết định mà bạn không biết.

Những quyết định đó được đưa ra trong văn bản đề xuất trên diễn đàn quản trị trong vòng sáu tháng qua. Không có hacker tấn công bằng vũ lực, không có lỗ hổng mã nguồn nào từ đầu đã định sẵn kết quả này. Đó là một loạt những nỗ lực về "hiệu quả", sự bỏ qua liên tục về "tín hiệu", và một khoảng thời gian im lặng quyết định, cùng nhau đã gửi mã QR này. Chi phí của quản trị, cuối cùng sẽ được trả bởi những người không tham gia quản trị và không biết rằng quản trị đã xảy ra.

Mã được thực thi theo cách đã được chấp thuận. Hóa đơn được gửi đến những người không tham gia vào những sự chấp thuận đó.

Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:

Nhóm Telegram đăng ký: https://t.me/theblockbeats

Nhóm Telegram thảo luận: https://t.me/BlockBeats_App

Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia