Trải nghiệm sự cố KelpDAO: Aave không bị xâm nhập, tại sao rơi vào tình thế hiểm nghèo?
原文标题:Kelp DAO 在 rsETH 上的利用行为让 Aave 面临其「关键时刻」
原文作者:Gianmarco Marzotto
编译:Peggy,BlockBeats
编者按:4 月 18 日,发生了一笔约 11.65 万枚 rsETH 的异常转移,将整个 DeFi 领域推向一场突如其来的压力测试。被盗的资产迅速流入 Aave v3,作为抵押品借出大量 WETH,导致原本稳定运行的借贷系统迅速承压:ETH 池利用率达到 100%,潜在坏账规模接近 20 亿美元,资金在几小时内大规模撤离,由此产生了流动性危机。
表面上看,这似乎只是又一起跨链桥攻击事件;但更深层次的问题在于,这并非发生在 Aave 代码内部,而是通过一个「看似安全」的外部抵押资产传入。rsETH 在桥接、再质押和治理链路中的失效,导致其在经济上失去了可兑付性,而这种变化却滞后地反映在借贷系统中,最终演变为对协议偿付能力的直接打击。
在本文看来,DeFi 的风险结构正在发生变化。协议的安全性不再仅仅关乎「合约是否有漏洞」,而更关乎「所接受的抵押品,以及背后整个技术与治理链路的可靠性」。当流动性抵押、再质押和跨链基础设施层层叠加时,任何一环的失效都可能通过抵押链条放大为系统性冲击。
从结果来看,这是一个典型的「反噬效应」:曾被视为几乎无风险的再质押收益,在一天之内转变为流动性枯竭和坏账敞口。对于 Aave 来说,这是一次治理和风险管理的真正考验;对于整个 DeFi 生态而言,这也许是一个更清晰的提醒——在高度可组合的体系中,风险从未消失,只是被重新分配和延迟显现。
以下为原文:
引言:rsETH 不再是「零风险」的那一天
2026 年 4 月 18 日,DeFi 经历了一个将「理论」与「现实」彻底拉开距离的时刻:Kelp DAO 的 rsETH 跨链桥被利用,约 116,500 枚 rsETH(约合 2.92 亿至 2.93 亿美元)遭受攻击,成为截至目前本年度规模最大的 DeFi 黑客事件。
Các token bị đánh cắp không ở lại ở chỗ, mà đã nhanh chóng được chuyển vào Aave v3 làm tài sản thế chấp và vay ra WETH. Hành động này trực tiếp gây ra khủng hoảng thanh khoản và tạo ra nợ đến 1.7 tỷ đô la hoặc 2 tỷ đô la trong giao thức.
Khác với nhiều vụ tấn công trước đây, lần này không phải do lỗ hổng trong mã nguồn của Aave. Vấn đề đến từ "bên ngoài" - một nguồn giá tài sản đặc cấp ban đầu mà trước đây được coi là đáng tin cậy đã mất đi sự tin cậy trong thời gian ngắn.
Bài viết này sẽ trình bày cách sự kiện này diễn ra cụ thể, giải thích tại sao điều này giống hơn với một cuộc khủng hoảng thanh khoản hơn là một lỗ hổng bảo mật ở cấp độ Aave, và tiếp tục khám phá, trong một sinh thái DeFi ngày càng kết nối, sự kiện này có ý nghĩa gì đối với quản lý rủi ro.
Kelp DAO và rsETH Là Gì (và Tại Sao Họ Được Aave Mến Phục)
Kelp DAO là một giao thức tái thế chấp thanh khoản (liquid restaking) cho phép người dùng chuyển đổi ETH và các loại token thế chấp thanh khoản (như stETH, cbETH, v.v.) thành một loại token thanh khoản được gọi là rsETH, con token này được liên kết với tài sản cơ bản đang tái thế chấp trên EigenLayer.
Do đó, giá trị của rsETH đến từ một giỏ tài sản mà đã bị khóa trong hệ thống tái thế chấp. Mặc dù các tài sản cơ bản này có khả năng thanh khoản hạn chế, nhưng rsETH vẫn có thể lưu thông tự do trong toàn bộ sinh thái DeFi, được sử dụng làm tài sản thế chấp hoặc tham gia các chiến lược sinh lợi (yield farming).
Từ góc nhìn của Aave như một giao thức cho vay (thị trường tiền), rsETH "lí thuyết" là tài sản thế chấp lý tưởng gần như: nó có hỗ trợ thế chấp tốt, có nguồn thu nhập bổ sung và nhúng trong một sinh thái "blue-chip" như EigenLayer. Chính vì vậy, rsETH đã được niêm yết trên thị trường Aave v3 và v4, cho phép người dùng sử dụng nó làm tài sản thế chấp, vay ra tài sản có thanh khoản cao hơn (ví dụ như WETH).
Nhưng việc tích hợp này cũng mang lại sự thay đổi trong mô hình rủi ro: Khả năng thanh toán ETH của Aave không còn chỉ phụ thuộc vào thiết kế và an ninh nội bộ của giao thức, mà bắt đầu phụ thuộc vào các thành phần bên ngoài - bao gồm sự an toàn trong hoạt động của cầu nối liên chuỗi và toàn bộ công nghệ tái thế chấp hỗ trợ rsETH.
Con Đường Tấn Công: Từ Cầu Nối Liên Chuỗi Của Kelp đến Aave v3
Theo phân tích ban đầu trên chuỗi và các bài báo từ nhiều trang tin tức crypto, sự kiện này bắt đầu từ cầu rsETH qua cầu liên chuỗi của Kelp DAO dựa trên LayerZero.
Kẻ tấn công tận dụng lỗ hổng trong cơ chế tin nhắn qua chuỗi của mình (trong lzReceive của EndpointV2), rút ra khoảng 116,500 đồng rsETH từ adapter/bridge, tương ứng với quy mô tấn công khoảng 2.92 tỷ đến 2.93 tỷ USD khi sự kiện xảy ra.
Sau khi có được các đồng này, chiến lược tấn công từ mặt kinh tế là vô cùng "lý trí":
⋅ Gửi rsETH vào Aave v3 như tài sản thế chấp
⋅ Vay WETH càng nhiều càng tốt trên cơ sở vị thế đó (tận dụng việc rsETH lúc đó vẫn được giao thức công nhận hoàn toàn là tài sản thế chấp hợp lệ)
⋅ Chuyển hoặc thực hiện WETH đã vay ra tiền mặt để rút trích giá trị thanh khoản thực sự
⋅ Để rủi ro trong hệ thống Aave, đợi tài sản thế chấp sụt giảm giá trị sau này
Khi Kelp DAO phát hiện sự bất thường, họ nhanh chóng tuyên bố tạm dừng hợp đồng rsETH trên mainnet và nhiều hợp đồng rsETH trên L2 khác nhau để điều tra vụ tấn công, về bản chất là đóng băng đường dẫn thông thường và đường dẫn chuẩn hoá rsETH.
Trong khi đó, Aave cũng đã tạm dừng thị trường rsETH và wrsETH trên v3 và v4 một cách khẩn cấp và nhấn mạnh rằng hợp đồng thông minh của họ chưa bị xâm nhập, vấn đề chỉ giới hạn ở tài sản duy nhất này.
Nhưng vấn đề cốt lõi là: lúc này, rsETH đang làm tài sản thế chấp đã "vô hiệu" về mặt kinh tế.
Cầu liên chuỗi đã bị hút trắng, đường dẫn chuẩn hoá không xác định, cơ chế xác định giá bị rối loạn — và WETH đã vay trước đó dựa trên tài sản thế chấp của nó vẫn tồn tại trong thực tế.
Krach thanh khoản trên Aave: Mức sử dụng tiệm cận và "nợ xấu" có chữ số
Việc Kelp DAO đóng băng rsETH đã làm cho các vị thế trước đó sử dụng đồng này làm tài sản thế chấp không thể giải quyết một cách có trật tự. Cụ thể, các khoản vay WETH tương ứng với tài sản thế chấp này không thể thu được giá trị đủ qua việc xử lý rsETH, cơ chế ban đầu của giao thức như "người thanh khoản cuối cùng" đã mất hiệu lực trên các vị thế này.
⋅ Khoảng 116,500 đồng rsETH đã bị đánh cắp và gửi vào Aave v3
⋅ Quy mô khoản vay WETH trực tiếp tương ứng với những vị thế này ước lượng khoảng từ 1.77 tỷ đến 2.36 tỷ USD
⋅ Nếu tính cả rủi ro liên kết với các giao thức khác, quy mô nợ xấu tiềm năng có thể lên đến khoảng 2 tỷ USD
·Tỷ lệ sử dụng Quỹ ETH của Aave tăng lên 100% tạm thời, gần như không có tính thanh khoản có sẵn cho người dùng rút tiền (trừ khi sử dụng tính năng rút tiên)
Nỗi hoảng loạn lan rất nhanh: chỉ trong vài giờ, Aave đã chứng kiến hơn 54 tỷ USD đồng rút, trong đó hơn 1.5 tỷ USD từ Justin Sun, một trong những người tham gia lớn của giao thức.
Tổng giá trị khoái của Aave (TVL) đã giảm từ khoảng 458 tỷ USD xuống còn 357 tỷ USD trong thời gian ngắn, trong khi token AAVE đã giảm khoảng 17% đến gần 20% trong một ngày.
Một kết quả đầy cay đắng là, đối với người sử dụng cho vay stablecoin hoặc tài sản khác, lợi suất đã tăng vọt — do thiếu hụt vốn cho vay, lợi suất hàng năm đối với tiền stablecoin đã tăng lên khoảng 13%–14%, đây là tín hiệu điển hình cho thấy thị trường đã bước vào "chế độ khủng hoảng".
Sự Kiện Này Cho Thấy Bài Học Quản Lý Rủi Ro Trên Chuỗi
Vụ việc rsETH–Kelp DAO–Aave không chỉ đơn thuần là một vụ tấn công thông thường, mà còn giống như một trường hợp mẫu, đã phơi bày cách rủi ro có thể lan từ một giao thức sang một giao thức khác trong hệ thống tài chính DeFi có khả năng kết hợp cao.
Một số kết luận chính như sau:
Giao thức cho vay không tồn tại độc lập
Dù hợp đồng thông minh của Aave chưa bị xâm nhập, chỉ cần chấp nhận rsETH làm tài sản thế chấp đồng nghĩa với việc tự mình tiếp xúc trực tiếp với rủi ro bên ngoài — bao gồm cả an ninh hoạt động của cầu chuyển mạng và hệ thống đảm bảo lại tài sản ở sau.
Khi "khả năng thu hồi" sụp đổ, giá định giá từ bộ chỉ mục không đủ
Ngay cả khi giá trên chuỗi vẫn "hợp lệ" hình thức, một khi tài sản mất khả năng thu hồi hoặc thanh khoản (ví dụ, do tạm ngừng, tấn công hoặc đóng băng), tài sản đó sẽ không còn là tài sản thế chấp hợp lệ từ góc độ kinh tế. Quản lý rủi ro cần tính đến tính toàn vẹn cơ sở hạ tầng và yếu tố quản trị, không chỉ giá cả.
Cơ chế tạm ngừng khẩn cấp là một con dao hai lưỡi
Kelp DAO đã đóng băng hợp đồng rsETH, từ góc độ kiểm soát vấn đề tấn công là hợp lý, nhưng đối với Aave, điều này lại làm trầm trọng thêm vấn đề: tài sản thế chấp không thể thanh toán, làm cho việc thanh lý trở nên khó khăn hơn.
"Thế chấp phân tán" có thể tiến triển thành sự tập trung rủi ro hệ thống
Mỗi tài sản mới LRT, LST hoặc tài sản phái sinh phức tạp khác, sẽ mang vào một nguồn rủi ro mới. Ngay cả khi những tài sản này được nhiều giao thức (như Aave, Compound, Euler và các loại khác) đồng thời chấp nhận làm tài sản thế chấp, một cuộc tấn công qua cầu chuyển mạng có thể gây ra một hiệu ứng dây chuyền trên toàn hệ sinh thái.
Đối với Quản lý Rủi ro trên Chuỗi, sự kiện này về bản chất đã trở thành một "bản mẫu": Những gì được gọi là "Danh sách Đảm bảo Tài sản (collateral whitelisting)" không còn chỉ là đánh giá biến động giá cả nữa, mà đòi hỏi phải đo lường tính phức tạp và dễ tổn thương của toàn bộ chuỗi cung ứng công nghệ hỗ trợ tài sản đó.
Tầm nhìn: Sau sự kiện rsETH, Aave (và DeFi) có thể thay đổi như thế nào
Trong vài giờ sau cuộc tấn công, nhóm Aave và Guardian đã tái xác nhận rằng Hồ tiền vẫn hoạt động bình thường, sự kiện này chỉ liên quan đến tài sản liên quan rsETH và đang phối hợp với Kelp, LayerZero và các bên liên quan khác để nỗ lực kiểm soát phạm vi tác động tối thiểu.
Nhưng công việc thực sự mới chỉ bắt đầu: cách xử lý tín dụng xấu, xem xét việc kích hoạt Mô-đun An toàn / Cơ chế Ô (Safety Module / Umbrella), và cập nhật chiến lược niêm yết tài sản sẽ trở thành những thử thách quan trọng của cấp quản trị.
Một số hướng có thể được tăng tốc sau sự kiện này bao gồm:
· Áp dụng thông số niêm yết cẩn thận hơn đối với LRT / Tài sản Liên chuỗi: LTV thấp hơn, giới hạn tín dụng nghiêm ngặt hơn, và yêu cầu kiểm toán đa cấp đối với kịch bản tấn công liên chuỗi.
· Xây dựng khung xác định lượng để đo lường "Rủi ro cây cầu liên chuỗi" (bridge risk) và "Rủi ro hệ thống tái thế" (restaking stack risk), tương tự cách hiện tại đang mô hình hóa biến động giá và tương quan tài sản.
· Tăng cường sự chú ý đối với vấn đề tập trung tài sản đảm bảo: Không chỉ giới hạn theo từng tài sản mà còn giới hạn theo "loại rủi ro" (ví dụ như tài sản phát sinh từ cung cấp LRT cụ thể hoặc cơ sở hạ tầng tin nhắn cụ thể).
· Thúc đẩy sự phát triển vai trò Mô-đun An toàn: Bao gồm đóng góp AAVE, quỹ bảo hiểm và hồ tiền dự phòng, từ "đường phòng cuối cùng" chuyển thành một phần của việc quản lý rủi ro hệ thống hàng ngày.
Đối với người dùng, sự kiện này cũng phát ra tín hiệu rõ ràng: Sử dụng các loại token kết hợp phức tạp làm tài sản đảm bảo thật sự có thể tăng thu nhập, nhưng đồng thời cũng đồng nghĩa với việc phải chịu rủi ro trong một loạt các rủi ro thường bị bỏ qua - bao gồm lỗ hổng cầu liên chuỗi, vấn đề quản trị tái thế, và cơ chế tạm dừng khẩn cấp của giao thức upstream.
Một lời nhắc nhở về Bản chất Thu nhập DeFi
Cuộc tấn công rsETH lần này không phá vỡ mã nguồn của Aave, nhưng đã nhìn thấy một vấn đề quan trọng: Khi tài sản đảm bảo dựa trên cấu trúc tín dụng phức tạp, tái thế lưu thông và cầu liên chuỗi, tính nhạy cảm của giao thức với sốc bên ngoài sẽ tăng đáng kể.
Trong vài tháng qua, lợi nhuận dường như “an toàn” đã biến thành một cuộc rút vốn vượt quá 100 tỷ USD trong vòng một ngày, cùng với tình trạng nguy cơ thanh khoản cao nhất lên đến khoảng 2 tỷ USD.
Nếu phải rút ra một bài học chính, đó là: trong DeFi, lợi nhuận luôn là yếu tố định giá rủi ro — chỉ là, trước khi xảy ra sự kiện hệ thống đầu tiên, rủi ro này thường bị đánh giá thấp.
Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:
Nhóm Telegram đăng ký: https://t.me/theblockbeats
Nhóm Telegram thảo luận: https://t.me/BlockBeats_App
Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia
