Aave cải thiện quy định niêm yết sau vụ khai thác rsETH trị giá 230 triệu USD

Tiêu đề: Aave sửa đổi quy định niêm yết sau vụ khai thác rsETH trị giá 230 triệu USD phơi bày lỗ hổng cầu nối Aave đã khởi động cuộc rà soát toàn diện đối với mọi tài sản V3 và đang cải tổ các tiêu chuẩn niêm yết của mình sau vụ khai thác rsETH trị giá 230 triệu USD vào tháng Tư — vụ tấn công DeFi lớn nhất năm 2026 — cho thấy điểm yếu nhất có thể là cơ sở hạ tầng liên chuỗi xung quanh một token, chứ không phải mã của chính giao thức cho vay. Điều gì đã xảy ra - Vụ khai thác bắt nguồn từ rsETH của KelpDAO — một token ether “restaked” đại diện cho quyền yêu cầu ETH mà người dùng đã stake và tái sử dụng làm tài sản đảm bảo để kiếm thêm lợi nhuận. - Để chuyển rsETH giữa các chuỗi, KelpDAO dựa vào LayerZero — một hệ thống nhắn tin/cầu nối liên chuỗi sử dụng nhiều trình xác minh để xác thực tin nhắn. Trong sự cố này, một trình xác minh duy nhất đã phê duyệt một tin giả mạo. - Sự phê duyệt đó cho phép kẻ tấn công tạo ra 116.500 rsETH mà không có ETH thực tế hỗ trợ. Kẻ tấn công sau đó gửi những token này vào Aave và vay tiền, mà giao thức không thể thu hồi khi rsETH được phát hiện là vô giá trị. - Báo cáo hậu sự cố của Aave nhấn mạnh rằng các hợp đồng thông minh của Aave hoạt động đúng như thiết kế; nguyên nhân gốc rễ là sự thất bại trong xác minh cầu nối. LayerZero đã thừa nhận họ “đã mắc sai lầm” khi dựa vào cấu hình xác minh một-nhất cho các tài sản có giá trị cao. Phản ứng của Aave và các quy tắc mới - Aave cho biết sẽ tái cấu trúc các tiêu chuẩn niêm yết tài sản đảm bảo để đi xa hơn các kiểm tra truyền thống (biến động, thanh khoản, kiểm toán hợp đồng thông minh) và đánh giá rõ ràng cơ sở hạ tầng bên ngoài mà các token phụ thuộc vào. - Các yếu tố đánh giá mới sẽ bao gồm bảo mật cầu nối và mô hình xác minh, sự phụ thuộc vào oracle, hợp đồng và người giữ tài sản bên thứ ba, an ninh vận hành và thanh khoản thị trường thứ cấp. - Aave cũng đang xây dựng các biện pháp tự động để phản ứng nhanh hơn khi một tài sản thể hiện dấu hiệu căng thẳng. Một trong những biện pháp đề xuất sẽ tự động giảm tỷ lệ vay trên giá trị tài sản (LTV) về 0 nếu các ngưỡng rủi ro đã định trước bị vi phạm, cắt đứt khả năng vay trước khi tổn thất lan rộng. - Về mặt vận hành, nhóm rủi ro của Aave đã thực hiện khoảng 295 thay đổi thông số trên các thị trường V3 kể từ vụ khai thác — bao gồm 168 lần giảm giới hạn cung cấp và 66 lần cắt giảm giới hạn vay — nhằm hạn chế rủi ro đối với từng tài sản. Tại sao điều này quan trọng - Sự cố này nhấn mạnh một bài học rộng lớn hơn cho DeFi: khi các giao thức trở nên liên kết chặt chẽ hơn, cơ sở hạ tầng ngoài chuỗi và liên chuỗi (cầu nối, relayers, mạng xác minh) phải được coi là các vectơ rủi ro hàng đầu, song song với hợp đồng thông minh và rủi ro thị trường. - Sự chuyển dịch của Aave hướng tới niêm yết có nhận thức về cơ sở hạ tầng và các biện pháp tự động nhanh hơn có thể thiết lập một tiêu chuẩn ngành mới về cách các nền tảng cho vay đánh giá và quản lý tài sản đảm bảo phụ thuộc vào hệ thống bên thứ ba. Kết luận: Vụ khai thác rsETH không phá vỡ mã của Aave — nó phá vỡ một cầu nối. Báo cáo hậu sự cố của Aave lập luận rằng giải pháp không chỉ là vá lỗi, mà là một sự suy nghĩ lại căn bản về cách DeFi đo lường và phản ứng với rủi ro trên toàn bộ hệ thống.