Sau vụ vi phạm bảo mật trên cầu rsETH của KelpDAO, Aave đã công bố bản cập nhật tình trạng toàn diện. Giao thức mô tả chi tiết nền tảng kỹ thuật của sự cố, tác động đến Aave và các kịch bản thiệt hại tiềm ẩn trong báo cáo mới.
Theo tuyên bố, các nhà cung cấp dịch vụ kết nối với Aave DAO hiện đang đánh giá các kịch bản “nợ xấu” tiềm ẩn có thể phát sinh trong giao thức và đang phối hợp với các bên tham gia hệ sinh thái để đóng khoảng trống này.
Theo báo cáo, cuộc tấn công xảy ra vào ngày 18 tháng 4 năm 2026 trên tuyến đường Unichain-Ethereum rsETH dựa trên LayerZero V2 của Kelp. Kẻ tấn công được cho là đã rút 116.500 rsETH từ bộ điều hợp Ethereum bằng một gói xác thực giả mạo, sau đó phân phối các tài sản này đến nhiều địa chỉ, thế chấp một phần trên Aave V3 và vay WETH và wstETH. Theo dữ liệu của Aave, kẻ tấn công đã sử dụng tổng cộng 89.567 rsETH làm tài sản thế chấp trên Aave, đồng thời vay khoảng 82.650 WETH và 821 wstETH. Một phần lớn các vị thế này được mở trên các mạng Ethereum và Arbitrum.
Aave đã cụ thể hóa rằng sự cố không xuất phát từ các hợp đồng thông minh của chính họ. Theo giao thức, lỗ hổng bảo mật hoàn toàn đến từ cơ sở hạ tầng bên ngoài mà tài sản rsETH được liên kết, và các hợp đồng, hệ thống oracle, cũng như cơ chế thanh lý của Aave đều hoạt động như thiết kế trong suốt quá trình. Sau khi phát hiện sự cố, các khoản dự trữ rsETH và wrsETH đã bị đóng băng trên tất cả các phiên bản Aave V3, tỷ lệ vay trên giá trị tài sản đảm bảo trong các thị trường liên quan đã được giảm xuống bằng 0, và các giao dịch phát hành hoặc vay mới đã bị ngừng lại. Ngoài ra, mô hình lãi suất WETH trên các chuỗi khác nhau đã được cập nhật, và các biện pháp đóng băng bổ sung đã được thực hiện tại các thị trường WETH để ngăn chặn sự lan rộng của các khoản vay mới.
Aave đã trình bày hai kịch bản bồi thường cho các thiệt hại xảy ra
Báo cáo đã xem xét hai kịch bản chính cho các khoản tổn thất tiềm ẩn. Trong kịch bản đầu tiên, nếu tổn thất được phân bổ đều trên toàn bộ nguồn cung rsETH, tổng nợ xấu trên Aave có thể đạt khoảng 123,7 triệu USD. Trong trường hợp này, tổn thất tuyệt đối lớn nhất sẽ xảy ra trên Ethereum Core, trong khi tác động tỷ lệ nặng nề nhất sẽ xảy ra trên chuỗi Mantle. Kịch bản thứ hai giả định rằng tổn thất chỉ được phản ánh trên các tài sản rsETH trên L2. Trong trường hợp này, ước tính tổng nợ xấu tăng lên 230,1 triệu USD. Theo báo cáo, trong kịch bản này, áp lực lớn nhất sẽ rơi vào nguồn dự trữ WETH trên Mantle, Arbitrum và Base.
Theo dữ liệu do Aave chia sẻ, quỹ DAO nắm giữ tổng cộng 181 triệu USD tài sản tính đến ngày 20 tháng 4 năm 2026. Trong số các tài sản này, 62 triệu USD bao gồm các sản phẩm liên quan đến ethereum, 54 triệu USD là các token AAVE và 52 triệu USD là stablecoin. Ngoài ra, giao thức báo cáo đã tạo ra 145 triệu USD doanh thu trong suốt năm 2025 và đạt 38 triệu USD doanh thu và 16 triệu USD lợi nhuận ròng kể từ đầu năm 2026. Aave cho biết họ không chỉ dựa vào nguồn lực quỹ mà còn dựa vào cam kết hỗ trợ từ các đại diện hệ sinh thái.
Tin liên quan: Allegations of Major Manipulation in an Altcoin - Crypto Detective ZachXBT Speaks Out
Một điểm đáng chú ý khác trong báo cáo là tình trạng thiếu thanh khoản trên các thị trường WETH. Báo cáo cho biết nguồn dự trữ WETH trên Ethereum, Arbitrum, Base, Linea và Mantle hiện đã đạt mức sử dụng 100%. Điều này khiến các nhà cung cấp thanh khoản gặp khó khăn hơn trong việc tiếp cận WETH miễn phí trong quá trình thanh lý, làm gia tăng áp lực lên hệ thống. Aave cho biết mặc dù hệ thống nhìn chung vẫn tiếp tục hoạt động, nhưng các quyết định bên ngoài, đặc biệt là cách phân bổ tổn thất rsETH, sẽ xác định kết quả cuối cùng.
Bạn sẽ mong đợi gì từ cơ chế Umbrella?
Trong báo cáo do Aave công bố, “Umbrella” (còn được gọi là mô-đun bảo mật/bảo hiểm) nổi bật như một trong những chủ đề quan trọng trong bối cảnh khủng hoảng rsETH. Cơ chế này hoạt động như một lớp bảo mật nhằm bảo vệ một số khoản dự trữ bằng cách kích hoạt trong các trường hợp “nợ xấu” có thể xảy ra trong giao thức.
Theo các chi tiết được Aave chia sẻ, module Umbrella hoạt động như một bộ đệm, đặc biệt dành cho nguồn dự trữ WETH trên mạng chính Ethereum (Core). Thông thường, module này hoạt động thông qua một hồ sơ được tạo ra bằng cách stakes một số tài sản nhất định, và khi giao thức chịu tổn thất, các tài sản trong hồ sơ này có thể được sử dụng để bù đắp một phần khoản thiếu hụt thông qua “slashing” (giảm trừ).
Tuy nhiên, trong bối cảnh khủng hoảng rsETH hiện tại, Aave đã đưa ra đề xuất đáng chú ý liên quan đến mô-đun Umbrella: tạm ngừng hoạt động nó. Lý do chính là để ngăn chặn việc mô-đun được kích hoạt sớm và mất kiểm soát trong kịch bản xấu nhất có thể xảy ra (đặc biệt nếu tổn thất lan rộng khắp toàn bộ hệ thống), từ đó ngăn chặn sự hao hụt nhanh chóng các tài sản đã stakes.
Theo báo cáo, một phần lớn trong số khoảng 23.500 WETH hiện đang được staking dưới Umbrella đang ở giai đoạn “đang chờ hủy staking”. Điều này cho thấy các nhà đầu tư đang chuẩn bị rút tiền của họ, làm dấy lên nguy cơ chạy ngân hàng.
Mặt khác, có nêu rằng trong kịch bản thứ hai (khi tổn thất chỉ giới hạn ở rsETH trên các mạng L2), mô-đun Umbrella có thể không cần được kích hoạt. Điều này là do mô-đun này chỉ bao gồm các khoản dự trữ trên mạng chính ethereum, và tổn thất từ các mạng L2 nằm ngoài phạm vi của cơ chế bảo mật này.
Tóm lại, mặc dù Umbrella được xem là “lớp phòng thủ cuối cùng” quan trọng mà Aave có thể sử dụng trong thời điểm khủng hoảng, nhưng trong tình hình hiện tại, việc giữ nó ở trạng thái sẵn sàng một cách kiểm soát được coi là chiến lược an toàn hơn so với việc triển khai trực tiếp.
*Đây không phải là lời khuyên đầu tư.