Khi "blue-chip" DeFi gặp sự cố, ai sẽ chịu trách nhiệm?

Tác giả：Route 2 FI Nguồn: blackswans Dịch: Thân Opa, Kim Sắc Tài Chính

Aave vừa mới chịu thiệt hại nặng nề, chuyện này đã không còn đơn thuần là “một giao thức bị hack” nữa.

Một vụ tấn công qua cầu cross-chain rsETH, đã để lại một khoản nợ xấu lên tới hàng chục triệu đô la trong thị trường tiền tệ DeFi vốn dĩ nên là an toàn nhất.

Hiện tại, toàn ngành buộc phải đối mặt với một vấn đề tàn khốc: Khi các DeFi blue-chip sụp đổ, cuối cùng ai sẽ là người trả giá?

Khi “blue-chip” DeFi gặp vấn đề, ai sẽ đứng ra gánh chịu?

Cuối tuần trước, Aave, một giao thức DeFi được xem là “blue-chip”, thức dậy và thấy rõ một lỗ hổng lớn trên bảng cân đối kế toán.

Kẻ tấn công lợi dụng lỗ hổng của cầu cross-chain rsETH của KelpDAO — thông qua ứng dụng toàn chuỗi LayerZero — đã vô cớ tạo ra một lượng lớn rsETH không thế thế chấp, rồi dùng làm tài sản thế chấp gửi vào Aave. Sau đó, kẻ tấn công vay WETH thật để rút ra và bỏ chạy. Kết quả cuối cùng: Pool WETH chính của Aave phải gánh khoản nợ xấu khổng lồ.

Về mặt logic mã hợp đồng, “chạy bình thường”. Nhưng thực tế đã dạy cho DeFi một bài học: khả năng thanh toán của giao thức phụ thuộc vào thiết kế cầu cross-chain, khuyến khích quản trị và quản lý rủi ro, trong đó người gửi tiền cuối cùng có thể trở thành người gánh chịu thiệt hại.

Tóm tắt sự kiện: chuyện đã xảy ra những gì?

1. Ứng dụng rsETH dựa trên LayerZero của Kelp bị tấn công ở tầng truyền tin nhắn

2. Kẻ tấn công dụ cầu cross-chain trong trạng thái không có thế chấp thực, để tạo và phát hành rsETH

3. Lượng rsETH không thế chấp này được gửi vào Aave V3 làm tài sản thế chấp

4. Dựa vào đó, kẻ tấn công vay WETH khổng lồ và các tài sản khác rồi biến mất

5. Sau khi lỗ hổng bị phát hiện, tài sản thế chấp rsETH hoàn toàn trở thành rác, cơ chế thanh lý không thể khắc phục khả năng thanh toán

Cuối cùng, Aave rơi vào tình cảnh:

• Nợ người dùng khoản WETH gửi vào

• Tài sản thế chấp lại là rsETH không còn được thị trường công nhận nữa, chênh lệch giữa hai bên chính là khoản nợ xấu.

Tại sao chuyện này lại gây ảnh hưởng lớn đến DeFi?

Chuyện này không đơn thuần là “một lỗi cấu hình cầu cross-chain”.

1. “Tin tưởng vào mã code, không vào con người” đã thất bại

Mã code thực thi đúng lệnh, vấn đề nằm ở sự phối hợp của nhiều hệ thống: một token staking qua cầu cross-chain (LST) có tham số thế chấp cực kỳ rủi ro, kết hợp với một thị trường tiền tệ đã mất dần các nhóm quản trị và các nhà đóng góp cốt lõi đã rút lui.

2. DeFi là hạ tầng chứ không phải ứng dụng thông thường

Aave không phải là một pool nhỏ vô danh, mà là trung tâm của kho bạc tổ chức, quỹ, cá mập và người dùng bình thường gửi ETH để kiếm lợi nhuận. Khi một nền tảng như vậy đột nhiên xuất hiện khoản nợ xấu khổng lồ, câu nói “DeFi là hạ tầng tài chính an toàn, vững chắc” lập tức bị phá vỡ.

Sau khi lỗ hổng bị phát hiện, người dùng gửi ETH và stablecoin vào Aave vội vàng rút tiền, khiến tỷ lệ utilization của pool WETH tăng vọt lên 100%. Tỷ lệ utilization 100% nghĩa là trong pool không còn thanh khoản nào nữa — dù trên sổ sách vẫn còn khoản gửi, nhưng không thể rút ra được, chỉ còn chờ người vay trả hoặc có dòng tiền mới chảy vào. Thêm vào đó, Aave đã phong tỏa rsETH và các thị trường liên quan để tự bảo vệ, làm tăng thêm nỗi hoảng loạn về việc bị kẹt vốn.

Khoản nợ xấu phát sinh từ vay rsETH không thể thanh lý bình thường, khiến pool WETH của Aave bị thiếu hụt vốn, trong khi không có cơ chế tự động bổ sung thanh khoản. Trước khi có các giải pháp quản trị và bảo hiểm để xử lý nợ xấu, hạn mức rút tiền của một số pool hoàn toàn phụ thuộc vào chênh lệch dòng tiền mới chảy vào và dòng tiền rút ra.

Nguy hiểm hơn, phản ứng dây chuyền tiếp theo bắt đầu khi người dùng phát hiện không thể rút tiền gửi, nhưng vẫn còn hạn mức vay. Để tránh trở thành người cuối cùng gánh chịu rủi ro, họ bắt đầu vay mượn tối đa, cố gắng rút ra các stablecoin và ETH. Logic rất đơn giản: vì không thể rút tiền gửi, nên sẽ lấy giá trị ra bằng cách vay mượn. Người gửi tiền từ vị thế cho vay trở thành người vay mượn trong một đêm.

Chủ nợ vay mượn kiểu này làm cho các pool vốn đã đầy tải lại càng thêm căng thẳng, thanh khoản còn lại bị hút sạch trong chốc lát, rủi ro hệ thống tăng cao đột biến. Đòn bẩy cao cộng với nợ xấu sẽ khiến quá trình xử lý rủi ro và tái cấu trúc vốn sau này đắt đỏ hơn.

Các pool chính (WETH, USDC, USDT) liên tục gần chạm 100% utilization, hàng tỷ đô la tài sản không thể rút ra, dòng tiền mới chảy vào bị hút sạch trong chớp nhoáng.

Tinh thần mất niềm tin lan rộng:

• Cá mập và tổ chức rút khỏi Aave khoảng 50–80 tỷ USD

• Giá token AAVE giảm mạnh

• Tổng giá trị khóa (TVL) của toàn ngành DeFi giảm, dòng vốn rút khỏi các giao thức cho vay và cross-chain tương tự (Morpho, Sky, Fluid, Kamino, v.v.)

Các giao thức tích hợp rsETH hoặc dùng LayerZero đều tạm dừng cross-chain, đóng băng thị trường hoặc siết chặt tham số, làm trầm trọng thêm tình trạng thiếu thanh khoản, dòng vốn liên chuỗi gần như ngưng trệ.

Nếu các tổ chức và người dùng bắt đầu xem “thị trường tiền tệ DeFi blue-chip” như một sản phẩm có rủi ro cao mang tính cấu trúc, toàn bộ chi phí vốn của DeFi sẽ tăng vọt: giảm gửi tiền, lãi suất tăng, yêu cầu thế chấp khắt khe hơn, tất cả các sản phẩm dựa vào tài sản cross-chain và LST nhiều tầng sẽ liên tục mất giá.

3. “Mã code là pháp luật” thất bại trước “quản trị là cuộc chơi”

Vụ tấn công diễn ra rất nhanh, nhưng các nguy cơ chết người đã được giấu kín trong các quyết định quản trị suốt nhiều tháng:

• Tăng dần tỷ lệ vay (LTV) của rsETH

• Thu hẹp các dự phòng an toàn

• Mở rộng quy mô một cách mù quáng

• Mất dần các nhân sự chủ chốt về quản trị và quản lý rủi ro

Vị trí của khoản nợ xấu trong Aave: lỗ hổng nằm ở đâu?

Nói đơn giản:

• Một số người gửi WETH để kiếm lợi

• Kẻ tấn công dùng lỗ hổng tạo rsETH làm tài sản thế chấp, vay WETH

• Sau khi rsETH không thể thanh lý theo giá ban đầu, giao thức thiếu hụt WETH của người gửi

Khoản thiếu hụt này chính là nợ xấu. Về bản chất:

• Pool WETH thiếu thế chấp

• Tổng số nợ của người gửi lớn hơn giá trị tài sản còn lại của hệ thống

Trong các giao thức DeFi trước đây, các tình huống tương tự thường có ba giải pháp:

1. Dùng ngân quỹ hoặc phát hành token để pha loãng (giao thức chịu thiệt hại)

2. Người gửi giảm giá trị khoản gửi (người dùng chịu thiệt hại)

3. Kết hợp cả hai, dùng “token phục hồi” như một câu chuyện để cứu vãn

Nhưng Aave trong vài năm qua đã sửa đổi cơ chế bảo hiểm, khiến tình hình trở nên phức tạp hơn.

Ai sẽ là người trả tiền?

Vấn đề tranh cãi rất đơn giản: Hiện tại, ai sẽ là người chịu trách nhiệm thanh toán cho Aave?

Mô hình Aave truyền thống

• Người gửi token AAVE vào kho bảo hiểm để đảm bảo an toàn cho giao thức

• Khi thiếu hụt, một phần token AAVE bị giảm giá và bán ra để tái cấu trúc vốn

• Đổi lại, người gửi token nhận lợi nhuận và quyền quản trị

Đây là hợp đồng mặc định: người gửi tiền cung cấp thanh khoản để kiếm lợi; người stake token AAVE chịu rủi ro cuối cùng, được bù đắp rủi ro.

Thực tế đã hoàn toàn thay đổi

Khi Aave chuyển sang kiến trúc và sản phẩm mới:

• Cơ chế giảm token của kho bảo hiểm gần như mất tác dụng

• Rủi ro bảo hiểm chuyển sang các tài sản, thị trường cụ thể, theo mô hình “ô” mới (như aWETH)

• Trong một số cấu trúc mới, vốn rủi ro không còn là token AAVE do người gửi token stake nữa, mà là tài sản của người gửi tiền

Vì vậy, thứ tự chịu thiệt hại thực tế của thị trường WETH bị ảnh hưởng gần như:

1. Người gửi trong pool: qua việc đóng băng thanh khoản, giảm giá tài sản hoặc bắt buộc tham gia tái cấu trúc để gánh thiệt hại

2. Cơ chế bảo hiểm của giao thức: quyết định có dùng ngân quỹ hoặc thiết kế lại kế hoạch tái cấu trúc

3. Chủ sở hữu AAVE: chỉ bị thiệt hại khi cơ chế mới thực sự thực thi giảm hoặc pha loãng token, còn trước đó không trực tiếp chịu thiệt hại như trước nữa

Đây là một hợp đồng ngầm hoàn toàn khác biệt. Nếu ban đầu bạn gửi ETH vào Aave với niềm tin “người stake AAVE sẽ bảo vệ”, thì giờ đây có thể bạn sẽ nhận ra: chính bạn mới là người gánh chịu thiệt hại. Sự khác biệt về nhận thức này gây tổn hại nặng nề đến uy tín của DeFi — các mô hình rủi ro quảng cáo, trong quá trình quản trị phức tạp, đã sớm bị lệch khỏi thực tế.

Tại sao chuyện này lại thay đổi hoàn toàn nhận thức về rủi ro của DeFi?

Có người nghĩ: “Chỉ một vụ tấn công 3 tỷ USD rồi sẽ qua thôi.” Nhưng thực tế, ảnh hưởng của chuyện này rất sâu rộng, các nhà đầu tư chuyên nghiệp sẽ phải định giá lại rủi ro DeFi từ nhiều góc độ.

1. Blue-chip không đồng nghĩa với quy mô, kinh nghiệm và thương hiệu thấp rủi ro. Ngược lại, có thể khiến quản trị vì lợi ích và thị phần mà liên tục cắt giảm các biện pháp an toàn, tin tưởng vào “vương miện thương hiệu”.

2. Cầu cross-chain và LST mang rủi ro hệ thống toàn chuỗi, một ứng dụng bị tấn công có thể gây ra khủng hoảng khả năng thanh toán của thị trường tiền tệ. Bất kỳ giao thức nào xem các tài sản cross-chain là tài sản thế chấp chất lượng cao đều sẽ bị xem xét kỹ lưỡng.

3. Định giá rõ ràng rủi ro gửi tiền Nếu người gửi tiền phải gánh thiệt hại trước người nắm giữ token, thì “hệ thống an toàn” đang định giá sai. Các khoản gửi tiền từng coi Aave như tài khoản tiết kiệm trên chuỗi cần phải sửa lại logic này. Trong tài chính truyền thống, điều này tương tự như phát hiện “tiền gửi ngân hàng được bảo hiểm” lại có thứ tự ưu tiên thấp hơn các trái phiếu phức tạp do ngân hàng phát hành.

Ảnh hưởng trực tiếp trong 24 giờ

• Tổng khóa DeFi toàn mạng giảm hơn 100 tỷ USD trong 24 giờ

• Khóa Aave mất 66 tỷ USD, lập kỷ lục rút lớn nhất trong lịch sử DeFi

• Giá token AAVE giảm từ 118 USD xuống còn 90 USD

• Khoản nợ xấu của Aave khoảng 196 triệu USD (sau cập nhật là 236 triệu USD)

• Tỷ lệ utilization của WETH trong Aave chạm 100%

Chuyện gì sẽ xảy ra tiếp theo?

Ban quản trị cần trả lời ba câu hỏi then chốt, câu trả lời sẽ quyết định mức độ thiệt hại của DeFi lần này:

1. Người gửi tiền có thể nhận đủ bồi thường không?

• Bồi thường đầy đủ: dùng ngân quỹ hoặc pha loãng token, giữ vững niềm tin người dùng, nhưng gây tổn hại cho chủ sở hữu AAVE và mô hình kinh tế dài hạn

• Giảm giá trị một phần: gây tổn thương lâu dài cho thương hiệu Aave, nhưng phù hợp với logic “người gửi tiền mặc định gánh rủi ro của giao thức”

3. AAVE có thực sự sẽ được dùng để bảo hiểm không? Hay câu chuyện đã chết?

• Nếu khoản nợ xấu hàng chục triệu USD không thể kích hoạt các biện pháp giảm thiểu thực chất, thì AAVE như một quỹ rủi ro chỉ còn danh nghĩa

• Nếu thực sự kích hoạt cơ chế bảo hiểm, Aave mới có thể duy trì hệ thống đáng tin cậy, chứng minh token chủ sở hữu thực sự là người gánh rủi ro

5. Ngành có thể rút ra bài học thực sự không?

• Kết luận nông cạn: đừng dùng LayerZero, cầu cross-chain, LST

• Bài học thực sự: nếu lớp thế chấp dựa vào thông điệp cross-chain và LTV cao, thì phải chấp nhận rủi ro hệ thống và định giá phù hợp

Dù Aave chọn con đường nào, cũng sẽ tạo ra tiền lệ. Các thị trường tiền tệ khác và các giao thức LST đều đang theo dõi sát sao — đây là cuộc khủng hoảng khả năng thanh toán lớn đầu tiên trong kỷ nguyên toàn chuỗi.

Tổng kết

Sự kiện rsETH–Aave quan trọng vì nó đã vạch rõ khoảng cách giữa tuyên truyền và thực tế của DeFi:

DeFi tự hào là minh bạch, quy tắc rõ ràng. Nhưng thực tế, câu hỏi cốt lõi là ai sẽ gánh chịu thiệt hại? Cuối cùng vẫn là do các cuộc chơi, các khuyến khích và các cuộc bỏ phiếu quản trị quyết định.

Nợ xấu đã rõ ràng, chắc chắn sẽ có người phải trả. Câu hỏi duy nhất là: đó là những người được thông báo sẽ bảo vệ hệ thống (chủ sở hữu AAVE), hay là những người chỉ muốn gửi ETH để kiếm lợi?