#KelpDAO跨链桥遭攻击 rsETH Vấn đề xử lý ba hướng sau vụ hacker: khó cân bằng giữa uy tín nợ xấu và khả năng chịu đựng rủi ro của KelpDAO, thử thách uy tín của KelpDAO và khả năng chịu đựng rủi ro của Aave. Người sáng lập DefiLlama 0xngmi đã phân tích ba hành trình có thể xảy ra sau vụ hacker rsETH, tất cả đều có nhược điểm rõ ràng, quyết định cuối cùng sẽ kiểm tra uy tín của KelpDAO và khả năng chịu đựng rủi ro của Aave.

Hướng 1: Tất cả người dùng cùng gánh chịu thiệt hại. KelpDAO sẽ giảm 18.5% thiệt hại theo tỷ lệ cho tất cả các chủ sở hữu rsETH. Hiện tại, toàn mạng Aave có khoảng 666,000 rsETH được thế chấp, chủ yếu trên mainnet và L2 với đòn bẩy cao (giả định đều ở mức thanh lý LTV 95%). Một khi thiệt hại xã hội xảy ra, tất cả các vị thế trên mainnet sẽ bị xóa sạch, đồng thời tạo ra khoảng 216 triệu USD nợ xấu. Giao thức Umbrella có thể bù đắp 55 triệu USD nợ xấu, kho bạc Aave sẽ chịu thêm 85 triệu USD, còn thiếu khoảng 76 triệu USD. KelpDAO có thể vay hoặc bán token Aave (hiện có giá trị khoảng 51 triệu USD) để bù đắp, nhưng điều này vẫn gây áp lực lớn lên Aave, và tất cả người dùng đều phải cùng gánh chịu thiệt hại.
Hướng 2: Rút lui trực tiếp khỏi rsETH trên L2. KelpDAO chỉ bảo vệ rsETH trên mainnet, coi rsETH trên L2 là vô giá trị. Hiện tại, Aave L2 có khoảng 359 triệu USD giá trị thế chấp rsETH (tính theo giá oracle hiện tại), nếu tính đòn bẩy tối đa, sẽ gây ra khoảng 341 triệu USD nợ xấu, và không thể nhận được sự bảo vệ của giao thức Umbrella. Aave chỉ có thể dùng kho bạc hoặc vay mượn để cứu vãn phần nào thị trường, khả năng cao sẽ bỏ qua các chuỗi có thiệt hại lớn như Arbitrum, Mantle và Base, dẫn đến sụp đổ các thị trường L2 này. Phương án này ảnh hưởng ít đến mainnet của Aave, nhưng sẽ gây tổn hại nghiêm trọng đến uy tín hệ sinh thái L2, có thể gây ra phản ứng dây chuyền.
Hướng 3: Cố gắng hoàn trả chỉ cho các chủ sở hữu tại thời điểm snapshot trước khi bị hack, rất khó thực thi. KelpDAO cố gắng chỉ hoàn trả đầy đủ cho các chủ rsETH trước khi xảy ra hacker theo snapshot, còn các chủ mua hoặc chuyển nhượng sau đó sẽ tự chịu thiệt hại. Tuy nhiên, do vốn đã bị rút ra nhiều sau vụ tấn công, và bản chất của giao thức DeFi là pool thanh khoản, không thể phân biệt thực sự các nhóm gửi tiền khác nhau, nên thực thi kỹ thuật rất phức tạp. Hacker đã vay 124 triệu USD trên Aave mainnet, 18 triệu USD trên Arbitrum, sau khi trừ đi phần được bảo vệ bởi Umbrella, còn lại khoảng 91 triệu USD thiệt hại. Phương án này về lý thuyết có thể giảm thiểu ảnh hưởng lan rộng, nhưng thực tế gần như không thể thực hiện, dễ gây tranh cãi về pháp lý và cộng đồng.