Nền tảng cho vay phi tập trung Aave đang đối mặt với những thách thức chưa từng có khi nhà cung cấp quản lý rủi ro của họ vừa công bố hai kịch bản nợ xấu khủng khiếp, xuất phát từ vụ tấn công Kelp DAO cuối tuần qua. Sự cố này không chỉ phơi bày lỗ hổng nghiêm trọng mà còn đặt ra câu hỏi lớn về tương lai của các giao thức liên kết trong DeFi.
Vụ việc chấn động bắt đầu vào thứ Bảy khi tin tặc đã đánh cắp 116.500 token Kelp DAO Restaked ETH (rsETH), trị giá 293 triệu USD, từ cầu nối LayerZero của Kelp DAO. Sau đó, chúng đã sử dụng số tài sản bị đánh cắp này làm tài sản thế chấp trên Aave V3 để vay Wrapped Ether (wETH), tạo ra một lỗ hổng nợ xấu khổng lồ.
Hôm thứ Hai, LlamaRisk, đối tác quản lý rủi ro của Aave, đã mô hình hóa hai kịch bản khả thi về cách thức khoản “nợ xấu” này có thể tác động đến Aave. Quyết định cuối cùng về cách phân bổ thiệt hại vẫn nằm trong tay Kelp DAO.
Sự cố này một lần nữa nhấn mạnh rủi ro lây lan trong không gian DeFi, nơi một vụ tấn công cầu nối duy nhất có thể châm ngòi cho cuộc khủng hoảng thanh khoản và làn sóng rút tiền ồ ạt trên các giao thức liên kết như Aave. Kể từ vụ tấn công Kelp DAO, gần 10 tỷ USD giá trị đã rời khỏi giao thức Aave, cho thấy mức độ ảnh hưởng nghiêm trọng của sự kiện này.
## Hai kịch bản và những con đường phía trước
**Kịch bản 1: Thiệt hại lan rộng, rsETH đối mặt nguy cơ mất giá**
Kịch bản đầu tiên sẽ phân bổ thiệt hại cho tất cả chủ sở hữu token rsETH trên Ethereum mainnet và các Layer 2 của Ethereum. Điều này dẫn đến khoảng 123,7 triệu USD nợ xấu trên Aave, đồng thời có nguy cơ khiến rsETH mất giá tới 15% so với Ether (ETH).
LlamaRisk nhận định rằng kịch bản này sẽ giúp phân tán thiệt hại mỏng hơn trên tất cả các chuỗi, với Wrapped Ether (wETH) sẽ chịu phần lớn tổn thất về mặt tuyệt đối nhưng gần như không đáng kể so với chiều sâu dự trữ của nó.
Aave cũng có thể sử dụng mô hình bảo mật Umbrella của mình để bù đắp các khoản lỗ bằng wETH trong kịch bản đầu tiên. Đáng chú ý, 18.922 token Aave Wrapped ETH (aWETH) trị giá gần 43,7 triệu USD đã bước vào giai đoạn rút tiền khỏi staking.
**Kịch bản 2: Thiệt hại dồn vào Layer 2, nợ xấu tăng vọt**
Kịch bản thứ hai sẽ chuyển toàn bộ khoản thiếu hụt sang các mạng Layer 2 của Ethereum, chẳng hạn như Arbitrum và Mantle. Tuy nhiên, khoản nợ xấu trong kịch bản này sẽ cao hơn đáng kể, lên tới 230,1 triệu USD.
LlamaRisk cũng cho biết Aave hiện có khoảng 181 triệu USD trong kho bạc của mình, số tiền này có thể được sử dụng để giải quyết khoản thiếu hụt nợ xấu tiềm năng.
## Kelp DAO hé lộ thêm về vụ tấn công
Hôm thứ Hai, Kelp DAO tuyên bố vẫn đang đánh giá tác động tài chính của vụ tấn công và cách để khởi động lại giao thức một cách an toàn. Họ cũng cho biết đang làm việc với Aave, LayerZero và các bên liên quan khác để tìm ra hướng giải quyết.
Kelp DAO đã chia sẻ thêm chi tiết về sự cố, tiết lộ rằng hai nút liên kết với cầu nối LayerZero đã bị xâm phạm, trong khi nút thứ ba bị tấn công từ chối dịch vụ phân tán (DDoS).
Kẻ tấn công đã giả mạo một tin nhắn chuyển khoản tưởng chừng hợp lệ mà hệ thống đã phê duyệt, cho phép 116.500 rsETH được đúc trên một trong các cầu nối của LayerZero.
Kelp cho biết họ đã tạm dừng tất cả các hợp đồng liên quan trên Ethereum và các Layer 2 của Ethereum, đồng thời đưa tất cả các ví liên quan đến kẻ tấn công vào danh sách đen ngay sau đó, ngăn chặn chúng đánh cắp thêm 40.000 rsETH trị giá 95 triệu USD.
tienso.org cam kết đưa tin độc lập và minh bạch. Bài viết này được sản xuất theo Chính sách Biên tập của tienso.org và nhằm cung cấp thông tin chính xác, kịp thời. Độc giả được khuyến khích tự mình xác minh thông tin.
