Aave đã công bố một báo cáo nêu ra hai kịch bản có thể xảy ra: khoảng 123 triệu USD thiệt hại nếu tổn thất được phân bổ trên toàn bộ rsETH, hoặc lên tới 230 triệu USD nếu chỉ giới hạn trong các Layer 2, với tác động cuối cùng phụ thuộc vào cách Kelp DAO phân bổ phần thiếu hụt.
20/04/2026, 21:03
Vụ exploit cầu nối (bridge) của Kelp DAO và LayerZero diễn ra vào cuối tuần đã khiến giao thức lending Aave có nguy cơ chịu thiệt hại lên tới 230 triệu USD, tùy thuộc vào cách tình huống được xử lý.
Theo báo cáo từ Aave Labs và đơn vị cung cấp dịch vụ LlamaRisk được đăng trên diễn đàn governance của Aave, sự cố xoay quanh rsETH — một token liquid restaking do KelpDAO phát hành. Để chuyển rsETH giữa các blockchain, giao thức sử dụng cơ chế bridge, khóa token ở chain gốc và phát hành bản sao tương ứng trên chain khác.
Kẻ tấn công đã khai thác cơ chế này bằng cách giả mạo một thông điệp chuyển tài sản trông có vẻ hợp lệ. Hệ thống đã chấp thuận giao dịch dù token thực tế không bị rút khỏi chain gửi, đồng nghĩa với việc token mới được “mint” mà không có tài sản bảo chứng, giải phóng 116.500 rsETH từ phía bridge trên Ethereum.
Thay vì bán ra thị trường, kẻ tấn công đã nạp 89.567 rsETH vào Aave làm tài sản thế chấp (collateral) và vay khoảng 190 triệu USD ETH và các tài sản liên quan trên Ethereum và Arbitrum. Điều này khiến Aave đối mặt với rủi ro khi tài sản thế chấp có thể không còn đủ giá trị bảo chứng.
Aave Labs cho biết đã nhanh chóng triển khai các biện pháp kiểm soát rủi ro. Chỉ trong vài giờ, giao thức đã đóng băng thị trường rsETH trên toàn hệ thống, đưa tỷ lệ loan-to-value (LTV) về 0 và ngừng cho vay mới đối với tài sản này.
Kết quả cuối cùng hiện phụ thuộc lớn vào cách Kelp xử lý phần thiếu hụt. Nếu tổn thất được phân bổ cho toàn bộ người nắm giữ rsETH, token này có thể bị depeg khoảng 15% (tức giá trị không còn tương ứng với ETH thực), dẫn đến khoảng 124 triệu USD nợ xấu (bad debt) cho Aave. Nếu tổn thất chỉ giới hạn ở các mạng Layer 2, tác động sẽ nghiêm trọng hơn nhiều, với nợ xấu có thể lên tới khoảng 230 triệu USD, tập trung tại các mạng như Arbitrum và Mantle.
Nguyên nhân của vụ exploit xuất phát từ điểm yếu trong cách Kelp xác thực thông điệp cross-chain thông qua LayerZero. Bằng cách thao túng quy trình này, kẻ tấn công khiến hệ thống tin rằng tài sản đã được bảo chứng đầy đủ dù thực tế không phải vậy, từ đó rút giá trị khỏi hệ thống. Bản thân LayerZero không bị hack trực tiếp, nhưng lớp messaging của nó đã làm lộ ra những giả định sai trong cách Kelp xác minh dữ liệu cross-chain.
Sự cố cũng làm dấy lên lo ngại rằng một số vị thế trên Aave đang được bảo chứng bởi tài sản bị định giá sai hoặc không còn đủ tài sản đảm bảo, làm gia tăng rủi ro các khoản vay thiếu tài sản thế chấp (undercollateralized).
Trước tình hình đó, người dùng đã nhanh chóng giảm mức độ tiếp xúc rủi ro. Khoảng 6 tỷ USD tổng giá trị khóa (TVL) đã bị rút khỏi Aave sau sự cố, phản ánh làn sóng rút vốn diện rộng khi thị trường phản ứng với sự bất định.
Sự kiện này cho thấy mức độ phụ thuộc gián tiếp của Aave vào các hệ thống bên ngoài. Tác động thể hiện qua rủi ro tài sản thế chấp gia tăng, áp lực lên các vị thế lending và sự sụt giảm mạnh về tiền gửi khi người dùng đánh giá lại mức độ an toàn của hạ tầng DeFi liên kết chặt chẽ.
Báo cáo cho biết kho bạc DAO của Aave hiện nắm giữ khoảng 181 triệu USD tài sản, đồng thời các cuộc thảo luận đang diễn ra với các bên trong hệ sinh thái để xử lý tổn thất tiềm năng. Kelp vẫn chưa công bố cách phân bổ thiệt hại, khiến mức độ ảnh hưởng cuối cùng đến Aave vẫn còn bỏ ngỏ khi tình hình tiếp tục diễn biến.
Đọc thêm tại đây: Kelp DAO claims LayerZero’s ‘default’ settings are what actually caused the massive $290 million disaster
Hơn 500 triệu USD đã bị rút khỏi hệ thống thông qua các vụ exploit Drift và Kelp chỉ trong hơn hai tuần. Những gì từng được xem là các sự cố riêng lẻ giờ đây lại giống như một chiến dịch kéo dài, nhiều khả năng được thúc đẩy bởi nhu cầu tài chính của một quốc gia đang bị trừng phạt.
Những điều cần biết:
- Vụ exploit Kelp cho thấy nhóm Lazarus của Triều Tiên đang tiến hóa vượt ra khỏi các vụ hack đơn lẻ, nhanh chóng chuyển chiến thuật từ social engineering sang khai thác các điểm yếu mang tính cấu trúc trong hạ tầng crypto, cho thấy đây là một chiến dịch có tổ chức và được nhà nước hậu thuẫn thay vì các sự cố riêng lẻ.
- Cuộc tấn công không phá vỡ cơ chế mật mã, mà tận dụng các lựa chọn thiết kế đã biết và cấu hình yếu, làm lộ ra…
(Đọc chi tiết tại đây)
