Aave đối mặt với rủi ro lên tới 230 triệu USD sau vụ khai thác cầu nối Kelp DAO và LayerZero

Gần đây, một vụ khai thác DeFi liên quan đến Kelp DAO và cầu nối LayerZero đã đặt giao thức cho vay Aave vào nguy cơ mất vốn lên tới 230 triệu USD. Sự việc làm gia tăng lo ngại về an toàn chuỗi chéo, rủi ro của token restaking có tính thanh khoản và khả năng phát sinh rủi ro hệ thống trong tài chính phi tập trung.

Diễn biến vụ khai thác và cơ chế gây rủi ro

Theo báo cáo liên ngành giữa Aave Labs và LlamaRisk, vấn đề xoay quanh rsETH, một token restaking có tính thanh khoản do Kelp DAO phát hành. Kẻ tấn công nhắm vào cơ chế cầu nối chuỗi chéo dùng để chuyển rsETH giữa các mạng.

Thông thường, token sẽ bị khóa trên một blockchain và token tương đương được mint trên blockchain khác. Tuy nhiên, kẻ tấn công đã thao túng quy trình bằng cách làm giả một thông điệp chuyển tiền trông hợp lệ, từ đó tạo ra các token chưa được thế chấp.

Số liệu thiệt hại và khoản vay tại Aave

Kết quả của hành vi này là khoảng 116.500 rsETH được phát hành trên Ethereum mà không có backing thế chấp phù hợp. Thay vì bán các tài sản này, kẻ tấn công đã sử dụng 89.567 rsETH để làm tài sản thế chấp tại Aave, qua đó vay khoảng 190 triệu USD bằng ETH và các tài sản khác trên Ethereum và Arbitrum.

Động thái trên có thể khiến Aave đối mặt với các khoản vay thiếu thế chấp liên quan đến các tài sản bị xâm phạm.

Phản ứng của Aave và kịch bản tác động tài chính

Aave phản ứng nhanh bằng cách đóng cửa các thị trường rsETH, đặt tỷ lệ cho vay trên giá trị (LTV) ở mức bằng 0 và ngăn chặn các khoản vay mới đối với token này.

Dù vậy, mức độ tác động tài chính cuối cùng phụ thuộc vào cách Kelp DAO xử lý thâm hụt. Báo cáo nêu hai kịch bản:

• Nếu thua lỗ được phân bổ cho tất cả người nắm rsETH, token có thể ghi nhận mức lệch giá khoảng 15%, tương ứng ước tính 124 triệu USD nợ xấu cho Aave.
• Nếu thua lỗ chỉ bị giới hạn ở các mạng Layer 2 như Arbitrum và Mantle, nợ xấu có thể lên tới 230 triệu USD.

Rủi ro chuỗi chéo và tín hiệu suy giảm niềm tin

Vụ khai thác nhấn mạnh các lỗ hổng trong xác thực thông điệp chuỗi chéo. Theo thông tin được đề cập, LayerZero không bị xâm phạm trực tiếp, nhưng các yếu tố trong quy trình xác thực của Kelp đã tạo điều kiện cho cuộc tấn công.

Sau sự cố, lượng vốn rút khỏi tổng giá trị bị khóa (TVL) của Aave lên khoảng 6 tỷ USD, phản ánh sự suy giảm niềm tin của người dùng.

Khả năng xử lý từ phía Kelp DAO

Với kho bạc của Kelp DAO ước tính khoảng 181 triệu USD, các cuộc thảo luận đang diễn ra để giải quyết tình huống phát sinh từ thâm hụt. Sự kiện này tiếp tục nhấn mạnh rủi ro liên kết trong các hệ sinh thái DeFi, đặc biệt khi phụ thuộc vào các giao thức và cầu nối bên ngoài.