Vụ hack Kelp DAO rsETH khiến thanh khoản Ethereum(ETH) trên Aave(AAVE) cạn kiệt, nguy cơ hình thành nợ xấu lan rộng

Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), vụ tấn công trị giá khoảng 300 triệu đô la Mỹ nhắm vào cầu nối chuỗi chéo của **“Kelp DAO rsETH”** đang gây hiệu ứng dây chuyền nghiêm trọng trên giao thức cho vay DeFi **“Aave(AAVE)”**. Trước lo ngại về nguy cơ hình thành **“bad debt”** (khoản nợ xấu không thể thu hồi), người dùng đồng loạt rút **“Ethereum(ETH)”** khỏi Aave, khiến thanh khoản ETH trên nền tảng này gần như cạn kiệt.

Vụ việc bắt đầu khi kẻ tấn công lợi dụng **“rsETH”** được gửi lên Aave, rồi vay và rút ETH ra khỏi giao thức. Cách thức này vừa khai thác cầu nối rsETH, vừa gây áp lực trực tiếp lên pool ETH của Aave. Hệ quả là tỷ lệ sử dụng ETH trên Aave chạm mức 100%, đồng nghĩa toàn bộ ETH trong pool đã bị vay hết, giao thức gần như không còn dư địa để đáp ứng thêm yêu cầu rút vốn của người gửi.

Áp lực rút tiền tăng vọt còn đến từ các “cá voi” hành động rất nhanh. Theo dữ liệu on-chain từ Lookonchain, **Justin Sun (Justin Sun)** đã rút một lần tới 65.584 ETH – tương đương khoảng 154 triệu đô la Mỹ – khỏi Aave chỉ trong một giao dịch. Động thái phòng thủ mạnh tay của những nhà đầu tư lớn như vậy cho thấy mức độ nghiêm trọng mà họ nhìn nhận rủi ro **“bad debt”** và nguy cơ lan truyền tổn thất trong hệ sinh thái Aave.

Theo diễn biến hiện tại, thanh khoản ETH trên Aave rơi vào trạng thái tắc nghẽn: người gửi khó có thể rút vốn ngay lập tức, còn giao thức phải đối mặt với bài toán ổn định hệ thống nếu phần thiệt hại liên quan tới **“rsETH”** thực sự biến thành **“nợ xấu”** trên bảng cân đối.

Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), **Kelp DAO** đã nhanh chóng phản ứng khi phát hiện hoạt động chuỗi chéo bất thường trên **“rsETH”**. Dự án thông báo đã tạm dừng hợp đồng rsETH trên mạng chính (mainnet) và nhiều mạng lớp 2, đồng thời bắt tay với **LayerZero**, **Unichain**, các đơn vị kiểm toán và chuyên gia bảo mật để điều tra nguyên nhân.

Đơn vị phân tích on-chain D2 Finance cho rằng nhiều khả năng vấn đề bắt nguồn từ **rò rỉ khóa riêng (private key)** ở chuỗi nguồn. Trong quá trình điều tra, các chuyên gia đang xem xét liệu có tồn tại giao dịch hợp lệ từ phía nguồn hay không; kết quả sẽ quyết định hướng kết luận: hoặc là khóa OApp phía nguồn bị xâm phạm, hoặc hệ thống DVN (Decentralized Verifier Network) gặp trục trặc.

**bình luận**

Điểm đáng chú ý là cấu trúc xác thực của cầu nối rsETH: Kelp DAO sử dụng **LayerZero Labs** như một **trình xác thực đơn lẻ**, tạo nên một “điểm lỗi đơn” (single point of failure). Trong bối cảnh DeFi đề cao phân quyền và đa dạng hóa rủi ro, mô hình dựa quá nhiều vào một bên xác thực duy nhất khiến cộng đồng đặc biệt lo ngại.

Trong thị trường, nhiều ý kiến cho rằng đây không chỉ là một vụ **“bridge hack”** thông thường, mà còn là cú cảnh tỉnh đối với **mô hình tin cậy của tài sản chuỗi chéo**. Khi một tài sản như **“rsETH”** được dùng làm tài sản thế chấp trên giao thức cho vay cốt lõi như Aave, mọi lỗ hổng cầu nối đều có thể lập tức biến thành rủi ro hệ thống: từ biến động giá, mất khả năng quy đổi, cho đến khả năng ghi nhận **“bad debt”** thực thụ nếu phần tài sản gốc không thể khôi phục.

Nếu khoản tổn thất liên quan rsETH cuối cùng bị xác nhận là **nợ xấu vĩnh viễn**, Aave sẽ đối mặt với bài toán khó: xử lý tài sản thế chấp không còn bảo đảm, đồng thời phải bảo vệ người gửi tiền và giữ được niềm tin của cộng đồng. Với vai trò là một trong những giao thức cho vay lớn nhất DeFi, cách Aave xử lý hậu quả sẽ trở thành “tiền lệ” cho toàn bộ thị trường.

Hiện tại, hợp đồng **“Kelp DAO rsETH”** đang trong trạng thái tạm dừng vô thời hạn cho đến khi có kết luận điều tra rõ ràng. Về phía Aave, tỷ lệ sử dụng ETH vẫn ở mức 100%, khiến người gửi gặp khó khăn nếu muốn rút vốn ngay. Tình trạng này chỉ có thể được giải tỏa khi:

- Các khoản vay ETH được hoàn trả dần,

- Hoặc có thêm thanh khoản ETH mới được bơm vào pool.

Nếu không, tình trạng “kẹt vốn” sẽ còn kéo dài, ảnh hưởng trực tiếp đến niềm tin của người dùng đối với cả **“Aave(AAVE)”** lẫn các tài sản liên quan như **“rsETH”**.

Biến số lớn nhất sắp tới là **cách phân bổ tổn thất**. Trong kịch bản phần lớn vị thế rsETH bị thất thoát không thể thu hồi, cộng đồng Aave sẽ phải thảo luận và biểu quyết xem nên phân bổ thiệt hại như thế nào:

- Có sử dụng quỹ dự phòng hay không,

- Có áp cơ chế “cắt tóc” (haircut) với một nhóm người dùng nhất định,

- Hay áp dụng các biện pháp kỹ thuật-kế toán khác để bù đắp lỗ hổng.

Những cuộc thảo luận dạng này trong quá khứ từng gây nhiều tranh cãi, khi phải cân bằng giữa lợi ích người gửi, người vay, nhà cung cấp thanh khoản và cả người nắm giữ token quản trị. Do đó, nhiều nhà quan sát dự đoán khả năng cao sẽ xuất hiện **xung đột trong cộng đồng** nếu quy mô thiệt hại rsETH thực sự lớn như ước tính ban đầu.

**bình luận**

Vụ việc **“Kelp DAO rsETH – Aave(AAVE)”** một lần nữa cho thấy trong DeFi, **“hack”** không chỉ đơn thuần là vấn đề kỹ thuật hay bảo mật, mà có thể nhanh chóng leo thang thành **khủng hoảng thanh khoản** và rủi ro hệ thống. Một lỗ hổng ở tầng cầu nối có thể lan sang tầng cho vay, rồi tiếp tục tác động đến toàn bộ thị trường tài sản liên quan.

Cách **Kelp DAO**, **Aave(AAVE)** và các bên liên quan xử lý hậu quả vụ việc, từ điều tra kỹ thuật, khôi phục tài sản, đến cơ chế phân bổ tổn thất, sẽ là phép thử quan trọng cho **niềm tin vào tài sản chuỗi chéo và giao thức cho vay DeFi** trong giai đoạn tới. Nếu được giải quyết minh bạch, hợp lý, đây có thể trở thành “case study” giúp tăng cường chuẩn bảo mật và thiết kế mô hình tin cậy mới cho các sản phẩm như **“rsETH”** và các tài sản phái sinh staking tương tự. Ngược lại, một kết cục thiếu rõ ràng có thể khiến nhà đầu tư tiếp tục **“tháo chạy”** khỏi những tài sản dựa vào cầu nối và đòn bẩy tín nhiệm cao.