Aave(AAVE) mất gần 8 tỷ USD TVL sau vụ hack Kelp DAO, phát sinh bad debt 195 triệu USD và khủng hoảng thanh khoản stablecoin

Aave TVL lao dốc gần 8 tỷ USD sau vụ hack Kelp DAO, phát sinh *bad debt* 195 triệu USD

Theo DeFiLlama đưa tin ngày 13 (giờ địa phương), tổng giá trị tài sản khóa (*TVL*) trên **Aave(AAVE)** đã giảm mạnh từ khoảng 26,4 tỷ USD xuống còn 18,6 tỷ USD chỉ trong vài ngày cuối tuần, tương đương gần 8 tỷ USD “bốc hơi”. Nguyên nhân xuất phát từ việc tiền bị hack từ **Kelp DAO** được đưa vào Aave để vay mượn, khiến giao thức phát sinh khoản *bad debt* lớn và thanh khoản *stablecoin* trên nền tảng nhanh chóng cạn kiệt.

TVL Aave sụt gần 30%, mất vị trí giao thức DeFi lớn nhất

Số liệu của DeFiLlama cho thấy trong nhịp giảm này, Aave đã đánh mất vị trí giao thức tài chính phi tập trung (*DeFi*) có TVL lớn nhất thị trường. Diễn biến không chỉ dừng lại ở cú sốc giá token, mà còn làm nổi bật mức độ rủi ro có thể lan nhanh như thế nào trên các thị trường cho vay on-chain khi một mắt xích bảo mật gặp sự cố.

*bình luận: Sự sụt giảm TVL quy mô hàng tỷ USD trong thời gian rất ngắn là tín hiệu cho thấy niềm tin của nhà đầu tư tổ chức và cá nhân với Aave đang chịu thử thách mạnh.*

Cách thức vụ tấn công diễn ra: rsETH bị đánh cắp, đổi thành *bad debt* trên Aave

Sự cố xảy ra vào ngày thứ Bảy. Nhóm hacker đã tấn công cầu nối (*bridge*) của **Kelp DAO** dựa trên hạ tầng **LayerZero**, đánh cắp khoảng 116.500 rsETH, tương đương 293 triệu USD.

Sau đó, số rsETH này được dùng làm tài sản thế chấp trên Aave v3 để vay các tài sản bọc (*wrapped assets*) dựa trên **Ethereum(ETH)**. Khi vị thế vay không còn được bảo đảm đúng cách bởi tài sản gốc hợp lệ, Aave ghi nhận khoảng 195 triệu USD *bad debt* – tức các khoản nợ xấu không thể được thanh lý một cách bình thường.

Giá **Aave(AAVE)** phản ứng tiêu cực trước cú sốc này, giảm khoảng 20% từ 112 USD xuống 89,5 USD chỉ trong vòng 25 giờ.

Làn sóng rút vốn quy mô lớn, hơn 5,1 tỷ USD stablecoin bị “mắc kẹt”

Theo nền tảng phân tích on-chain **Lookonchain**, vụ việc kéo theo các đợt rút vốn lớn từ Aave. Sàn MEXC và quỹ **Abracsas Capital** được cho là đã lần lượt rút khoảng 431 triệu USD và 392 triệu USD khỏi giao thức.

Trên Aave v3, cả hai pool **USDt(USDT)** và **USDC** đều đã chạm mức sử dụng 100%. Điều này đồng nghĩa hơn 5,1 tỷ USD *stablecoin* hiện gần như bị “đóng băng”: người dùng rất khó rút thêm thanh khoản cho đến khi có vốn mới đổ vào hoặc các khoản vay hiện tại được hoàn trả.

*bình luận: Tình trạng pool stablecoin bị sử dụng tối đa cho thấy rủi ro thanh khoản đã hiện hữu rõ rệt – bất kỳ cú sốc niềm tin nào tiếp theo có thể gây áp lực mạnh lên khả năng rút vốn của người dùng.*

Phản ứng của Aave: chặn rsETH, đóng băng wETH ở nhiều mạng

Trong thông báo sau sự cố, Aave cho biết đã:

- Chặn thị trường **rsETH** trên cả Aave v3 và v4

- Khẳng định rsETH trên mạng chính **Ethereum(ETH)** vẫn được bảo chứng đầy đủ bởi tài sản cơ sở

- Đóng băng dự trữ **wETH** trên nhiều mạng, gồm Ethereum, **Arbitrum(ARB)**, Base, **Mantle(MNT)** và Linea

Đây được xem là “bài kiểm tra căng thẳng” quy mô lớn đầu tiên đối với mô hình bảo mật *Umbrella* được Aave giới thiệu từ tháng 6 năm nay.

*bình luận: Việc phải nhanh chóng chặn thị trường và đóng băng tài sản cho thấy cơ chế quản trị rủi ro của Aave đang hoạt động, nhưng đồng thời cũng phơi bày mức độ phụ thuộc của giao thức vào các tài sản cầu nối và staking phái sinh như rsETH.*

Tác động lan rộng: nhiều dự án dừng dùng cầu LayerZero

Vụ hack còn tạo ra hiệu ứng dây chuyền. Một loạt giao thức lớn đã tạm ngừng sử dụng cầu LayerZero, bao gồm:

- **Curve Finance** với các pool liên quan rsETH và tài sản tương tự

- **Etherna(ENA)**

- Dịch vụ WBTC của **BitGo**

Trước đó, Aave vừa nhận được sự ủng hộ từ cộng đồng quản trị cho kế hoạch triển khai Aave v4 trên mạng chính, nhưng ngày 6 cùng tháng lại thông báo chấm dứt hợp tác với đơn vị quản lý rủi ro dài hạn **Chaos Labs**. Chuỗi sự kiện này làm dấy lên nhiều câu hỏi về chiến lược quản trị rủi ro của giao thức trong giai đoạn sắp tới.

*bình luận: Việc một sự cố đơn lẻ trên cầu nối có thể lan sang thị trường cho vay, thanh khoản stablecoin và giá token của nhiều dự án cho thấy mức độ liên thông ngày càng cao trong DeFi – và cũng là điểm yếu chí mạng về mặt bảo mật hệ thống.*

Kết luận: DeFi lại “báo động” vì rủi ro cầu nối và cho vay liên chuỗi

Vụ việc Kelp DAO – Aave một lần nữa phơi bày lỗ hổng hệ thống của DeFi trước các rủi ro từ cầu nối đa chuỗi và tài sản phái sinh staking như rsETH. Việc TVL của **Aave(AAVE)** lao dốc gần 8 tỷ USD, phát sinh *bad debt* 195 triệu USD và làm hơn 5,1 tỷ USD *stablecoin* trên Aave v3 bị “kẹt” cho thấy một sự cố bảo mật đơn lẻ có thể nhanh chóng lan thành cú sốc thanh khoản diện rộng.

*bình luận: Trong bối cảnh các giao thức ngày càng phụ thuộc vào nhiều lớp hạ tầng trung gian – từ cầu LayerZero đến các token staking phái sinh – ưu tiên hàng đầu trong thời gian tới rất có thể sẽ là siết chặt tiêu chuẩn niêm yết tài sản thế chấp, đa dạng hóa nguồn thanh khoản và xây dựng thêm lớp bảo hiểm, quỹ dự phòng để hấp thụ các cú sốc tương tự.*