18 tháng 04 năm 2026 đã ghi dấu một bước ngoặt quan trọng đối với Aave—giao thức cho vay hàng đầu chưa từng gặp sự cố bảo mật hợp đồng thông minh—khi một cuộc tấn công nhắm vào cầu nối cross-chain Kelp DAO đã để lại hậu quả nghiêm trọng. Kẻ tấn công đã tạo ra khoảng 116.500 rsETH từ "không khí", sau đó gửi số token này làm tài sản thế chấp trên Aave, vay một lượng lớn ETH thật và biến mất. Tổng giá trị bị khóa (TVL) của Aave đã giảm mạnh từ khoảng 26,4 tỷ USD xuống còn 18 tỷ USD chỉ trong hai ngày, bốc hơi hơn 8 tỷ USD. Đồng thời, lãi suất cho vay stablecoin trên Aave tăng vọt lên 15%, và CoinDesk Overnight Rate (CDOR)—chỉ số sử dụng Aave làm chuẩn cơ sở—đạt mức cao nhất kể từ đầu năm 2024.
Một mặt, TVL giảm sâu và nợ xấu xuất hiện; mặt khác, lãi suất gửi stablecoin tiến sát mức cao hiếm thấy 14%.
Cách Một Cuộc Tấn Công Không Đụng Đến Hợp Đồng Thông Minh Đã Làm Rung Chuyển Giao Thức Cho Vay Lớn Nhất DeFi
Vào 17:35 (UTC) ngày 18 tháng 04 năm 2026, cầu nối cross-chain rsETH do Kelp DAO xây dựng trên nền tảng LayerZero đã bị tấn công. Chỉ trong 46 phút, kẻ tấn công đã giả mạo thông điệp cross-chain và giải phóng trái phép khoảng 116.500 rsETH từ Ethereum mainnet, trị giá gần 293 triệu USD tại thời điểm đó—chiếm khoảng 18% tổng nguồn cung lưu hành của token này.
Sự kiện này đã biến vụ Kelp DAO trở thành vụ tấn công giao thức DeFi đơn lẻ lớn nhất năm 2026 tính đến thời điểm hiện tại.
Ngay sau khi xảy ra tấn công, các guardian và nhà quản lý rủi ro của Aave đã đóng băng toàn bộ nguồn dự trữ rsETH và wrsETH trên 11 thị trường, đặt LTV về 0, giảm lãi suất WETH đa chuỗi và tạm dừng cho vay WETH. Nhà sáng lập Aave, Stani Kulechov, xác nhận rằng hợp đồng thông minh của Aave không bị ảnh hưởng và logic giao thức vẫn nguyên vẹn.
Dù cuộc tấn công không nhắm vào hợp đồng cốt lõi của Aave, nó đã phơi bày một rủi ro cấu trúc lâu nay bị đánh giá thấp trong khả năng kết hợp của DeFi: một lỗi cấu hình ở giao thức bên ngoài có thể lan truyền qua chuỗi tài sản thế chấp, kích hoạt khủng hoảng thanh khoản và tích tụ nợ xấu ở các hệ thống cho vay quy mô lớn như Aave. Giao thức bản thân không bị xâm phạm, nhưng sự thất bại tín dụng tài sản ở thượng nguồn đã tác động trực tiếp đến các pool thanh khoản hạ nguồn.
Từ Lỗ Hổng Cầu Nối Đến Lây Lan Hệ Thống
Toàn cảnh diễn biến sự kiện:
| Thời gian (2026, UTC) | Sự kiện chính |
|---|---|
| 18 tháng 04, 17:35 | Kẻ tấn công gửi thông điệp cross-chain giả đến hợp đồng cầu nối Kelp DAO, giải phóng trái phép 116.500 rsETH |
| Trong 6 phút sau tấn công | Kẻ tấn công gửi rsETH vào thị trường Aave V3 và V4 qua 8 địa chỉ đã thiết lập trước và vay WETH |
| Trong 46 phút sau tấn công | Nhóm multisig khẩn cấp của Kelp DAO đóng băng các thành phần cốt lõi của giao thức, chặn thành công hai lần rút tiếp theo tổng cộng 40.000 rsETH (khoảng 100 triệu USD) |
| Đầu giờ sáng 19 tháng 04 | Các guardian của Aave đóng băng toàn bộ nguồn dự trữ rsETH/wrsETH trên 11 thị trường, đặt LTV về 0 |
| 19 tháng 04 | Theo DefiLlama, TVL của Aave giảm từ khoảng 26,3 tỷ USD xuống còn 18 tỷ USD, mất khoảng 8,3 tỷ USD trong hai ngày |
| 20 tháng 04 | LayerZero công bố điều tra sơ bộ, xác định thủ phạm là nhóm Lazarus của Triều Tiên (TraderTraitor) |
| 21 tháng 04 | Hội đồng bảo mật Arbitrum đóng băng 30.766 ETH (khoảng 71 triệu USD) liên quan đến vụ tấn công |
Việc cuộc tấn công lan nhanh đến các pool cho vay cốt lõi của Aave có liên hệ chặt chẽ với tính năng cho vay hiệu quả cao E-Mode của Aave V3. Bằng cách dùng rsETH làm tài sản thế chấp trong E-Mode, kẻ tấn công có thể vay WETH với tỷ lệ LTV lên tới 93%, gần như hoán đổi tài sản 1:1. Thiết kế này tối ưu hóa hiệu quả vốn trong điều kiện bình thường, nhưng lại khuếch đại tổn thất khi tín dụng tài sản thế chấp bị phá vỡ.
Quy Mô Nợ Xấu, Biến Động Lãi Suất Và Dòng Vốn On-Chain
Đà giảm mạnh của TVL Aave
Trước sự cố, TVL của Aave ở mức khoảng 26,4 tỷ USD. Chỉ trong hai ngày, con số này giảm xuống còn khoảng 18 tỷ USD—tương đương mức giảm hơn 31%. Các nhà phân tích on-chain ghi nhận dòng vốn rút khỏi Aave lên tới 6,6 tỷ USD/ngày, trong đó stablecoin chiếm 3,3 tỷ USD. Toàn bộ DeFi chứng kiến TVL giảm từ khoảng 99,49 tỷ USD xuống còn 86,29 tỷ USD, mất 13,2 tỷ USD.
Các pool USDT và USDC của Aave V3 đạt mức sử dụng 100%, nghĩa là toàn bộ tài sản đã được vay, tạm thời khiến người gửi không thể rút tiền.
Ước tính quy mô nợ xấu theo hai kịch bản
Theo báo cáo từ nhà cung cấp dịch vụ rủi ro LlamaRisk cho Aave, quy mô nợ xấu Aave phải đối mặt phụ thuộc vào cách phân bổ tổn thất:
- Kịch bản 1 (Phân bổ toàn cầu theo tỷ lệ): Nợ xấu ước tính khoảng 123,7 triệu USD, thị trường Ethereum Core chịu phần lớn tổn thất.
- Kịch bản 2 (Tổn thất chỉ giới hạn ở L2): Nợ xấu ước tính khoảng 230,1 triệu USD, trong đó Mantle thiếu hụt dự trữ WETH lên tới 71,45% và Arbitrum là 26,67%.
Kho bạc DAO của Aave hiện nắm giữ khoảng 181 triệu USD tài sản, đủ để bù đắp cho kịch bản 1 nhưng còn thiếu 49 triệu USD ở kịch bản 2, cần bổ sung dự trữ hoặc hỗ trợ bên ngoài.
CDOR tăng vọt lên 15%
Dòng vốn rút lớn đã đẩy lãi suất gửi USDT và USDC trên Aave lên tới 13,4%, lãi suất vay đạt 15%. Chỉ số CoinDesk Overnight Rate (CDOR)—chuẩn lãi suất do CoinDesk Indices công bố dựa trên các pool cho vay stablecoin biến động của Aave V3—cũng tăng lên mức cao nhất kể từ năm 2024, đạt 15%.
CDOR được thiết kế để cung cấp chuẩn lãi suất qua đêm cho thị trường tiền tệ stablecoin, hỗ trợ phòng ngừa chi phí, cố định lợi suất và chiến lược tỷ giá chéo. Thông thường, CDOR dao động từ 2% đến 5%. Mức 15% hiện tại cao gấp 3 đến 7 lần bình thường, phản ánh sự mất cân đối thanh khoản cực đoan.
Dòng vốn—Di chuyển cấu trúc từ Aave sang Spark
Trong khi Aave chứng kiến dòng vốn rút lớn, các giao thức cho vay lớn khác lại có xu hướng trái ngược:
- Aave: Tổng tiền gửi giảm từ 48,5 tỷ USD xuống còn 30,7 tỷ USD trong ba ngày, dòng vốn rút ròng khoảng 15,1 tỷ USD (giảm 31%).
- Morpho: Giảm từ 11,7 tỷ USD xuống còn 10,2 tỷ USD, dòng vốn rút ròng 1,5 tỷ USD, ảnh hưởng hạn chế.
- Spark (SparkLend): TVL tăng ngược xu hướng, từ 1,9 tỷ USD lên 3,2 tỷ USD, dòng vốn ròng vào 1,3 tỷ USD.
Những con số này cho thấy sự khác biệt về nhận thức rủi ro giữa các thành phần thị trường. Một số quỹ tổ chức rút khỏi Aave đã chuyển sang các nền tảng được đánh giá là an toàn hơn, Spark trở thành bên hưởng lợi lớn nhất.
Phân Tích Tâm Lý Thị Trường: Các Bên Đánh Giá Triển Vọng Phục Hồi Của Aave Ra Sao
Nhận định từ các nhà phân tích hàng đầu:
Nhà sáng lập DefiLlama @0xngmi đưa ra hai kịch bản. Tùy vào cách xử lý 71 triệu USD ETH bị đóng băng trên Arbitrum, nợ xấu của Aave có thể dao động từ 17 triệu USD đến 341 triệu USD. Ông cho rằng với kho bạc giao thức và các điều chỉnh cần thiết, các giao thức bị ảnh hưởng có thể "phục hồi hoàn toàn".
Đối tác quản lý Dragonfly, Haseeb Qureshi, nhận định: "AAVE có thể phải hấp thụ một phần nợ xấu, nhưng sở hữu đủ tài sản ròng để trả nợ."
Blockworks Research nhấn mạnh sự kiện Kelp đã phơi bày rủi ro cấu trúc ở các pool thanh khoản hợp nhất—tổn thất ở một pool cho vay có thể bị "xã hội hóa" cho toàn bộ người gửi, dẫn đến việc đánh giá thấp rủi ro tài sản thế chấp cụ thể ở quy mô hệ thống.
Chỉ số định lượng về tâm lý thị trường:
Theo dữ liệu thị trường Gate, đến ngày 23 tháng 04 năm 2026, giá token AAVE là 91,64 USD, giảm 1,95% trong 24 giờ, khối lượng giao dịch 24 giờ đạt 7,76 triệu USD. Vốn hóa thị trường của AAVE ở mức 1,38 tỷ USD, vốn hóa thị trường pha loãng hoàn toàn là 1,46 tỷ USD, tỷ lệ vốn hóa/FDV đạt 94,85%. Trong 7 ngày qua, AAVE giảm 13,81%; 30 ngày giảm 16,27%; và trong một năm qua giảm 42,05%.
Các điểm tranh luận chính:
Tranh luận về triển vọng phục hồi của Aave xoay quanh ba vấn đề:
Đầu tiên, giới hạn khả năng bù nợ xấu. Người lạc quan cho rằng kho bạc Aave (181 triệu USD) đủ để bù cho nợ xấu 123,7 triệu USD ở kịch bản 1. Người bi quan lo ngại nếu tổn thất 230,1 triệu USD ở kịch bản 2 xảy ra, khoản thiếu hụt kho bạc có thể buộc các staker stkAAVE phải gánh phần còn lại.
Thứ hai, thời gian phục hồi thanh khoản. Một số nhà phân tích dự đoán trạng thái sử dụng pool 100% sẽ kéo dài vài tuần, trong thời gian đó quyền rút tiền của người gửi gần như bị "đóng băng". Số khác cho rằng lãi suất CDOR 15% là công cụ điều tiết thị trường hiệu quả nhất, sẽ thu hút dòng vốn săn lợi suất quay lại.
Thứ ba, tính lâu dài của việc mất thị phần. Aave mất khoảng 15,1 tỷ USD tiền gửi trong 3,5 ngày, Spark hút vào 1,3 tỷ USD. Liệu đây có phải tín hiệu cho sự tái cấu trúc thị trường cho vay DeFi hay không vẫn còn bỏ ngỏ.
Tác Động Ngành: Cơ Chế Arbitrage CDOR Và Góc Nhìn Cấu Trúc
Phân tích logic arbitrage on-chain:
Ở mức 15%, CDOR tạo ra cửa sổ arbitrage hiếm có cho các holder stablecoin trong lịch sử DeFi. Logic cơ bản như sau:
Gửi USDC/USDT sẽ nhận lợi suất hàng năm khoảng 13,4%, trong khi thị trường tài chính truyền thống cung cấp lợi suất tương đương stablecoin (như quỹ thị trường tiền tệ) chỉ 4% đến 5%. Khoảng chênh lệch 8 đến 9 điểm phần trăm này là nền tảng cho arbitrage.
Tuy nhiên, các nhà arbitrage phải đánh giá ba rủi ro chính:
Đầu tiên, rủi ro khóa thanh khoản. Pool stablecoin của Aave V3 đang sử dụng 100%. Gửi mới sẽ nhận lợi suất cao ngay lập tức, nhưng việc rút phụ thuộc vào người vay trả nợ hoặc có dòng vốn gửi mới vào. Nghĩa là nhà arbitrage đối mặt rủi ro kỳ hạn—giá của lợi suất cao là thời điểm thoát không thể dự đoán.
Thứ hai, bất định về cơ chế chống nợ xấu. Nếu Aave dùng module Umbrella hoặc quỹ kho bạc để bù nợ xấu, nguyên tắc của người gửi được bảo vệ. Nếu tổn thất bị xã hội hóa cho người gửi, lãi suất cao hiện tại có thể không bù nổi nguy cơ mất vốn. Bất định này là rào cản lớn nhất với dòng vốn arbitrage quy mô lớn.
Thứ ba, thời gian duy trì lãi suất cao. Lãi suất tăng là do khủng hoảng thanh khoản, không phải lợi nhuận giao thức. Khi giải pháp nợ xấu xuất hiện hoặc niềm tin thị trường phục hồi, lãi suất gửi có thể trở lại bình thường chỉ trong vài giờ. Nhà arbitrage phải đánh giá chính xác độ dài cửa sổ này.
Chuyển dịch cấu trúc cạnh tranh giao thức cho vay DeFi:
Tác động của sự kiện Kelp lên DeFi có thể vượt xa một vụ tấn công đơn lẻ. Blockworks Research cho rằng dòng vốn rút lớn khỏi Aave có thể là lần đầu tiên "lỗ thủng" thực sự xuất hiện trong thành lũy thanh khoản của giao thức này. Nếu người gửi ngày càng coi "cách ly rủi ro" là tính năng đáng trả giá, sự kiện gần đây có thể thúc đẩy tái phân bổ vốn cấu trúc giữa các giao thức cho vay.
Trong khi đó, Aave V4 dự kiến ra mắt vào giữa năm 2026, với kiến trúc "hub-and-spoke" nhằm tăng cường thanh lý cross-chain và khung tuân thủ cho tổ chức. Thời điểm triển khai V4 so với tiến trình phục hồi khủng hoảng hiện tại sẽ là chỉ báo quan trọng cho khả năng lấy lại vị thế cạnh tranh của Aave.
Kết Luận
Khủng hoảng mà Aave đối mặt thực chất là bài kiểm tra sức bền cực hạn cho mô hình kết hợp DeFi. Hợp đồng cốt lõi của giao thức không bị xâm phạm, nhưng thất bại tín dụng tài sản thượng nguồn đã lan truyền qua chuỗi tài sản thế chấp, kích hoạt hiệu ứng domino ở hệ thống cho vay hàng tỷ USD. Điều này nhắc nhở ngành: trong DeFi, bảo mật của một giao thức không chỉ phụ thuộc vào mã nguồn của chính nó, mà còn vào cách nó kết nối với hệ sinh thái và thiết kế đường truyền rủi ro.
Việc lãi suất CDOR tăng vọt lên 15% vừa là cảnh báo, vừa là tín hiệu cho quá trình tự điều chỉnh của thị trường. Lãi suất cao đóng vai trò điều tiết thanh khoản—trừng phạt vay quá mức, thưởng cho người gửi chấp nhận rủi ro khóa vốn và cuối cùng dẫn dòng vốn quay trở lại. Cân bằng giữa giải quyết nợ xấu và phục hồi niềm tin sẽ định hình tiến trình của Aave và toàn bộ lĩnh vực cho vay DeFi. Với các thành phần thị trường, hiểu rõ chuỗi logic của sự kiện này sẽ có giá trị lâu dài hơn nhiều so với việc chạy theo biến động lãi suất ngắn hạn.
