Vụ tấn công 291 triệu USD vào cầu nối rsETH của Kelp DAO đẩy Aave vào khủng hoảng thanh khoản, kích hoạt làn sóng rút vốn 6,2 tỷ USD trên toàn hệ sinh thái DeFi.
Một cuộc tấn công tinh vi vào cơ sở hạ tầng của Kelp DAO hôm thứ Bảy đã châm ngòi cho làn sóng rút vốn hoảng loạn lan rộng toàn bộ hệ sinh thái tài chính phi tập trung (DeFi), kéo theo sự gián đoạn nghiêm trọng trên Aave, giao thức cho vay phi tập trung hàng đầu thị trường. Không đầy 24 giờ sau vụ việc, người dùng Aave đối mặt với tình trạng thiếu hụt thanh khoản trầm trọng, trong khi tổng lượng vốn rút ròng khỏi nền tảng này đạt 6,2 tỷ USD chỉ trong một ngày.
Điểm khởi phát là cầu nối cross-chain của Kelp DAO, hệ thống cho phép chuyển token rsETH, một loại liquid staking token cho phép người dùng nhận phần thưởng staking Ethereum và restaking trên EigenLayer, giữa các mạng lưới blockchain.
Theo nhà nghiên cứu blockchain Stacy Muur, các đối tượng tấn công đã lợi dụng một điểm lỗi đơn trong hạ tầng LayerZero: một “thông điệp ảo” được tạo ra để đánh lừa cầu nối phát hành 116.500 rsETH, trị giá 291 triệu USD, trên mạng Ethereum mà không hủy lượng tương ứng đang lưu thông trên mạng layer-2 Unichain. Công ty an ninh blockchain PeckShield đã phát hiện giao dịch bất thường này ngay trước khi Aave kịp phản ứng.
Từ điểm lỗi đơn đến khủng hoảng hệ thống
Thay vì trực tiếp chiếm đoạt tài sản, các đối tượng tấn công sử dụng lượng rsETH phát hành trái phép làm tài sản ký quỹ để vay các tài sản thông thường trên Aave, tạo ra cái mà ông Francesco Andreoli, Giám đốc quan hệ nhà phát triển tại Consensys và MetaMask, gọi là “khoản nợ xấu khổng lồ”. Hệ quả tức thì là tỷ lệ sử dụng của pool cho vay cốt lõi trên Aave vọt lên 100%, đồng nghĩa với việc toàn bộ Ethereum và wrapped Ethereum đã được vay hết, không còn thanh khoản cho người dùng muốn rút.
Phản ứng ngay lập tức, Aave đóng băng toàn bộ thị trường liên quan đến rsETH. Tuy nhiên, áp lực chưa dừng lại. Theo monetsupply.eth, trưởng bộ phận chiến lược ẩn danh của dự án Spark, người dùng bắt đầu vay stablecoin dựa trên tài sản ký quỹ hiện có, làm gia tăng thêm “các tác động thứ cấp tiêu cực” đối với hệ thống. Token quản trị AAVE lao dốc 16% trong 24 giờ, về mức 90,13 USD; Ethereum cũng giảm 2% xuống còn 2.300 USD trong cùng kỳ, theo CoinGecko.
Hiệu ứng lây lan nhanh chóng mở rộng ra ngoài Aave và Kelp DAO. Theo 0xngmi, đồng sáng lập ẩn danh của DefiLlama, làn sóng rút vốn hoảng loạn cuốn theo cả những giao thức không bị tấn công trực tiếp, một tín hiệu cho thấy niềm tin vào toàn bộ hệ sinh thái DeFi đang bị lung lay mạnh. Trong bối cảnh đó, doanh nhân Justin Sun, nhà sáng lập Tron, đã cố gắng tiếp cận đàm phán với các đối tượng tấn công trên mạng xã hội X, lập luận rằng việc để hai giao thức lớn sụp đổ là “không đáng” cho bất kỳ bên nào.
Theo ông Salman Banei, Giám đốc pháp lý của Plume Network, vụ việc cung cấp “nhiều luận cứ” cho những hoài nghi lâu nay về tính bền vững của các hệ thống DeFi, vốn tìm cách thay thế trung gian tài chính truyền thống bằng mã lập trình.
Câu hỏi đặt ra không chỉ là ai chịu trách nhiệm về lỗ hổng này, mà còn là liệu các giao thức DeFi có thể xây dựng cơ chế phòng vệ đủ mạnh trước những cuộc tấn công ngày càng tinh vi, trong khi vẫn duy trì tính mở và không cần cấp phép, hai đặc tính cốt lõi định nghĩa lớp tài chính này.
