Khi Tính Năng Bảo Vệ Thanh L lý của Aave Phản Tác Dụng: Bên Trong Sự Cố Oracle $27 Triệu

Tháng 3 năm 2024, Aave trải qua một sự kiện thanh lý chưa từng có, vượt xa các câu chuyện thảm họa DeFi thông thường. Không có sự sụp đổ thị trường, không có tấn công từ bên ngoài, và không có bất kỳ sự xâm phạm nào đến tính toàn vẹn của hệ thống cốt lõi, khoảng 27 triệu đô la vị thế của người dùng đã bị buộc thanh lý trong vòng vài giờ đồng hồ. Sự kiện này khiến cộng đồng sốc, nhưng điều làm nó thực sự đặc biệt chính là thủ phạm: không phải một tác nhân độc hại, mà là một cơ chế bảo vệ được thiết kế để ngăn chặn chính xác các kịch bản như vậy. Tổng cộng có 34 tài khoản người dùng nắm giữ khoảng 10.938 wstETH phát hiện bị thanh lý bởi các bot trên chuỗi, nhưng chính hệ thống không gặp phải khoản nợ xấu nào—một minh chứng cho kiến trúc vững chắc của Aave.

Công ty quản lý rủi ro Chaos Labs là đơn vị đầu tiên phát đi tuyên bố công khai qua CEO Omer Goldberg, đảm bảo rằng “không có khoản nợ xấu nào phát sinh, tất cả người dùng bị ảnh hưởng sẽ được bồi thường đầy đủ.” Người sáng lập Aave Labs, Stani Kulechov, củng cố quan điểm này trên mạng xã hội, làm rõ rằng các hệ thống cốt lõi của giao thức vẫn không bị xâm phạm. Tuy nhiên, bên dưới những lời trấn an này là một câu chuyện kỹ thuật phức tạp, hé lộ những điểm yếu bất ngờ trong cách các hệ thống DeFi quản lý các khoản thanh lý.

Khi các biện pháp phòng ngừa trở thành chất xúc tác thanh lý

Nguyên nhân chính nằm ở một cơ chế oracle đặc biệt gọi là CAPO (Capped Asset Price Oracle), ban đầu được thiết kế để ngăn chặn thao túng giá. Aave đã xây dựng CAPO đặc biệt để chống lại các kịch bản trong đó các tác nhân xấu có thể làm giả tăng tỷ lệ trao đổi của các tài sản sinh lợi như wstETH—một loại tài sản liên tục tích lũy phần thưởng staking—để làm tăng giá trị của tài sản thế chấp.

Cơ chế này dựa trên hai tham số đồng bộ: snapshotRatio (tỷ lệ trao đổi tại thời điểm chụp, bị giới hạn tối đa tăng 3% mỗi 3 ngày) và snapshotTimestamp (thời điểm chụp, không bị giới hạn về tỷ lệ). Cả hai tham số này phải cập nhật đồng bộ; bất kỳ sự lệch pha nào cũng có thể khiến tỷ lệ trao đổi tối đa cho phép bị sai lệch nguy hiểm so với giá thị trường thực tế.

Chính xác điều này đã xảy ra. Hệ thống cố gắng nâng tỷ lệ snapshotRatio từ khoảng 1.1572 lên mục tiêu 1.2282, nhưng các giới hạn trên chuỗi chỉ cho phép tăng lên 1.1919. Đồng thời, snapshotTimestamp nhảy thẳng đến mốc mới từ cách đó bảy ngày mà không có giới hạn nào. Sự cập nhật không đồng bộ của hai tham số phụ thuộc lẫn nhau này khiến CAPO tính toán ra tỷ lệ trao đổi tối đa của wstETH khoảng 1.1939—khoảng 2.85% thấp hơn giá thị trường thực tế.

Trong điều kiện giao dịch bình thường, sự lệch pha này có thể xem như nhiễu nhỏ không đáng kể. Tuy nhiên, chế độ E-Mode (Chế độ Hiệu quả) của Aave lại thay đổi căn bản phép tính này. E-Mode cho phép người dùng sử dụng tỷ lệ đòn bẩy cao hơn nhiều so với mức vay tiêu chuẩn, tạo ra các vị thế cực kỳ nhạy cảm với các biến động giá. Việc hệ thống đánh giá thấp giá trị của wstETH đã đẩy một làn sóng các vị thế trước đó an toàn vượt qua ngưỡng thanh lý, cho phép các bot thanh lý tự động thực thi các hợp đồng của chúng.

Xét về dòng lợi nhuận, các nhà thanh lý thu về khoảng 116 ETH dưới dạng phần thưởng tiêu chuẩn, trong khi các nhà arbitrage kiếm thêm khoảng 382 ETH bằng cách khai thác chênh lệch giữa giá oracle bị đánh giá thấp của Aave và giá thị trường thực tế. Tổng cộng, khoảng 499 ETH (tương đương khoảng 1.27 triệu đô la vào thời điểm đó) đã chuyển từ các vị thế của người dùng bị ảnh hưởng, trong bối cảnh giá ETH hiện tại khoảng 2.11K đô la, cung cấp bối cảnh cập nhật cho các con số này.

Phản ứng thanh lý và cam kết bồi thường của Chaos Labs

Sự kiện này đặt Chaos Labs vào vị trí phức tạp—là đơn vị quản lý rủi ro một phần chịu trách nhiệm về cấu hình oracle, họ nhanh chóng vào cuộc để kiểm soát thiệt hại. Omer Goldberg công khai cam kết rằng mọi người dùng bị ảnh hưởng sẽ nhận được bồi thường đầy đủ, đồng thời thừa nhận rằng một lỗi cấu hình oracle tại hạ tầng của giao thức đã trở thành “một bài học nghiêm trọng.”

Quá trình khắc phục diễn ra theo từng giai đoạn. Đầu tiên, nhóm giảm giới hạn vay cho các vị thế wstETH bị ảnh hưởng (Core và Prime) xuống còn 1, sau đó thủ công điều chỉnh hai tham số snapshot qua cơ chế Risk Steward của Aave. Sau khi các tham số được sửa, giới hạn vay trở lại mức ban đầu (Core: 180.000, Prime: 70.000).

Để thực hiện bồi thường, Chaos Labs đã thu hồi khoảng 141.5 ETH qua BuilderNet, cộng thêm đóng góp từ kho bạc Aave DAO. Tổng số tiền bồi thường đạt khoảng 345 ETH (khoảng 870.000 đô la theo giá trị lịch sử), nhằm đảm bảo bồi thường toàn bộ cho các tài khoản bị ảnh hưởng. Cam kết này thể hiện quyết tâm của hệ sinh thái trong việc duy trì niềm tin của người dùng bất chấp sự cố kỹ thuật.

Học hỏi từ các thất bại của oracle: Một mẫu hình trong lịch sử thanh lý của DeFi

Sự kiện này không phải là trường hợp đơn lẻ. Hệ sinh thái DeFi đã nhiều lần đối mặt với các thảm họa liên quan đến oracle, gây ra các chuỗi thanh lý lan rộng và thiệt hại hệ thống. Vào tháng 2 năm 2024, chỉ vài tuần trước, giao thức cho vay Moonwell gặp sự cố cấu hình oracle khiến cbETH tạm thời được định giá khoảng 1 đô la (giá trị thị trường gần 2.200 đô la), dẫn đến các khoản thanh lý tích lũy gần 1.8 triệu đô la nợ xấu của hệ thống. Các sự cố trước đó như vụ tấn công thao túng Mango Markets hay lỗ hổng Euler Finance đều gây thiệt hại hàng trăm triệu đô la.

Tuy nhiên, tình huống của Aave có những đặc điểm riêng biệt. Các thảm họa oracle trước đây thường bắt nguồn từ dữ liệu bên ngoài bị làm giả hoặc thao túng giá. Trong khi đó, chuỗi thanh lý này lại bắt nguồn từ chính kiến trúc an ninh nội bộ—cơ chế được thiết kế để ngăn chặn thao túng lại trở thành nguyên nhân gây ra sự cố khi cấu hình tham số sai lệch.

Mâu thuẫn của ‘Code is Law’ trong hệ thống không hoàn hảo

Triết lý nền tảng của DeFi là “Code là Luật”—hợp đồng thông minh tự thực thi mà không cần can thiệp của con người, tạo ra hệ thống minh bạch và không tin cậy. Tuy nhiên, triết lý này tiềm ẩn một điểm yếu: khi các tham số bị sai lệch do lỗi kỹ thuật chứ không phải do cố ý, mã vẫn thực thi một cách tàn nhẫn như cũ. Không có nút tạm dừng; không có cơ chế can thiệp của con người. Người dùng bị thanh lý trước khi có thể cảnh báo.

Cam kết bồi thường của Chaos Labs giải quyết vết thương kinh tế tức thời nhưng không thể khắc phục vấn đề kỹ thuật cốt lõi. Để tăng cường hệ thống thực sự, cần có các biện pháp phòng ngừa bổ sung: xác minh nghiêm ngặt các cập nhật tham số, kiểm tra tính nhất quán theo thời gian thực của các giới hạn trên chuỗi, và hệ thống cảnh báo sớm để cảnh báo quản trị viên trước khi lỗi lan rộng thành chuỗi thanh lý.

Sự kiện thanh lý của Aave, dù đã được kiểm soát nhanh chóng và bồi thường đầy đủ, vẫn làm sáng tỏ một điểm yếu quan trọng kéo dài trong DeFi. Khi các cơ chế thanh lý ngày càng tinh vi và cấu trúc tài sản thế chấp phức tạp hơn, nguy cơ các cơ chế bảo vệ trở thành trung gian gây thanh lý cũng tăng theo tỷ lệ. Ngành công nghiệp cần không chỉ phòng tránh các lỗi này mà còn phải xây dựng các hệ thống phòng ngừa hoạt động chính xác ngay cả khi các hệ thống chính gặp sự cố.