Aave đang viết lại các quy tắc niêm yết tài sản. Sự thay đổi này diễn ra sau vụ khai thác 230 triệu USD liên quan đến rsETH, làm lộ ra những điểm yếu nghiêm trọng trong bảo mật cầu nối xuyên chuỗi. Cuộc tấn công được truy vết do lỗ hổng trong quy trình xác minh cầu nối LayerZero, theo báo cáo hậu sự chính thức do giao thức công bố.
Vụ Khai Thác 230 Triệu USD và Lỗi Hổng LayerZero
Vụ khai thác đã rút hàng triệu USD khỏi các pool của Aave bằng cách nhắm vào lỗ hổng trong cách giao thức xác minh tài sản được cầu nối. Báo cáo hậu sự chính thức cho biết nguyên nhân gốc rễ là lỗi xác minh cầu nối LayerZero, chứ không phải lỗi trong hợp đồng thông minh của Aave. Sự phân biệt đó rất quan trọng. Trong nhiều năm, các vụ hack DeFi chủ yếu là do lỗi mã hóa—tấn công reentrancy, khai thác flash loan, và thao túng oracle. Lần này thì khác. Nó phơi bày một loại rủi ro mới: các giả định về độ tin cậy được tích hợp trong các cầu nối kết nối các blockchain.
Token rsETH được cho là đại diện cho ETH đã stake trên các chuỗi. Khi cầu nối không xác minh đúng tài sản, kẻ tấn công đã mint hàng triệu rsETH giả và rút chúng khỏi Aave. Giao thức đã mất 230 triệu USD trước khi vụ khai thác bị ngăn chặn. Báo cáo hậu sự không nêu tên cá nhân hoặc nhóm cụ thể đứng sau vụ tấn công.
Tiêu Chuẩn Niêm Yết Mới Để Giải Quyết Rủi Ro Cầu Nối
Phản ứng của Aave là một cuộc cải tổ toàn diện các tiêu chuẩn niêm yết tài sản. Giao thức sẽ đánh giá cách các tài sản được cầu nối được xác minh trước khi cho phép chúng làm tài sản thế chấp. Quy trình cũ tập trung vào kiểm toán hợp đồng thông minh và kiểm tra thanh khoản. Quy trình mới sẽ đi sâu vào cơ chế cầu nối—cách cầu nối xác thực tin nhắn, ai kiểm soát nó, và điều gì xảy ra nếu nó thất bại.
Đây là sự thừa nhận trực tiếp rằng bối cảnh rủi ro đã thay đổi. Aave không còn chỉ lo lắng về lỗi trong mã nguồn của mình nữa. Nó lo lắng về chuỗi tin cậy chạy qua mọi giao dịch xuyên chuỗi. Cuộc cải tổ vẫn đang được soạn thảo, nhưng hướng đi đã rõ: bất kỳ token nào vượt qua các chuỗi sẽ phải chịu sự giám sát bổ sung.
Ý Nghĩa Đối Với Quản Lý Rủi Ro DeFi
Vụ khai thác rsETH là một phần của xu hướng rộng hơn. Các lỗ hổng cầu nối đã trở thành nguyên nhân lớn nhất gây thất thoát trong tài chính phi tập trung. Sự cố 230 triệu USD của Aave gia nhập danh sách các vụ hack cầu nối đã rút hàng tỷ USD trong hai năm qua. Các giao thức hiện đang chạy đua để cập nhật mô hình rủi ro của mình.
Động thái của Aave là tín hiệu cho phần còn lại của ngành. Các giao thức cho vay khác có thể sẽ làm theo với các đánh giá tương tự. Câu hỏi là liệu các tiêu chuẩn mới có đủ để ngăn chặn lỗi cầu nối tiếp theo hay không. Cầu nối vẫn là mắt xích yếu nhất trong chuỗi DeFi.
Chưa có mốc thời gian cho việc triển khai các tiêu chí niêm yết mới. Cộng đồng quản trị của Aave dự kiến sẽ tranh luận chi tiết trong những tuần tới. Quyết định này sẽ tạo ra một tiền lệ cho cách DeFi xử lý rủi ro xuyên chuỗi trong tương lai.
