Aave mất 6,6 tỷ USD TVL và gánh 196 triệu USD nợ xấu: Hệ lụy Kelp với DeFi Lending

Aave, giao thức cho vay phi tập trung lớn nhất từng có hơn 20 tỷ USD tiền gửi, vừa phải chịu khoảng 196 triệu USD nợ xấu do hậu quả từ một sự cố bảo mật mà bản thân không liên quan. Ngày 19/04/2026, hợp đồng rsETH của Kelp DAO bị rút cạn 292 triệu USD, trở thành vụ tấn công DeFi lớn nhất trong năm cho đến hiện tại. Kẻ tấn công đã sử dụng rsETH bị đánh cắp để làm tài sản thế chấp trên Aave V3 và vay WETH. Tuy nhiên, sau vụ tấn công, rsETH không còn được bảo chứng, khiến tài sản thế chấp này trở nên vô giá trị.

Chỉ sau 24 giờ, tổng giá trị khóa (TVL) của Aave giảm mạnh từ khoảng 22 tỷ USD xuống 15,4 tỷ USD khi người dùng rút vốn trên mọi thị trường, kể cả những pool không liên quan đến rsETH. Giá token AAVE lao dốc 16-20% tùy sàn. Quỹ dự phòng Umbrella – vốn được thiết kế để xử lý các sự kiện như thế này – có thể cũng chưa đủ để bù hết khoản thâm hụt 196 triệu USD.

Vì sao sự cố Kelp lại ảnh hưởng đến Aave

Vụ hack của Kelp DAO không liên quan đến hợp đồng thông minh của Aave. Kelp là một giao thức liquid restaking xây dựng trên EigenLayer, phát hành token rsETH đại diện cho ETH staking. Ngày 19/04, hacker đã khai thác lỗ hổng ở cơ chế rút của Kelp, chiếm đoạt khoảng 292 triệu USD tài sản nền tảng. Các token rsETH còn lại trên thị trường bất ngờ mất giá trị bảo chứng, giao dịch với mức chiết khấu lớn so với tỷ giá lý thuyết ETH.

Tại thời điểm này, hacker đã gửi phần lớn rsETH bị đánh cắp vào Aave V3 làm tài sản thế chấp và vay WETH. Oracle của Aave vẫn định giá rsETH ở mức trước khi bị hack, vì nguồn Chainlink chưa kịp cập nhật tình trạng depeg. Khi Aave tiến hành đóng băng thị trường rsETH trên cả V3 và V4, hacker đã rút toàn bộ WETH đã vay, khiến Aave bị giữ lại lượng tài sản thế chấp gần như vô giá trị.

Kết quả là khoảng 196 triệu USD nợ xấu tập trung ở cặp cho vay rsETH-WETH. Đây không chỉ là thiệt hại lý thuyết mà là khoản nợ thực tế mà giao thức phải đối với những người gửi WETH đã bị rút khỏi nền tảng.

Vì sao có 6,6 tỷ USD rời khỏi Aave chỉ trong 24 giờ

Sự sụt giảm TVL là điều đáng chú ý hơn bản thân khoản nợ xấu. Nợ xấu của Aave chỉ xảy ra ở cặp rsETH-WETH trên các pool nhất định. Phần lớn các pool khác của Aave không tiếp xúc với rsETH. Các nhà cung cấp USDC, DAI, wBTC trên các chain không bị ảnh hưởng thực tế không gặp rủi ro từ sự cố này.

Tuy nhiên, người gửi tiền không chờ đợi để kiểm chứng chi tiết. Ngay khi xuất hiện thông tin "Aave" và "nợ xấu" cùng lúc, hiệu ứng rút tiền ồ ạt kiểu bank-run diễn ra trên mọi thị trường và chain. TVL giảm từ khoảng 22 tỷ USD còn 15,4 tỷ USD chỉ trong một ngày, tức 6,6 tỷ USD rút ra – lớn hơn 33 lần khoản lỗ thực tế.

Hiện tượng này không mới trong DeFi. Khi Euler Finance bị hack tháng 3/2023, hàng loạt giao thức cho vay đều chứng kiến dòng tiền rút, kể cả những nền tảng không liên quan. Điểm khác biệt lần này là quy mô, bởi Aave là giao thức mà nhiều tổ chức lấy làm tiêu chuẩn đánh giá sự trưởng thành của DeFi lending. Việc rút 6,6 tỷ USD khỏi một giao thức hàng đầu có tác động lan tỏa lớn.

Việc rút vốn hàng loạt còn gây hiệu ứng phụ: tỉ lệ sử dụng các pool còn lại tăng vọt, lãi suất cho vay bị đẩy lên, càng khiến nhiều người tiếp tục rút. Vòng lặp này làm TVL giảm mạnh hơn nhiều so với khoản lỗ thực tế. 6,6 tỷ USD rút ra không phải là lỗ thực mà là dòng vốn chuyển dịch do người gửi đánh giá lại rủi ro/lợi nhuận khi giữ vốn trên Aave.

Số phận khoản nợ 196 triệu USD

Aave có cơ chế dự phòng cho các trường hợp này: module Umbrella là quỹ dự phòng được tài trợ từ doanh thu giao thức và staking AAVE. Câu hỏi đặt ra là liệu kích thước quỹ có đủ bù đắp khoản hụt 196 triệu USD hay không.

Tính đến giữa tháng 4/2026, quỹ Umbrella ước tính nắm giữ 80-100 triệu USD tài sản. Như vậy, còn thiếu khoảng 96-116 triệu USD cần xử lý theo cách khác. Việc kích hoạt module Umbrella cần thông qua bỏ phiếu, cộng đồng sẽ quyết định mức độ sử dụng quỹ này.

Nếu quỹ dự phòng không đủ bù đắp toàn bộ, lớp bảo vệ tiếp theo là người stake stkAAVE. Đây là những người stake token AAVE để làm "lớp đệm cuối cùng", nhận phí giao thức để đổi lấy rủi ro bị trừ tài sản khi có sự cố. Khả năng cao sẽ có đề xuất cắt giảm một phần stkAAVE để bù phần thiếu hụt này và người stake đang đánh giá rủi ro đó khi quyết định giữ stake.

Nhà sáng lập Stani Kulechov đã xác nhận sự cố hoàn toàn nằm ngoài hợp đồng Aave: "Giao thức Aave vận hành đúng thiết kế", nhấn mạnh lỗ hổng là ở mã nguồn của Kelp chứ không phải logic cho vay của Aave. Dù vậy, điều này ít an ủi với người gửi đã mất quyền truy cập WETH do tài sản thế chấp trở nên vô giá trị.

Diễn biến giá token AAVE nói lên điều gì

AAVE đã giảm 16-20% chỉ trong vài giờ sau khi có tin về sự cố, từ khoảng 280 USD xuống mức thấp 224 USD trước khi hồi lại quanh 235 USD. Đợt bán tháo xuất phát từ hai nỗi lo chồng chéo: một là tác động tài chính trực tiếp từ khoản nợ xấu và khả năng người stake stkAAVE bị trừ tài sản; hai là rủi ro uy tín khi giao thức DeFi lending lớn nhất gắn với sự cố quy mô lớn.

Token đã phần nào phục hồi nhưng vẫn thấp hơn đáng kể so với trước sự kiện. Diễn biến tiếp theo sẽ phụ thuộc vào cách cộng đồng xử lý khoản hụt. Nếu quỹ Umbrella bù phần lớn và phần còn lại được giải quyết thông qua một đợt slash stkAAVE hợp lý, niềm tin có thể sớm phục hồi. Nếu quá trình bỏ phiếu kéo dài hoặc xuất hiện thêm nợ xấu từ các token staking khác, khả năng giá sẽ về lại đáy cũ.

Một dữ liệu đáng chú ý là động thái của các holder lớn. Trong 48 giờ đầu, dữ liệu on-chain ghi nhận các ví cá voi có động thái trái chiều: một số tăng mua dưới 230 USD, số khác chuyển AAVE lên sàn – dấu hiệu chuẩn bị bán. Điều này cho thấy thị trường vẫn chưa nhất trí hướng đi, và xu hướng tích trữ hay phân phối sẽ rõ ràng hơn khi có quyết định chính thức từ cộng đồng.

Bài học với các giao thức cho vay DeFi

Sự kiện Kelp-Aave phơi bày lỗ hổng cấu trúc mà mọi giao thức cho vay DeFi đều đối mặt: việc định giá tài sản thế chấp phụ thuộc vào oracle. Nếu có sự cố bên ngoài khiến tài sản thế chấp mất giá trị trước khi oracle kịp cập nhật, giao thức cho vay sẽ gánh hậu quả. Aave không mắc lỗi vận hành, hợp đồng thông minh vẫn hoạt động đúng, nhưng kiến trúc hệ thống khiến sự an toàn của tiền gửi phụ thuộc một phần vào an ninh các giao thức khác mà token của họ được chấp nhận làm thế chấp.

Đây là rủi ro composability của restaking – điều nhiều chuyên gia đã cảnh báo từ khi EigenLayer xuất hiện. Các token liquid restaking như rsETH, rswETH, ezETH biến staking vốn đã phức tạp thành các dạng dẫn xuất mới và dùng làm tài sản thế chấp khắp DeFi. Mỗi lớp "bọc" thêm một phụ thuộc, khi một tầng gặp trục trặc, toàn bộ hệ thống phía trên sẽ bị ảnh hưởng.

Dự kiến sẽ có nhiều đề xuất siết chặt tiêu chuẩn tài sản thế chấp với các token restaking lỏng trên các giao thức cho vay lớn trong thời gian tới. Compound, MakerDAO và các nền tảng tương tự sẽ đánh giá lại rủi ro, thậm chí có thể loại bỏ hoàn toàn token restaking khỏi danh sách thế chấp, ít nhất là tạm thời.

Với người gửi tiền, kinh nghiệm rút ra là: hợp đồng thông minh được kiểm thử kỹ có thể bảo vệ khỏi lỗi mã nguồn nội bộ, nhưng không loại bỏ được rủi ro từ tài sản thế chấp bên ngoài. Đa dạng hóa giữa các nền tảng chỉ giảm rủi ro đơn lẻ, nhưng như sự cố Kelp cho thấy, ngay cả các pool không bị ảnh hưởng trên cùng một nền tảng cũng có thể bị rút vốn. Đa dạng hóa thực sự là ở loại tài sản thế chấp, không chỉ là ở nền tảng.

Câu hỏi thường gặp

Aave có bị hack không?

Không, hợp đồng thông minh của Aave không bị xâm phạm. Nợ xấu đến từ sự cố bên ngoài ở giao thức rsETH của Kelp DAO. Hacker dùng rsETH bị đánh cắp làm tài sản thế chấp trên Aave để vay WETH, khi rsETH mất bảo chứng thì tài sản thế chấp trở nên vô giá trị còn WETH đã bị rút hết.

Aave mất bao nhiêu trong sự cố Kelp?

Aave chịu khoảng 196 triệu USD nợ xấu ở cặp cho vay rsETH-WETH. TVL cũng giảm 6,6 tỷ USD do làn sóng rút tiền phòng ngừa rủi ro, nhưng phần lớn đây không phải là lỗ thực tế.

Người stake stkAAVE có bị mất tiền không?

Có khả năng, đây là điều người stake stkAAVE cần theo dõi sát. Quỹ dự phòng Umbrella có thể không đủ bù khoản hụt 196 triệu USD, và cộng đồng có thể bỏ phiếu cắt giảm một phần stkAAVE để bù vào. Đây là rủi ro mà người stake phải chấp nhận khi nhận phí từ giao thức. Đến ngày 20/4, vẫn chưa có quyết định chính thức.

Có nên gửi tiền vào Aave sau sự cố này?

Hợp đồng của Aave vẫn hoạt động bình thường và không bị xâm phạm. Rủi ro nằm ở tài sản thế chấp trên nền tảng, không phải mã nguồn Aave. Người dùng nên kiểm tra tài sản thế chấp đang được hỗ trợ ở các pool mình tham gia và hiểu rằng các token restaking có thêm lớp rủi ro phụ thuộc so với các tài sản đơn giản như ETH hoặc USDC.

Tổng kết

Sự cố Kelp khiến Aave chịu 196 triệu USD nợ xấu và kích hoạt làn sóng rút vốn 6,6 tỷ USD, nhưng hợp đồng của giao thức không bị xâm phạm. Rủi ro thực sự nằm ở tính phụ thuộc lẫn nhau trong DeFi lending, đặc biệt là với các giao thức restaking bên ngoài có token làm tài sản thế chấp. Cộng đồng Aave sẽ phải quyết định trong 7-14 ngày tới về việc sử dụng quỹ Umbrella và có slash stkAAVE hay không. Nếu xử lý nhanh gọn, TVL có thể hồi phục khi người gửi quay lại. Nếu quá trình kéo dài hoặc xuất hiện thêm rủi ro từ các token restaking khác, đây có thể là thời điểm buộc toàn ngành DeFi lending phải xem lại tiêu chuẩn lựa chọn tài sản thế chấp. Những giao thức siết chặt tiêu chuẩn sớm sẽ là nơi được dòng vốn cẩn trọng ưu tiên chuyển đến.

Bài viết chỉ nhằm mục đích cung cấp thông tin, không phải lời khuyên tài chính hay đầu tư. Giao dịch tiền điện tử luôn tiềm ẩn rủi ro. Bạn nên tự nghiên cứu trước khi quyết định đầu tư.