Kho dự trữ Wrapped Ether (WETH) của AAVE V3 đang gánh khoản nợ xấu sau khi tin tặc khai thác Token rsETH của KelpDAO dùng reStaking cọc thanh khoản và sử dụng nó làm tài sản thế chấp để vay tiền từ giao thức cho vay này.
Nhà phát triển và kiểm toán Solidity 0xQuit đã cảnh báo về tình hình trên X, thông báo cho người gửi tiền rằng nhóm WETH thực tế đang bị ảnh hưởng và việc rút tiền một phần có thể chỉ khả thi sau khi cơ chế hỗ trợ Umbrella của Aave giải quyết được khoản thiếu hụt.
Làm thế nào việc rút cạn kiệt nguồn vốn rsETH đã tạo ra nợ xấu trên AAVE
Vụ tấn công bắt đầu khi kẻ xâm nhập nạp tiền vào ví thông qua Tornado Cash. Khoảng 116.500 rsETH đã bị rút khỏi KelpDAO , tổng trị giá hơn 290 triệu đô la.
Sau đó, kẻ tấn công đã cung cấp số rsETH bị đánh cắp làm tài sản thế chấp trên AAVE V3 và vay một khối lượng giao dịch lớn WETH dựa trên số rsETH đó.
Do rsETH không còn được bảo đảm sau khi rút tiền, các vị thế phát sinh về cơ bản là không thể thanh lý. Điều này khiến AAVE phải gánh chịu các nghĩa vụ WETH mà họ không thể thu hồi thông qua thanh khoản thông thường.
“Ước gì tôi có tin tốt hơn nhưng có vẻ như WETH trên AAVE đã gặp rắc rối rồi. Hãy rút tiền nếu có thể nhưng có lẽ đã quá muộn,” 0xQuit, nhà phát triển và kiểm toán viên Solidity , cảnh báo .
Thị trường rsETH trên AAVE V3 và AAVE V4 đã bị đóng băng, AAVE đảm bảo rằng các hợp đồng không bị lợi dụng vì sự cố này chỉ liên quan đến rsETH.
AAVE AAVE ra sau vụ tấn công… nếu giao thức tích lũy nợ xấu từ sự cố này, tài sản của Umbrella có thể được sử dụng để bù đắp khoản thiếu hụt.”
Ý nghĩa của Umbrella đối với người gửi tiền WETH
Hệ thống Umbrella của Aave, được thiết kế để thay thế Mô-đun An toàn cũ vào cuối năm 2025, nhằm giải quyết chính xác tình huống này.
Những người dùng đã đặt cọc aWETH trong kho Umbrella sẽ tự động Slashing tài khoản để bù đắp khoản thiếu hụt.
Sau khi chu kỳ Slashing hoàn tất, các nhà cung cấp WETH còn lại sẽ được cấp lại quyền rút tiền một phần.
Tuy nhiên, việc phục hồi hoàn toàn không được đảm bảo, và người gửi tiền có thể phải chịu tổn thất một phần tiền gửi .
Sự cố này đánh dấu bài kiểm tra thực tế lớn đầu tiên đối với cơ chế tự động xử lý nợ xấu của Umbrella. Nó cũng đặt ra những câu hỏi mới về rủi ro khi đưa các token reStaking thanh khoản vào danh sách trắng làm tài sản thế chấp trên các giao thức cho vay.
Trong khi đó, nhóm Upshift, đơn vị cung cấp các kho lưu trữ Non-Custodial để quản lý tài sản được mã hóa, đã đảm bảo với người dùng rằng họ không có bất kỳ rủi ro nào liên quan đến rsETH.
“Chúng tôi đang liên hệ với KelpDAO về một lỗ hổng tiềm tàng của rsETH. Để đề phòng, nhóm Kelp đã quyết định tạm thời ngừng gửi và rút tiền vào các tài khoản High Growth ETH và Kelp Gain trong khi họ tiến hành điều tra. Các tài khoản Upshift USDC, Core USDC và EarnAUSD không có bất kỳ rủi ro nào liên quan đến rsETH. Chúng tôi sẽ cập nhật thông tin ngay khi nhận được từ nhóm Kelp,” Upshift cho biết .
