Một sự cố nhỏ do cài đặt sai lệch trong hệ thống định giá của Aave đã khiến một token phổ biến dường như rẻ hơn thực tế, và chỉ trong thời gian ngắn đã gây thiệt hại tới 26 triệu USD cho người dùng.
Token bị ảnh hưởng là Wrapped stETH (wstETH), một tài sản tạo lợi nhuận được sử dụng phổ biến làm tài sản thế chấp trên nền tảng cho vay Aave.
Cách một lỗi định giá gây ra hàng triệu USD bán tháo cưỡng bức
Aave, giống như hầu hết các giao thức cho vay khác, phụ thuộc vào nguồn cấp giá để xác định liệu tài sản thế chấp của người vay có đủ để đảm bảo khoản vay hay không.
Khi giá trị tài sản thế chấp giảm, giao thức sẽ tự động thanh lý vị thế để bảo vệ người cho vay. Tuy nhiên, trong trường hợp này giá trị tài sản thế chấp thực tế không hề giảm. Chỉ là hệ thống của Aave hiểu nhầm như vậy.
Giao thức sử dụng một cơ chế an toàn có tên CAPO, viết tắt của Capped Asset Price Oracle, nhằm ngăn chặn các biến động giá đột ngột, giả tạo có thể bị kẻ xấu lợi dụng.
Về cơ bản, CAPO sẽ giới hạn tốc độ tăng giá tài sản, với hai thông số cài đặt nội bộ phải luôn được đồng bộ. Tuy nhiên, trong sự cố vừa rồi, hai thông số này lại không đồng bộ với nhau.
- Một trong hai thông số chỉ được cập nhật một phần do giới hạn tốc độ tích hợp sẵn
- Thông số còn lại thì cập nhật như thể toàn bộ quá trình đã hoàn tất.
Khoảng cách giữa hai thông số này khiến Aave tính giá wstETH thấp hơn khoảng 2.85% so với giá trị thực.
Với đa số người dùng, chênh lệch 2.85% này không ảnh hưởng nhiều. Tuy nhiên, với những người sử dụng đòn bẩy cao, tức là vay đến gần mức tối đa cho phép dựa trên tài sản thế chấp, thì mức chênh lệch này đủ để đẩy tài khoản của họ vào khu vực có thể bị thanh lý.
Điều gì đã xảy ra với những nhà đầu tư nhỏ lẻ bị thanh lý
Trong sự cố này, tổng cộng 34 tài khoản bị ảnh hưởng, với khoảng 10,938 wstETH bị bán tự động để trả các khoản vay mà lẽ ra vẫn rất an toàn nếu tính đúng giá trị.
Các bot giao dịch tự động chuyên giám sát Aave để săn cơ hội thanh lý đã thu về khoảng 499 ETH lợi nhuận trong sự cố này, theo báo cáo tổng kết của công ty kiểm soát rủi ro Chaos Labs.
Bản thân Aave không bị mất tiền. Tất cả các khoản vay đều được trả đủ và quỹ dự trữ của giao thức không bị ảnh hưởng.
“Aave Protocol không chịu bất kỳ tác động nào,” khẳng định Stani Kulechov, nhà sáng lập kiêm CEO của Aave.
Tuy nhiên, những người dùng bị thanh lý vẫn phải chịu thiệt hại thực tế, và Aave hiện đang nỗ lực để bồi thường cho họ.
Aave đã lấy lại được 141.5 ETH thông qua một cơ chế gọi là hoàn phí BuilderNet, cộng thêm 13 ETH phí giao dịch.
Số tiền này sẽ được hoàn trả trực tiếp cho các tài khoản bị ảnh hưởng. Ngoài ra, bất kỳ khoản thiếu hụt nào còn lại (tối đa 345 ETH) sẽ được chi trả từ quỹ DAO treasury, được hình thành từ doanh thu của giao thức.
Thành viên cộng đồng tên Frida đã đưa ra ý kiến sắc bén trên diễn đàn rằng liệu Chaos Labs, đơn vị chịu trách nhiệm quản lý cấu hình nguồn giá của Aave, có nên chia sẻ trách nhiệm tài chính cho sự cố này hay không:
“Chaos Labs có phải chịu trách nhiệm nào với sự cố này không? Liệu sẽ có một đề xuất riêng về việc bồi thường cho người đi vay và Chaos Labs có tham gia đóng góp vào quỹ bồi thường không?” Frida đặt câu hỏi.
Báo cáo tổng kết của Aave không đổ lỗi trực tiếp cho Chaos Labs, mà xem đây đơn thuần là một kẽ hở trong cấu hình chứ không phải lỗi thiết kế hệ thống.
Hiện tại vẫn chưa rõ Chaos Labs sẽ góp phần nào vào quỹ bồi thường hay không vì Aave chưa phản hồi với BeInCrypto về vấn đề này.
Tuy nhiên, nhà sáng lập Chaos Labs, ông Omer Goldberg, cũng khẳng định mọi người dùng bị thiệt hại đều sẽ được bồi thường.
“Tất cả người dùng bị ảnh hưởng sẽ được hoàn trả đầy đủ. Các đại diện của DAO Aave đang hoàn tất kế hoạch bồi thường và sẽ công bố sớm,” Omer cho biết.
Giới hạn vay trên wstETH, từng bị đóng băng tạm thời trong lúc xảy ra sự cố, sẽ sớm được phục hồi về mức cũ trên cả hai thị trường Aave liên quan.
Sau khi công bố báo cáo tổng kết, giá token AAVE tăng 1.53% lên mức 110.52 USD, cho thấy thị trường đánh giá rằng cách xử lý sự cố của Aave là phù hợp và đủ để kiểm soát thiệt hại.
