Aave đối mặt làn sóng rút tiền 8,45 tỷ USD, nhà sáng lập nói giao thức vẫn đủ bền bỉ

Aave và bài kiểm tra sức chịu đựng sau cú rút tiền hàng tỷ USD

DeFi đang dần phục hồi sau chuỗi sự cố khai thác tinh vi, nhưng cuộc tranh luận lớn hơn vẫn chưa lắng xuống: các giao thức chạy trên blockchain công khai có thật sự xử lý được rủi ro hệ thống hay không.

Câu hỏi đó trở nên căng thẳng hơn từ tháng 4 năm 2026, khi vụ khai thác trị giá 292 triệu USD nhắm vào cầu nối LayerZero của KelpDAO đã kéo theo một đợt rút tiền ồ ạt khỏi Aave, nền tảng cho vay phi tập trung lớn nhất thế giới. Chỉ trong 48 giờ, lượng tiền gửi rời khỏi hệ thống lên tới 8,45 tỷ USD.

Tại sự kiện Proof of Talk ở Paris tuần trước, Stani Kulechov, nhà sáng lập kiêm CEO của Aave Labs, bảo vệ cấu trúc của Aave và đặt nó lên trên tài chính truyền thống về mặt toán học. Thay vì đi sâu vào những sai sót vận hành trong cuộc khủng hoảng thanh khoản khiến Aave suýt vượt qua ngưỡng phòng thủ mất khả năng thanh toán, ông chuyển trọng tâm sang xem đợt tháo chạy vốn này như bằng chứng thực nghiệm cho thấy mạng lưới vẫn “chống chịu tốt”.

Ông nói rằng hạ tầng V3 hiện tại của Aave đã đi qua nhiều chu kỳ thị trường, đồng thời nhấn mạnh nền tảng này đã thể hiện khả năng trụ vững rất tốt trong các giai đoạn biến động mạnh.

Tuy vậy, nếu nhìn kỹ vào sự cố tháng 4, có thể thấy sự sống sót của Aave không đến từ một thiết kế tự động hoàn hảo, mà từ một gói cứu trợ khẩn cấp do con người triển khai, với quy mô khoảng 300 triệu USD. Nỗ lực này bao gồm cam kết 25.000 ETH từ Aave DAO và khoản đóng góp cá nhân 5.000 ETH, tương đương 8,4 triệu USD, từ chính Kulechov để ngăn một kịch bản tồi tệ hơn.

Tranh cãi quanh nguyên nhân sự cố

Kulechov cho rằng cần tách lớp mã hợp đồng thông minh cốt lõi ra khỏi các hạ tầng bên ngoài đang ảnh hưởng đến thị trường rộng hơn.

Ông lập luận rằng trong quá trình phát triển, các vấn đề thực sự trong smart contract của những giao thức DeFi là rất ít. Theo ông, phần lớn rủi ro hiện nay đến từ các phụ thuộc của bên thứ ba, gắn với kiểu an ninh truyền thống hơn, và điều này đã được nhìn thấy gần đây trên toàn thị trường DeFi.

Lập luận này có phần chính xác về mặt kỹ thuật, vì vụ tấn công tháng 4 bắt nguồn từ một cuộc spoofing RPC và tấn công DDoS nhắm vào các verifier node của LayerZero trên KelpDAO, chứ không phải lỗi trực tiếp trong mã nguồn của Aave. Nhưng theo giới phân tích rủi ro, cách giải thích đó vẫn né tránh một thực tế khó chịu hơn.

Công ty mô hình hóa rủi ro blockchain LlamaRisk sau đó cho biết nhóm tấn công đã lợi dụng lỗ hổng để đúc ra tài sản thế chấp vô giá trị, nạp vào Aave rồi rút Ether được bọc thật, khiến Aave V3 bị mắc kẹt với khoản nợ xấu ước tính 123,7 triệu USD. Ngoài ra, các nhà phân tích ngân hàng thuộc Bank Policy Institute cũng chỉ ra rằng mức bảo hiểm không đủ của Aave cho thấy DeFi vẫn dễ tổn thương trước các đợt rút tiền hàng loạt, và người dùng thường là bên chịu thiệt lớn nhất.

V4 được kỳ vọng là lời giải kiến trúc

Kulechov thừa nhận nguy cơ lây lan mang tính kiến trúc cần một cuộc tái thiết toàn diện. Để tránh việc các sự cố cầu nối tiếp tục kích hoạt làn sóng rút tiền diện rộng trong tương lai, Aave Labs cho biết bản nâng cấp V4 đang được dùng để tái cấu trúc toàn bộ cơ chế quản trị rủi ro.

Theo ông, phiên bản mới sẽ bỏ mô hình gộp token truyền thống để chuyển sang hệ thống mô đun theo kiểu hub and spoke. Cách thiết kế này cho phép giao thức tự động áp dụng mức phí rủi ro theo từng khu vực và khóa riêng các nhóm tài sản thế chấp trước khi cú sốc lan sang nguồn thanh khoản chính.

Kulechov cũng nói rằng khi hệ thống đã công khai và có thể kiểm tra hoàn toàn, bất kỳ ai cũng có thể đọc mã nguồn và thực hiện các phân tích rủi ro khác nhau. Theo ông, đó là nền tảng quan trọng để xây dựng phần mềm có khả năng chống chịu tốt.

Dù vậy, câu hỏi lớn vẫn còn đó: liệu các nhà phân bổ vốn tổ chức có tiếp tục bỏ qua những đợt “kiểm tra sức chịu đựng” trị giá hàng tỷ USD này trong lúc chờ V4 ra mắt hay không, và chính câu hỏi này sẽ định hình tương lai phổ biến hóa của DeFi.