Cách một lỗi oracle của Aave đã kích hoạt $21.7M thanh lý và kiểm tra quản lý rủi ro DeFi

Vào ngày 10 tháng 3, một lỗi cấu hình kỹ thuật trong hệ thống oracle của Aave đã dẫn đến các khoản thanh lý bắt buộc, thử thách sự phụ thuộc của DeFi vào các hệ thống quản lý rủi ro tự động.

Sự kiện thanh lý 21,7 triệu đô la trên Aave

Người dùng Aave đã chịu thiệt hại khoảng 21,7 triệu đô la trong các khoản thanh lý vào ngày 10 tháng 3 sau khi một hạn chế trên chuỗi trong hệ thống rủi ro Wrapped stETH (wstETH) gây ra việc đánh giá giá trị tài sản thế chấp thấp hơn thực tế. Tổng cộng, 34 tài khoản đã bị thanh lý vì giao thức định giá wstETH thấp hơn khoảng 2,85% so với giá thị trường thực tế.

Cuối cùng, giao thức không gặp phải nợ xấu và đã bồi thường cho các người dùng bị ảnh hưởng. Tuy nhiên, sự kiện này đã phơi bày những điểm yếu về cấu trúc trong cách quản lý rủi ro tự động của DeFi thực hiện các thay đổi mà không có sự can thiệp của con người. Nó cũng cho thấy mức độ nhanh chóng của một tham số bị cấu hình sai có thể dẫn đến các khoản thanh lý quy mô lớn của các vị thế vốn dĩ khỏe mạnh.

Theo dữ liệu sau sự cố, người dùng giữ wstETH làm tài sản thế chấp đối với nợ WETH dường như bị thiếu tài sản thế chấp chỉ vì đánh giá sai giá trị. Hơn nữa, các vị thế của họ sẽ vẫn an toàn ở giá thị trường thực tế, nhấn mạnh rằng thất bại này là do hạ tầng chứ không phải do thị trường.

Cơ chế thất bại của CAPO

Sự cố bắt nguồn từ hệ thống CAPO (Correlated Asset Price Oracle) của Aave, được xây dựng để bảo vệ chống lại việc thao túng các tài sản có giá liên quan, như wstETH và stETH. CAPO lấy tỷ lệ wstETH/stETH từ Lido, áp dụng giới hạn bảo vệ qua WstETHPriceCapAdapter, rồi nhân kết quả với giá ETH để có giá trị quy đổi sang USD.

Vào 12:47 UTC ngày 10 tháng 3, hệ thống Edge Risk của Chaos Labs ngoài chuỗi đã đề xuất cập nhật giá tối đa của CAPO lên 1.1933947 wstETH/ETH. Vào thời điểm đó, tỷ lệ thị trường thực tế là 1.2285, cho thấy giới hạn đề xuất đã thấp hơn đáng kể so với giá hiện tại.

AgentHub của BGD đã thực thi đề xuất này một khối sau đó qua hệ thống Oracle Automation của mình, mà không có bất kỳ bước xem xét nào giữa đề xuất ngoài chuỗi và thực thi trên chuỗi. Chính sự nhanh chóng này đã biến một lỗi cấu hình thành một sự kiện ảnh hưởng trực tiếp đến người dùng ngay lập tức.

Sự sai lệch 2,85% này khiến giao thức đánh giá thấp giá trị của wstETH làm tài sản thế chấp. Do đó, các tài khoản vốn dĩ an toàn theo dữ liệu thị trường thực tế đã bị đánh dấu là thiếu tài sản thế chấp và bị thanh lý. Quá trình này đã xử lý 10.938 wstETH qua 34 tài khoản và tạo ra khoảng 512 ETH thưởng thanh lý cho các người thanh lý trước khi vấn đề được phát hiện và khắc phục.

Nguyên nhân kỹ thuật: sai lệch trong snapshot

Lỗi kỹ thuật bắt nguồn từ sự không khớp giữa tham số snapshotRatio và snapshotTimestamp trong CAPO. Risk Agent ngoài chuỗi của Chaos Labs đã tính toán tỷ lệ mục tiêu khoảng 1.2282 dựa trên một snapshot cũ 7 ngày. Tuy nhiên, hệ thống trên chuỗi giới hạn tốc độ thay đổi của tỷ lệ này.

Theo quy tắc bảo vệ của CAPO, giá trị chuỗi trước đó khoảng 1.1572 chỉ có thể tăng tối đa 3% mỗi 3 ngày. Trong thực tế, điều này có nghĩa là tỷ lệ chỉ có thể tăng lên khoảng 1.1919 trong một lần cập nhật, ngay cả khi mục tiêu ngoài chuỗi đã cao hơn. Thêm vào đó, việc cập nhật này không phù hợp với logic về thời gian của tham số timestamp.

snapshotTimestamp được đặt như thể giá trị chuỗi trên chuỗi đã phản ánh tỷ lệ cũ 7 ngày là 1.2282. Điều này tạo ra sự không nhất quán nghiêm trọng giữa thời gian và tham chiếu giá. Kết quả là, CAPO tính toán ra tỷ lệ tối đa khoảng 1.1939, thấp hơn khoảng 2,85% so với tỷ lệ thị trường thực tế là 1.2285.

Sự cố này là lần cập nhật tự động đầu tiên do Chaos Labs’ CAPO Risk Agent thực hiện sau khi triển khai. Tuy nhiên, việc thực thi lần đầu này đã gây ra các khoản thanh lý cho người dùng khiến cấu hình sai trở nên đặc biệt đáng lo ngại đối với cả quản trị và người dùng.

Chuỗi thực thi tự động từ Edge Risk đến AgentHub

Edge Risk là hệ thống quản lý rủi ro ngoài chuỗi độc quyền của Chaos Labs, chuẩn bị và đẩy các thay đổi tham số từ một địa chỉ được chỉ định. AgentHub, do BGD phát triển, lắng nghe các thay đổi này qua Oracle Automation rồi truyền chúng đến giao thức.

Thay đổi tham số sai đã đi qua hệ thống rủi ro tự động của Chaos Labs theo chuỗi hai giao dịch. Đầu tiên, hệ thống Edge Risk đề xuất thay đổi giới hạn lên 1.191926 wstETH/ETH trong giao dịch 0xfbafeaa8c58dd6d79f88cdf5604bd25760964bc8fc0e834fe381bb1d96d3db95. Sau đó, AgentHub thực thi thay đổi một khối sau đó qua giao dịch 0x32c64151469cf2202cbc9581139c6de7b34dae2012eba9daf49311265dfe5a1e.

Trong tháng 2, các khoản thanh lý hàng ngày trên Aave khá nhỏ, hiếm khi vượt quá 5 triệu đô la, do điều kiện thị trường ổn định. Đợt tăng đột biến ngày 10 tháng 3 lên 21,6 triệu đô la nổi bật như một trường hợp ngoại lệ, gấp khoảng 4 lần mức bình thường. Hơn nữa, khối lượng thanh lý đã nhanh chóng trở lại mức bình thường sau khi điều chỉnh, xác nhận rằng áp lực đến từ đường dẫn oracle chứ không phải do sự yếu kém của toàn bộ hệ thống.

Hành vi này củng cố kết luận rằng vấn đề định giá wstETH là do lỗi cấu hình riêng biệt. Nó không phải là dấu hiệu của sự suy giảm chất lượng tài sản thế chấp, vấn đề thanh khoản hoặc giảm đòn bẩy hệ thống trong hệ sinh thái Aave.

Kế hoạch phát hiện, giảm thiểu và bồi thường thanh lý

Lỗi cấu hình đã được phát hiện trong vòng vài phút, thúc đẩy phản ứng nhanh chóng từ nhóm Aave và các nhà cung cấp rủi ro của họ. Để hạn chế thiệt hại thêm, giới hạn vay wstETH trên Aave Core và Aave Prime đã được giảm xuống còn 1, hiệu chỉnh hoạt động vay mới đối với tài sản này.

Thông qua sự can thiệp thủ công của Risk Steward, nhóm đã điều chỉnh lại snapshotRatio phù hợp với snapshotTimestamp thực tế, khôi phục dữ liệu oracle về đúng giá trị. Một bản cập nhật oracle đã được đẩy qua giao dịch 0xb883ad2f1101df8d48f014ba308550f3251c2e0a401e7fc9cf09f9c2a158259d, trong khi các thay đổi về giới hạn vay để đặt giới hạn vay wstETH là 1 đã được thực thi qua giao dịch 0x34f568b28dbcaf6a8272038ea441cbc864c8608fe044c590f9f03d0dac9cf7f8.

Dù phải bán tháo bắt buộc, giao thức không gặp phải nợ xấu và đã công bố một báo cáo phân tích chi tiết trên các diễn đàn quản trị của Aave. Tuy nhiên, thiệt hại của người dùng do các khoản thanh lý đã yêu cầu một chính sách riêng biệt, cuối cùng dẫn đến một kế hoạch bồi thường thanh lý có cấu trúc.

Để bồi thường cho các tài khoản bị ảnh hưởng, Aave đã thu hồi 141,5 ETH trong phần thưởng thanh lý qua các khoản hoàn trả của BuilderNet. Kho bạc DAO sau đó đã bù đắp phần còn lại, với tổng số tiền bồi thường cho người dùng tối đa là 358 ETH. Quan trọng là, kế hoạch này được thực hiện qua một Đề xuất Cải tiến Aave (AIP) trực tiếp, đảm bảo các người dùng bị ảnh hưởng nhận được bồi thường đầy đủ dù lỗi xuất phát từ hạ tầng.

Bối cảnh thị trường quanh sự cố ngày 10 tháng 3

Hoạt động cross-chain trên Aave cho thấy sự tăng trưởng mạnh mẽ của người dùng trong khoảng thời gian từ tháng 2 đến tháng 3. Ví dụ, Avalanche ghi nhận 38.445 người dùng gửi tiền vào ngày 10 tháng 2, trong khi Base ghi nhận 31.763 người gửi tiền vào ngày 6 tháng 3, chỉ bốn ngày trước sự kiện thanh lý do oracle gây ra.

Những đợt tăng này làm nổi bật sự tham gia ngày càng lớn của người dùng trên các mạng hỗ trợ của Aave, ngay cả khi giao thức đang xử lý một sự cố kỹ thuật phức tạp. Hơn nữa, tổng số tiền gửi và vay mượn của Aave vẫn duy trì ổn định trong suốt đầu năm 2026, cho thấy niềm tin vào thiết kế cốt lõi của giao thức không bị suy yếu đáng kể sau sự kiện.

Sự ổn định của các khoản gửi, cùng với việc các khoản thanh lý nhanh chóng trở lại mức bình thường, nhấn mạnh rằng vấn đề định giá sai của wstETH xuất phát từ lỗi cấu hình, chứ không phải từ các vấn đề về chất lượng tài sản thế chấp hoặc thanh khoản. Tuy nhiên, rủi ro tập trung trong các nhà cung cấp tự động hóa và đường dẫn oracle vẫn là một mối quan tâm cấu trúc đối với các nền tảng DeFi quy mô như Aave.

Quản trị, minh bạch và tương lai của thực thi oracle tự động

Sự cố ngày 10 tháng 3 cho thấy những thách thức về quản trị do việc thực thi oracle tự động trong các giao thức cho vay lớn của DeFi gây ra. Edge Risk của Chaos Labs đề xuất một giới hạn dưới giá thị trường, AgentHub của BGD thực thi nó một khối sau đó, và các khoản thanh lý diễn ra trong vòng vài phút, gần như không còn thời gian cho sự can thiệp của con người.

Aave đã phản ứng nhanh chóng bằng cách phát hiện sớm, thực hiện các biện pháp sửa chữa quyết đoán và bồi thường đầy đủ cho người dùng, phần lớn được tài trợ từ kho bạc DAO. Tuy nhiên, sự kiện này đã làm lộ ra những hạn chế trong xác thực trước khi thực thi và rủi ro phụ thuộc quá nhiều vào một hệ thống rủi ro độc quyền. Đặc biệt, tính chất đóng của các tính toán Edge Risk của Chaos Labs giới hạn khả năng xác minh độc lập và đặt quyền kiểm soát vận hành lớn vào tay các nhà cung cấp dịch vụ bên ngoài.

Khi nhiều giao thức DeFi áp dụng các khung hệ thống rủi ro tự động CAPO và các hệ thống tương tự, sự cố này cho thấy quản trị cần phải tích hợp các kiểm thử mạnh mẽ, các khung xem xét rõ ràng và giám sát minh bạch. Hơn nữa, kiến trúc oracle của Aave trong tương lai có thể cần thêm các lớp an toàn như kiểm tra chéo đa nguồn hoặc cơ chế triển khai từng giai đoạn để đảm bảo các lỗi kỹ thuật trong tương lai không gây thiệt hại trực tiếp cho người dùng.

Tóm lại, các khoản thanh lý ngày 10 tháng 3 không phải là một cuộc khủng hoảng thị trường mà là một bài kiểm tra về quản trị và hạ tầng. Sự kết hợp giữa tự động hóa, thực thi nhanh chóng và mô hình rủi ro mập mờ nhấn mạnh rằng các giao thức DeFi cần cân bằng giữa hiệu quả và các biện pháp bảo vệ minh bạch, có thể kiểm tra để bảo vệ người dùng.