Ngày 11 tháng 3, thông tin cho biết, giao thức cho vay phi tập trung Aave gần đây đã xảy ra một vụ thanh lý hàng loạt do cấu hình sai lệch của hệ thống dự đoán giá. Do hệ thống tạm thời đánh giá sai giá của Wrapped stETH (wstETH), khoảng 34 tài khoản đã bị tự động thanh lý vị thế thế chấp, liên quan đến khoảng 26 triệu USD tài sản, gây ra cuộc thảo luận rộng rãi trong cộng đồng DeFi về an toàn của hệ thống dự đoán giá và cơ chế thanh lý.
Theo thông tin tiết lộ sau đó, vụ việc này không phải do giá thị trường thực sự giảm, mà là do sự sai lệch kỹ thuật trong hệ thống giá nội bộ của Aave. Aave dựa vào hệ thống dự đoán giá trên chuỗi để đánh giá giá trị tài sản thế chấp, một khi giá trị của tài sản thế chấp giảm xuống dưới ngưỡng an toàn vay mượn, hệ thống sẽ tự động thực hiện thanh lý để bảo vệ vốn của người cho vay.
Vấn đề xuất phát từ cơ chế an toàn gọi là CAPO (Capped Asset Price Oracle) mà Aave sử dụng. Cơ chế này nhằm hạn chế sự tăng giá bất thường của tài sản, để ngăn chặn thao túng thị trường. Tuy nhiên, do hai tham số cấu hình quan trọng cập nhật không đồng bộ, hệ thống trong thời gian ngắn đã tính giá wstETH thấp hơn khoảng 2.85% so với giá trị thị trường thực tế.
Sự chênh lệch giá nhỏ này ảnh hưởng không lớn đến người dùng bình thường, nhưng đối với các tài khoản có tỷ lệ đòn bẩy cao, tỷ lệ thế chấp gần ngưỡng thanh lý, thì đủ để kích hoạt thanh lý tự động. Cuối cùng, hệ thống đã bán ra 10,938 wstETH để trả nợ, trong khi các vị thế này theo giá bình thường vẫn an toàn.
Cơ quan phân tích rủi ro Chaos Labs công bố báo cáo cho biết, trong quá trình thanh lý, các robot giám sát cơ hội thanh lý của bên thứ ba đã thu về khoảng 499 ETH lợi nhuận. Mặc dù một số vị thế của người dùng bị buộc phải đóng, nhưng chính giao thức Aave không gặp thiệt hại tài chính nào, tất cả các khoản vay đều đã được hoàn trả, và quỹ dự trữ của giao thức cũng chưa bị sử dụng.
Người sáng lập Aave, Stani Kulechov, cho biết, tính an toàn của giao thức không bị ảnh hưởng, nhưng người bị thanh lý đã chịu thiệt hại, do đó cộng đồng sẽ kích hoạt cơ chế bồi thường. Hiện tại, Aave đã thu hồi khoảng 141.5 ETH và 13 ETH phí giao dịch qua cơ chế hoàn tiền BuilderNet, số tiền này sẽ được trả trực tiếp cho các người dùng bị ảnh hưởng.
Về phần thiếu hụt vốn còn lại, Aave xác nhận tối đa 345 ETH sẽ do kho DAO đảm nhận. Kho này lấy nguồn từ thu nhập của giao thức để xử lý các rủi ro đột xuất và bảo vệ lợi ích người dùng.
Trong khi đó, thành viên cộng đồng Frida đã đặt câu hỏi trên diễn đàn, cho rằng Chaos Labs, đơn vị phụ trách quản lý rủi ro cấu hình dự đoán giá, có nên chịu trách nhiệm một phần hay không. Về vấn đề này, người sáng lập Chaos Labs, Omer Goldberg, cho biết tất cả người dùng bị ảnh hưởng sẽ được bồi thường đầy đủ, nhưng vụ việc này được xếp vào loại vấn đề cấu hình chứ không phải lỗi thiết kế hệ thống.
Sau khi báo cáo vụ việc được công bố, phản ứng của thị trường khá ổn định, giá AAVE tăng khoảng 1.53% lên 110.52 USD, cho thấy nhà đầu tư cho rằng vấn đề đã được kiểm soát hiệu quả.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Kẻ tấn công của Venus Protocol đã chuyển 2301 ETH, nạp vào Tornado Cash để rửa tiền
Theo phân tích on-chain của nhà phân tích Ai A姨 vào ngày 22 tháng 4, kẻ tấn công của Venus Protocol đã chuyển 2.301 ETH (khoảng 5,32 triệu USD) vào địa chỉ 0xa21…23A7f cách đây 11 giờ, sau đó chuyển tiền theo từng đợt vào bộ trộn tiền mã hóa Tornado Cash để làm sạch; tính đến thời điểm theo dõi, kẻ tấn công vẫn đang nắm giữ khoảng 17,45 triệu USD ETH trên chuỗi.
MarketWhisper1giờ trước
CometBFT lộ lỗ hổng zero-day, 8 tỷ USD các nút mạng Cosmos đối mặt rủi ro bị đóng băng vĩnh viễn
Nhà nghiên cứu an ninh Doyeon Park vào ngày 21 tháng 4 đã công bố một lỗ hổng zero-day mức độ nghiêm trọng cao cấp CVSS 7.1 tồn tại trong lớp đồng thuận của Cosmos, CometBFT, có thể khiến các nút bị tấn công bởi các đối tác độc hại trong giai đoạn đồng bộ khối (BlockSync) và rơi vào tình trạng bế tắc, ảnh hưởng đến mạng lưới bảo đảm hơn 8 tỷ đô la Mỹ tài sản.
MarketWhisper2giờ trước
Nhóm Lazarus của Triều Tiên phát hành phần mềm độc hại macOS Mach-O Man mới nhắm vào lĩnh vực crypto
Tóm tắt: Nhóm Lazarus đã phát hành một bộ công cụ phần mềm độc hại macOS gốc có tên Mach-O Man, nhắm tới các nền tảng crypto và các giám đốc điều hành có giá trị cao; SlowMist khuyến cáo người dùng thận trọng trước các cuộc tấn công.
Trừu tượng: Bài viết cho biết Nhóm Lazarus đã công bố Mach-O Man, một bộ công cụ phần mềm độc hại macOS gốc nhắm tới các nền tảng tiền mã hóa và các giám đốc điều hành có giá trị cao. SlowMist khuyến cáo người dùng hãy thận trọng để giảm thiểu các cuộc tấn công tiềm ẩn.
GateNews2giờ trước
Eo biển Hormuz xuất hiện lừa đảo phí thông hành Bitcoin, tàu đã thanh toán nhưng vẫn bị pháo kích
Theo CoinDesk đưa tin vào ngày 22 tháng 4, công ty dịch vụ rủi ro hàng hải của Hy Lạp Marisks đã phát cảnh báo rằng kẻ lừa đảo giả mạo các cơ quan của Iran để gửi tin nhắn đến nhiều công ty vận tải biển, nhằm yêu cầu Bitcoin hoặc USDT như một khoản “phí qua lại” để thông quan eo biển Hormuz. Marisks xác nhận các tin nhắn liên quan không đến từ các kênh chính thức của Iran và, theo Reuters, cho biết họ tin rằng ít nhất có một tàu đã bị lừa gạt, và vào cuối tuần khi cố gắng đi qua vẫn bị bắn phá.
MarketWhisper2giờ trước
Cập nhật sự cố an toàn của RHEA Finance: Còn khoảng 400.000 USD thiếu hụt, cam kết bồi hoàn toàn bộ
RHEA Finance 发布了针对 4 月 16 日安全事件的后续更新,确认在资产追回方面已取得实质进展;截至本次更新,预计仍存在约 40 万美元的资金缺口,主要源于借贷市场资金池中 NEAR、USDT 及 USDC 的组合。RHEA Finance 承诺全额弥补任何剩余缺口,确保所有受影响用户获得完整补偿。
MarketWhisper2giờ trước
Nhà nghiên cứu công bố lỗ hổng zero-day nghiêm trọng CVSS 7.1 trong lớp đồng thuận Cosmos CometBFT
Nhà nghiên cứu an ninh Doyeon Park đã công bố một lỗ hổng zero-day CVSS 7.1 trong CometBFT của Cosmos, có thể gây treo các nút trong quá trình đồng bộ; sự phản kháng từ phía nhà cung cấp, việc hạ mức và việc công bố đã dẫn tới tiết lộ vào ngày 21 tháng 4; các trình xác thực (validator) nên tránh khởi động lại trước khi có bản vá.
Tóm tắt: Nhà nghiên cứu an ninh Doyeon Park đã công bố một lỗ hổng zero-day nghiêm trọng CVSS 7.1 trong lớp đồng thuận CometBFT của Cosmos, có thể khiến các nút bị treo trong quá trình đồng bộ hóa khối, tiềm ẩn ảnh hưởng đến các mạng bảo vệ hơn $8 tỷ USD tài sản. Lỗ hổng này không thể trực tiếp đánh cắp tiền. Park đã theo đuổi việc công bố phối hợp bắt đầu từ ngày 22 tháng 2, nhưng gặp phải sự phản kháng của nhà cung cấp đối với việc công bố công khai và các vấn đề với HackerOne. Nhà cung cấp đã hạ mức một lỗ hổng liên quan (CVE-2025-24371) xuống mức chỉ mang tính thông tin vào ngày 6 tháng 3, khiến Park phát hành một bản chứng minh khái niệm ở cấp mạng trước khi công bố công khai vào ngày 21 tháng 4. Khuyến cáo cho biết các trình xác thực Cosmos nên tránh khởi động lại các nút cho đến khi các bản vá được phát hành; các nút đã ở trong chế độ đồng thuận có thể tiếp tục hoạt động nhưng việc khởi động lại và đồng bộ lại có thể khiến chúng bị tấn công bởi các đối tượng ngang hàng độc hại, gây rủi ro bế tắc.
GateNews2giờ trước
