DeFi lịch sử đắt đỏ nhất với một lần xác nhận: 50 triệu đô la bốc hơi tức thì trên chuỗi

Tác giả: 137Labs

Vào ngày 12 tháng 3, một nhà đầu tư cá mập ẩn danh đã thực hiện một giao dịch trao đổi tài sản khổng lồ qua giao diện frontend của giao thức @aave: cố gắng dùng khoảng 50,43 triệu USD USDT để mua token quản trị AAVE. Tuy nhiên, do trượt giá cực đoan, chỉ nhận được khoảng 324–327 aEthAAVE trị giá khoảng 36.000 USD, mất gần 50 triệu USD trong tích tắc. Sự việc nhanh chóng lan truyền trên X và các phương tiện truyền thông chính thống, trở thành câu chuyện cảnh báo “hài hước đen tối” dành cho người dùng DeFi. Bài viết này qua từng lớp dữ liệu và chuỗi sự kiện sẽ giúp bạn hiểu rõ cái giá của một cú nhấn nút sai lệch.

Báo cáo sự kiện: Dòng thời gian và các chi tiết then chốt

Chúng tôi sẽ khách quan tái hiện toàn bộ quá trình xảy ra sự cố này. Sai sót này xảy ra trên mạng chính Ethereum của giao thức Aave V3, một trong những nền tảng vay mượn DeFi hàng đầu thế giới, với TVL (tổng giá trị bị khóa) vượt hàng trăm tỷ USD. Người dùng thực hiện giao dịch qua giao diện chính thức của #Aave, sử dụng CoW Protocol (một bộ định tuyến lệnh phi tập trung) để thực hiện trao đổi.

Dòng thời gian chính dựa trên dữ liệu trên chuỗi và các tuyên bố chính thức:

• Khoảng 12:45 UTC ngày 12 tháng 3: Người dùng bắt đầu giao dịch, nhập 50,43 triệu USD USDT (tương đương aEthUSDT).
• 12:47 UTC: Giao diện phát hiện quy mô lệnh vượt quá độ sâu của pool, xuất hiện nhiều cảnh báo, ghi chú “Giao dịch lớn bất thường”, “Rủi ro trượt giá cực đoan”, “Cần xác nhận thủ công”.
• 12:48 UTC: Người dùng xác nhận trên điện thoại, tiếp tục thực hiện. Giao dịch được đưa lên chuỗi, dữ liệu Etherscan cho thấy một phần thiệt hại bị MEV bot bắt giữ (lợi nhuận chênh lệch khoảng 9–10 triệu USD).
• Khoảng 13:30 UTC: Stani Kulechov đăng bài làm rõ, nhấn mạnh rằng giao thức và CoW routing hoạt động bình thường, người dùng đã chấp nhận rủi ro, đồng thời cho biết sẽ liên hệ với người dùng để hoàn trả 600.000 USD phí.
• Sáng ngày 13 tháng 3: Sự kiện lan rộng trên Crypto Twitter và các phương tiện chính thống, hàng trăm bài thảo luận, khối lượng giao dịch 24h của AAVE tăng 15%–20%.

Kết quả cuối cùng chỉ còn 327,2 AAVE (giá hiện khoảng 111 USD, trị giá khoảng 36.500 USD), tỷ lệ mất mát 99,93%. So với các vụ thanh lý 27 triệu USD của Mango Markets năm 2022 hoặc các lỗi oracle gần đây của Aave gây thanh lý 27 triệu USD, lần này hoàn toàn là do lỗi thực thi của người dùng, không có lỗ hổng trong giao thức.

Dòng thời gian này dựa trên dữ liệu trên chuỗi và các tuyên bố chính thức. Sau khi sự kiện bị phơi bày chưa đầy 24 giờ, giá token AAVE có chút dao động nhưng nhìn chung tăng hơn 6%, cho thấy thị trường vẫn giữ niềm tin vào giao thức này.

Sai sót thao tác của người dùng và trách nhiệm thuộc về ai?

Vấn đề tranh cãi chính xoay quanh việc ai chịu trách nhiệm. Nguyên tắc cốt lõi của DeFi là “Chìa khóa của bạn, ví của bạn, trách nhiệm của bạn” — người dùng hoàn toàn kiểm soát, nhưng cũng phải chịu mọi hậu quả. Nhà đầu tư cá mập này rõ ràng đã mắc lỗi sơ đẳng: bỏ qua cảnh báo rõ ràng về trượt giá, chọn thực hiện giao dịch lớn một lần trên các tài sản thanh khoản thấp.

Tuy nhiên, các nhà phê bình chỉ ra rằng, các giao thức và bộ tổng hợp như CoW không phải lúc nào cũng hoàn hảo trong thiết kế. Giao diện của Aave dù có cảnh báo, nhưng trải nghiệm trên di động có thể không trực quan; thuật toán định tuyến của CoW chưa thể tránh khỏi rủi ro của các pool cạn, dẫn đến bị “kẹp” trong các lệnh lớn.

Stani Kulechov phản hồi nhấn mạnh: “Người dùng đã xác nhận rủi ro thủ công, chúng tôi không phải là người giữ tay.”

Tuy nhiên, ý kiến cộng đồng còn chia rẽ: một số xem đó là lỗi hoàn toàn của người dùng, số khác kêu gọi giao thức cần tăng cường các cơ chế bảo vệ bắt buộc như giới hạn trượt giá tự động hoặc cảnh báo phân nhỏ các lệnh lớn.

So với các sự cố tương tự trong quá khứ (như thanh lý sai của Mango Markets năm 2022), thường bị quy trách nhiệm cho lỗi trong hợp đồng hoặc bug, thì vụ này có vẻ là “lỗi con người + giới hạn hệ thống” kết hợp.

Rủi ro thanh khoản và trượt giá trong DeFi, làm thế nào để phòng tránh?

Nói về trượt giá: là hiện tượng giá bị lệch do thực hiện lệnh lớn trong thanh khoản không đủ.

Trong DeFi, các pool thanh khoản (như Uniswap hoặc các pool vay của Aave) không có độ sâu vô hạn như sàn tập trung — đặc biệt là các tài sản phái sinh như aEthAAVE, pool có giới hạn. Một lệnh 50 triệu USD tương đương với một con cá mập va vào bãi cạn.

Nếu lệnh quá lớn, đủ để phá vỡ độ sâu của pool, giá sẽ giảm mạnh trong tích tắc. Các bot MEV còn có thể tận dụng để tăng lợi nhuận, bằng cách frontrunning (đặt trước) hoặc sandwich attack (kẹp giữa các lệnh).

Chúng ta nên làm gì để phòng tránh?

1. Giao dịch theo từng phần: chia nhỏ lệnh lớn thành nhiều phần nhỏ, tránh tác động đột ngột;

2. Dùng lệnh giới hạn (limit order): đặt mức giá tối thiểu chấp nhận;

3. Kiểm tra độ sâu thanh khoản: qua DefiLlama hoặc Dune Analytics;

4. Ưu tiên các tài sản có pool lớn hơn: như đổi trực tiếp ETH thay vì các dạng token đóng gói;

5. Chọn bộ tổng hợp (aggregator) phù hợp: như 1inch hoặc Paraswap, có thể cung cấp định tuyến tốt hơn.

MEV và lợi nhuận từ các hoạt động arbitrage trên chuỗi: vai trò “ma cà rồng” vô hình

Trong sự kiện này, không phải toàn bộ thiệt hại đều “bốc hơi” — khoảng 10 triệu USD bị MEV bot bắt giữ. MEV là “mặt tối” của hệ sinh thái Ethereum: các miner hoặc validator có thể sắp xếp lại thứ tự giao dịch để trục lợi. Trong vụ này, bot phát hiện lệnh lớn, mua trước aEthAAVE để đẩy giá lên, rồi bán ra sau để chốt lời.

Điều này phản ánh vấn đề công bằng trong DeFi: người dùng bình thường dễ bị các bot chuyên nghiệp “săn bắt”. Giải pháp gồm có Flashbots (hệ thống đấu giá MEV) hoặc MEV-Share (chia sẻ lợi nhuận), nhưng hiện vẫn còn hạn chế. Sau sự kiện, cộng đồng kêu gọi Aave tích hợp thêm các công cụ chống MEV để bảo vệ các giao dịch lớn.

Danh tiếng của giao thức Aave và chuỗi các sự kiện gần đây: cảnh báo “lỗi liên tiếp”

Đây không phải lần đầu Aave gặp sự cố. Chỉ vài ngày trước, lỗi cấu hình oracle của Aave V3 đối với wstETH đã gây thanh lý quá mức 27 triệu USD, khiến người dùng không hài lòng. Dù Aave đã nhanh chóng sửa lỗi và bồi thường, lần này lại tiếp tục thử thách uy tín của họ. TVL của Aave vẫn đứng đầu trong DeFi, nhưng các sự cố liên tiếp đã phơi bày các lỗ hổng tiềm năng trong cấu hình oracle, tham số thanh lý (CAPO) và thiết kế UI.

Điểm tích cực là phản ứng của Aave rất nhanh: minh bạch, công khai và có phần hoàn trả phí, giữ vững niềm tin cộng đồng. So với các đối thủ như Compound, điều này có thể giúp họ giữ vững thị phần, nhưng nếu các sự cố tương tự cứ lặp lại, các tổ chức như Anchorage Digital tích hợp các giải pháp bảo vệ sẽ chậm lại.

//////////////////

Chỉ một cú nhấn, mất 50 triệu USD, câu chuyện này cũng nhắc nhở chúng ta: thế giới tiền mã hóa như một sòng bạc, quy tắc rõ ràng nhưng khốc liệt. Lần tới, “xác nhận một lần nữa” có thể ngay trên màn hình của bạn. Hãy nhớ rằng — trước khi nhấn nút, hãy xem kỹ cảnh báo.