Cùng ngày, số phận khác biệt: Aave ôm lấy rsETH thiệt hại gần 200 triệu, Spark rút lui không hề hấn gì

Ngày 18 tháng 4, cầu nối chuỗi chéo của Kelp DAO bị tấn công, kẻ tấn công đã đúc 116,5 nghìn rsETH không có tài sản thực tế đảm bảo, sau đó gửi vào Aave và vay WETH. Aave Guardian đã kích hoạt đóng băng khẩn cấp trong vòng vài giờ. Theo ước tính trên chuỗi của Lookonchain, khoản nợ xấu tiềm ẩn mà Aave V3 và V4 phải đối mặt là khoảng 195 triệu USD.

Ngược lại, giao thức cho vay SparkLend trong hệ sinh thái MakerDAO (Sky) không bị tổn thất.

Điều này không phải vì đội ngũ Spark thông minh hơn Aave, cũng không phải vì họ phát hiện ra lỗ hổng của cầu nối này trước. Lý do Spark rút khỏi rsETH được viết trong bài đăng diễn đàn quản trị 3 tháng trước, và không liên quan gì đến tính bảo mật của hợp đồng cầu.

Ngày 29 tháng 1 năm 2026 là ngày trọng tâm của bài viết này. Vào ngày này, Spark đã thực hiện một thao tác quản trị có tên là Spell, ngừng tiếp nhận nguồn cung rsETH mới. Cùng ngày, chế độ E-Mode rsETH của Aave chính thức ra mắt, cho phép người dùng sử dụng rsETH làm tài sản thế chấp để vay WETH, với tỷ lệ thế chấp tối đa (LTV) đạt 93%.

Một bên rút lui, một bên mở rộng, đều trong cùng một ngày.

Quyết định rút lui của Spark, bắt đầu từ một bài đăng quản trị do PhoenixLabs (cơ quan thực thi hệ sinh thái của Spark) gửi vào ngày 16 tháng 1 năm 2026. Lý do rút lui rất rõ ràng: tỷ lệ sử dụng rsETH thấp, hầu như tất cả lượng sử dụng đến từ cùng một ví (địa chỉ chuỗi 0xb99a), và chủ sở hữu ví này đã bày tỏ sẵn sàng sử dụng các tài sản thế chấp thay thế như wstETH hoặc weETH. Bài đăng quản trị nguyên văn viết: "Việc rút khỏi rsETH có thể cải thiện biên an toàn của SparkLend, nâng cao lợi nhuận sau khi điều chỉnh rủi ro." Đây là một đợt dọn dẹp tài sản định kỳ, cùng lúc rút khỏi tBTC, ezETH và toàn bộ thị trường Gnosis Chain, lý do thống nhất là "tỷ lệ sử dụng thấp".

Quyết định mở rộng của Aave bắt đầu sớm hơn, từ đề xuất do ACI (Aave Chan Initiative, tổ chức đề xuất quản trị do Marc Zeller lãnh đạo) khởi xướng vào ngày 17 tháng 11 năm 2025. Động cơ đề xuất rõ ràng: "Khôi phục tỷ lệ sử dụng WETH, dự kiến thu hút 1 tỷ USD rsETH chảy vào." Chaos Labs đã hoàn tất xác nhận tham số rủi ro vào tháng 1, xác định E-Mode LTV 93%, ngưỡng thanh lý 95%. Các chủ thể tham gia quyết định bao gồm ACI, Chaos Labs, LlamaRisk và các bên bỏ phiếu cộng đồng Aave. Đây là quyết định mở rộng được thúc đẩy bởi nhiều bên, không phải là sai sót của một tổ chức duy nhất.

Ba tháng sau, thị trường đưa ra kết quả.

Trong cơ chế bảo hiểm Umbrella hiện tại của Aave, số tiền khả dụng khoảng 50 triệu USD, chỉ đủ để chi trả khoảng 25% khoản nợ xấu tiềm ẩn 195 triệu USD này. Thứ tự hấp thụ tổn thất là: người stake aWETH chịu trước, sau đó đến người gửi WETH chia sẻ theo tỷ lệ, tiếp theo là stkAAVE và kho bạc DAO. TVL của Aave giảm từ 26,4 tỷ USD xuống 19,8 tỷ USD, bao gồm cả việc rút tiền hoảng loạn. Tỷ lệ sử dụng thị trường USDT đạt 100% trong vài giờ, quy mô cho vay mới tăng khoảng 300 triệu USD.

Thị trường rsETH của Spark trong SparkLend, giá trị còn lại đóng băng hiện tại là 37,3 nghìn USD, tức 15,32 rsETH. Ví 0xb99a này, sau khi bị cấm cung cấp mới vào ngày 29 tháng 1, hầu như đã di chuyển hoàn toàn sang wstETH và weETH, hoàn toàn trùng khớp với dự đoán trong bài đăng quản trị.

Đồng sáng lập Spark, Sam MacPherson (@hexonaut), đã nhắc nhở một điểm vào ngày 19 tháng 4: Các giao thức tuyên bố không có rủi ro tiếp xúc với rsETH, không có nghĩa là thực sự không có rủi ro tiếp xúc, nếu người dùng có tài sản thế chấp trong thị trường cho vay bị ảnh hưởng, rủi ro tiếp xúc gián tiếp vẫn tồn tại. Spark không có tổn thất trực tiếp, nhưng rủi ro gián tiếp vẫn đang được đánh giá.

Hai giao thức đưa ra quyết định trái ngược nhau trong cùng một ngày, không có nghĩa là Spark hay Aave đã đưa ra quyết định đúng đắn, điểm xuất phát vấn đề của hai hệ thống hoàn toàn khác nhau.

Logic quản lý rủi ro của Spark, trình kích hoạt là "chi phí biên có vượt quá lợi ích biên hay không", tỷ lệ sử dụng dưới ngưỡng, mức độ tập trung người dùng đơn lẻ vượt quá tiêu chuẩn, lợi nhuận sau điều chỉnh rủi ro không đạt, bất kỳ mục nào đạt, tài sản đó sẽ vào danh sách ứng viên rút lui. Đây là một cơ chế thắt chặt chủ động, định hướng hiệu quả, không liên quan đến việc bản thân tài sản đó có rủi ro bảo mật hay không.

Trình kích hoạt logic của Aave là "cơ hội tăng trưởng thị trường". Tỷ lệ sử dụng WETH tương đối thấp, quy mô thị trường rsETH đủ lớn, E-Mode có thể thu hút vốn tăng thêm. Từ điểm vào này, hướng của tham số là mở rộng, LTV 93%, giới hạn cung cấp lỏng lẻo, nhiều chủ thể quản trị cùng thúc đẩy.

Hai giao thức này đang trả lời những câu hỏi hoàn toàn khác nhau, "tài sản này có đáng để tiếp tục nắm giữ không" hay "tài sản này có thể mang lại bao nhiêu tăng trưởng". Hai cách hỏi này, trước khi sự kiện rủi ro kích hoạt, đều là logic kinh doanh hợp lý, sau khi kích hoạt, trọng tài mới xuất hiện.

Kết quả an toàn của Spark còn có một lớp hỗ trợ khác.

Sam MacPherson đã đề cập trong bài đăng X ngày 19 tháng 4 thông báo "rút khỏi rsETH": "SparkLend được thiết lập giới hạn gửi và vay với tốc độ giới hạn. Cơ chế oracle của nó cũng sử dụng giá trị trung vị từ ba nguồn." Câu này chỉ ra hai tuyến phòng thủ khác trong hệ thống quản lý rủi ro của Spark.

Một là ràng buộc vật lý trong quá trình vận hành. Giới hạn cung cấp có tốc độ giới hạn (Rate-Limited Supply Cap) hạn chế lượng cung tối đa trong một đơn vị thời gian, Giới hạn vay (Borrow Cap) hạn chế quy mô vay tối đa. Ý nghĩa của hai thiết kế này là, ngay cả khi Spark không rút khỏi rsETH lúc đó, kẻ tấn công cũng không thể gửi 292 triệu USD rsETH một lần như trên Aave, quy mô tổn thất sẽ bị nén lại bởi giới hạn cứng.

Một tuyến phòng thủ khác ở lớp thông tin giá, oracle giá trị trung vị 3 nguồn, lấy giá trị trung vị từ ba nguồn giá độc lập là Chronicle, Chainlink, RedStone, trong trường hợp cực đoan sẽ chuyển sang Uniswap TWAP làm biện pháp dự phòng. Một nguồn giá đơn lẻ bị thao túng không ảnh hưởng đến việc kích hoạt thanh lý. Ngược lại, Aave trong sự kiện này đã phải đối mặt với cửa sổ rủi ro do giá oracle chậm trễ, đây là sự khác biệt ở cấp độ thiết kế, không phải sai sót ở cấp độ thực thi.

Logic thiết kế của ba tuyến phòng thủ là nhất quán: không phụ thuộc vào việc nhận diện rủi ro cụ thể trước, mà là hạn chế quy mô rủi ro tiếp xúc tối đa của bất kỳ sự kiện rủi ro đơn lẻ nào ở cấp độ hệ thống.

Tổn thất cuối cùng phụ thuộc vào phương án phân bổ tổn thất của Kelp DAO. Hiện có ba lựa chọn song song: xã hội hóa tổn thất cho tất cả người nắm giữ rsETH trên toàn chuỗi (quy mô nợ xấu thu nhỏ), người nắm giữ rsETH trên L2 tự gánh chịu (nợ xấu Aave trên mainnet không đổi), khôi phục snapshot (độ khó thao tác cực cao). Con số này sẽ có câu trả lời trong vài tuần tới.

Nhưng kết quả của hai triết lý quyết định đã có thể định lượng được, chênh lệch khoảng 195 triệu USD, ngày kích hoạt giống nhau, được viết trong thao tác quản trị cùng ngày.