Đội ngũ an ninh của Aave—giao thức DeFi lớn nhất—rời đi, ai sẽ gánh chịu “thiên nga đen” tiếp theo trong thị trường gấu?
Tuyển chọn TechFlowTuyển chọn TechFlow
Đội ngũ an ninh của Aave—giao thức DeFi lớn nhất—rời đi, ai sẽ gánh chịu “thiên nga đen” tiếp theo trong thị trường gấu?
Chỉ trong thị trường giảm giá, kiểm soát rủi ro mới thực sự cần thiết.
Chuyên sâu báo cáo Web3Tác giả: TechFlow
Giao thức cho vay lớn nhất trong lĩnh vực DeFi đang trải qua một đợt “rời đi thầm lặng” của đội ngũ an ninh.
Hôm qua, một công ty có tên Chaos Labs đã gửi một lá thư chia tay, thông báo chấm dứt hợp tác với Aave. Phần lớn người dùng có thể chưa từng nghe đến cái tên này, nhưng trong ba năm qua, tỷ lệ ký quỹ, mức thanh lý và các tham số rủi ro cho mọi giao dịch cho vay và vay trên Aave đều do công ty này thiết lập.
Họ cũng xây dựng một hệ thống tự động mang tên Risk Oracle, có khả năng điều chỉnh các tham số theo thời gian thực dựa trên biến động thị trường. Nhờ hệ thống này, Aave đã mở rộng từ vài chục thị trường lên hơn 250 thị trường trên 19 chuỗi khối. Trong ba năm quản lý hàng trăm tỷ đô la tài sản trong các pool, họ duy trì thành tích “zero nợ xấu”.
Nói một cách thẳng thắn, những hợp đồng thông minh chạy trên Aave thì đúng, nhưng những con số bên trong hợp đồng — đặt ở mức nào — lại luôn do Chaos Labs kiểm soát.
Thư chia tay của CEO Omer Goldberg được viết rất lịch sự, và bảng thành tích ông liệt kê cũng vô cùng chi tiết: TVL tăng từ 5,2 tỷ USD lên hơn 26 tỷ USD; tổng tiền gửi tích lũy vượt 2,5 nghìn tỷ USD; giá trị thanh lý vượt 2 tỷ USD...
Sau đó, ông tuyên bố: “Chúng tôi chủ động đề xuất chấm dứt hợp đồng.” Không ai sa thải họ, và hợp đồng cũng chưa hết hạn. Đồng thời, Stani Kulechov – nhà sáng lập Aave – phản hồi rất điềm tĩnh, khẳng định giao thức vẫn vận hành bình thường và một nhà cung cấp dịch vụ rủi ro khác là LlamaRisk sẽ đảm nhận vai trò này.
Nghe có vẻ như chẳng có chuyện gì xảy ra cả.
Tuy nhiên, việc một đội ngũ kiểm soát rủi ro đã làm việc liên tục ba năm mà chưa từng để xảy ra sai sót nào, lại chủ động rời khỏi giao thức cho vay lớn nhất trong toàn bộ hệ sinh thái DeFi — trong tài chính truyền thống, đây được gọi là “điềm bất tường”.
Thu nhập giảm, nhân sự cảm thấy bị tổn thương
Để giữ chân Chaos Labs, Aave Labs đã đề xuất tăng ngân sách hàng năm dành cho họ từ 3 triệu USD lên 5 triệu USD. Thế nhưng Chaos Labs vẫn quyết định rời đi.
Trong tuyên bố của mình, Goldberg nêu ra ba lý do bắt buộc phải rời đi — nhưng khi đọc kỹ, bạn sẽ nhận ra cả ba đều dẫn tới cùng một kết luận.
Lý do thứ nhất là tiền. Doanh thu toàn năm 2025 của Aave đạt 142 triệu USD, trong khi ngân sách dành riêng cho kiểm soát rủi ro chỉ là 3 triệu USD — chiếm vỏn vẹn 2%. Trong khi đó, các ngân hàng truyền thống thường chi từ 6% đến 10% doanh thu cho tuân thủ và kiểm soát rủi ro.
Goldberg cho biết trong ba năm qua, công ty ông liên tục hoạt động trong trạng thái lỗ đối với mảng này; thậm chí khi ngân sách tăng lên 5 triệu USD, kết quả vẫn là âm. Ông cho rằng mức tối thiểu hợp lý phải là 8 triệu USD. Trong khi đó, kho bạc của Aave đang nắm giữ 140 triệu USD, và mới đây Aave Labs vừa thông qua một đề xuất cấp vốn trị giá 50 triệu USD cho chính mình — nghĩa là rõ ràng giao thức không thiếu tiền, mà chỉ đơn giản là không muốn chi nhiều cho đội an ninh.
Lý do thứ hai là khối lượng công việc. Aave hiện đang nâng cấp từ phiên bản V3 lên V4, với kiến trúc nền tảng, hợp đồng thông minh và logic thanh lý đều được viết lại hoàn toàn. Goldberg nhấn mạnh: “Điểm chung duy nhất giữa V4 và V3 là cái tên.” Trong giai đoạn nâng cấp, cả hai hệ thống phải vận hành song song — và khối lượng công việc kiểm soát rủi ro không giảm một nửa, mà tăng gấp đôi.
Lý do thứ ba là trách nhiệm pháp lý. Hiện tại, trách nhiệm pháp lý của các chuyên gia kiểm soát rủi ro trong hệ sinh thái DeFi hoàn toàn chưa được xác định rõ: không có khuôn khổ pháp lý điều tiết, cũng không có điều khoản “an toàn pháp lý” (safe harbor). Khi mọi chuyện suôn sẻ, bạn là người vô hình; nhưng khi xảy ra sự cố, bạn sẽ là người đầu tiên bị truy cứu.
Nguyên văn lời Goldberg: “Nếu lợi ích tăng trưởng chỉ ở mức lãi mỏng, trong khi rủi ro giảm sâu thì không có đáy, thì việc tiếp tục đảm nhận vai trò này về bản chất đã là một quyết định kiểm soát rủi ro tồi tệ.”
Tác giả cho rằng lập luận này rất khó bác lại. Một giao thức có doanh thu hàng năm 142 triệu USD, lại chỉ chi 2% ngân sách để bảo vệ an toàn cho hàng trăm tỷ đô la tài sản — đồng thời yêu cầu đội ngũ này làm thêm gấp đôi khối lượng công việc, và khi xảy ra sự cố thì không có bất kỳ sự bảo vệ pháp lý nào dành cho họ.
Nếu đổi bạn vào vị trí ấy, bạn có chịu làm không?
Dĩ nhiên, phía bên kia lại có quan điểm khác. Nhà sáng lập Aave Labs – ông Kulechov – trong phản hồi đăng trên X (Twitter) ám chỉ rằng gần đây Chaos Labs vốn đã đang thu hẹp hoạt động tư vấn rủi ro, và bắt đầu cắt giảm hợp tác với các giao thức khác.
Ý tứ hàm ý là: những lý do nêu trong thư chia tay có vẻ như chỉ là một câu chuyện “diễn giải đẹp” nhằm che đậy việc rời đi.
Đâu là bất đồng về triết lý thực sự, đâu là “mượn cớ để rút lui”, người ngoài khó lòng phán đoán. Nhưng có một điều chắc chắn: Chaos Labs không phải đơn vị duy nhất rời đi.
Giữa mùa bear, lại gặp thêm giông bão
Aave vẫn mang tên Aave, nhưng đội ngũ đã xây dựng nên nó thì trong hai tháng qua đã lần lượt rời đi hết.
Tháng Hai năm nay, đội phát triển cốt lõi của Aave V3 – BGD Labs – tuyên bố không gia hạn hợp đồng. Công ty này do Ernesto Boado – cựu CTO của Aave – sáng lập, và gần như toàn bộ mã nguồn V3, hệ thống quản trị và triển khai đa chuỗi đều do họ thực hiện. Sau bốn năm làm việc, họ chọn không gia hạn khi hợp đồng hết hạn.
Lý do BGD nêu ra rất trực diện: Aave Labs đang tập trung quyền lực về tay mình — toàn bộ quá trình phát triển V4, tài sản thương hiệu và tài khoản mạng xã hội đều nằm dưới sự kiểm soát của Aave Labs. BGD cảm thấy mình không còn quyền tham gia thiết kế, nhưng lại phải chịu trách nhiệm về kết quả — trong doanh nghiệp truyền thống, đây gọi là “bị tước quyền”.
Một tháng sau, ACI – nhà cung cấp dịch vụ năng động nhất trong hệ thống quản trị Aave – cũng tuyên bố rời đi. Đội gồm tám người này trong ba năm qua đã thúc đẩy 61% các đề xuất quản trị trên Aave. Người sáng lập Marc Zeller trong thư chia tay nói rất thẳng: Aave Labs có thể sử dụng quyền biểu quyết của mình để thông qua ngân sách dành riêng cho chính mình, khiến vai trò của các nhà cung cấp dịch vụ độc lập trong hệ thống này trở nên vô nghĩa.
Hai tháng, hai lá thư chia tay: một bên nói “bị tước quyền”, một bên nói “luật chơi bất công”.
Sau đó, vào tháng Ba năm nay lại xảy ra thêm một sự việc khác.
Hệ thống kiểm soát rủi ro do Chaos Labs xây dựng đã mắc lỗi cấu hình, dẫn đến khoảng 27 triệu USD tài sản bị thanh lý sai, ảnh hưởng ít nhất 34 người dùng. Chaos Labs khẳng định không phát sinh nợ xấu, và tất cả người dùng bị ảnh hưởng sẽ được bồi thường.
Sự việc cuối cùng không ai phải chịu trách nhiệm pháp lý — bởi trong hệ sinh thái DeFi, chưa hề tồn tại quy định pháp lý nào xác định rõ “ai phải chịu trách nhiệm”.
Tuy nhiên, khi bạn đang quản lý hàng trăm tỷ đô la tài sản, chỉ cần một tham số điều chỉnh sai là có thể gây biến động hàng chục triệu đô la — trong khi sự bảo vệ pháp lý dành cho bạn lại bằng không. Đây chính là vấn đề mà đội kiểm soát rủi ro nhấn mạnh đi nhấn mạnh lại trong thư chia tay.
Tới thời điểm này, Aave trong kỷ nguyên V3 vận hành dựa trên bốn trụ cột: phát triển, quản trị, kiểm soát rủi ro và tăng trưởng tài chính. Giờ đây, ba trụ cột đầu tiên đã lần lượt rời đi.
Trong thư chia tay, đội kiểm soát rủi ro dùng một ẩn dụ nổi tiếng: “Con tàu của Theseus”. Nếu từng tấm ván trên một con tàu đều được thay thế, thì liệu đó vẫn là con tàu cũ hay không?
Cái tên Aave vẫn còn đó, các hợp đồng thông minh vẫn đang chạy, TVL vẫn đang tăng. Nhưng đội viết code đã rời đi, đội quản trị đã rời đi, đội kiểm soát rủi ro cũng đã rời đi. Người dùng vẫn gửi tiền, vay tiền như thường — có thể hoàn toàn không biết rằng toàn bộ “phần đáy” của con tàu đã được thay mới hoàn toàn.
Điều thực sự khiến người ta cảm thấy bất an không phải ở chỗ “ai đã rời đi”, mà ở chỗ “sau khi họ rời đi, chẳng có điều gì xảy ra cả”.
Người dùng mở ứng dụng, gửi tiền, vay tiền, lãi suất bình thường, thanh lý diễn ra bình thường — mọi thứ vẫn y nguyên. Nếu không ai chủ động đọc diễn đàn quản trị, phần lớn người dùng sẽ hoàn toàn không biết trong hai tháng qua đã xảy ra điều gì.
Nhìn ngắn hạn, có thể thực sự chẳng có gì nghiêm trọng. Các hợp đồng thông minh sẽ không ngừng hoạt động chỉ vì đội kiểm soát rủi ro nghỉ việc, và các tham số đã thiết lập cũng sẽ không tự thay đổi. Aave vẫn còn có nhà cung cấp rủi ro khác là LlamaRisk — nên không phải hoàn toàn “trần trụi”.
Nhưng kiểm soát rủi ro không phải là một dự án “làm một lần rồi xong”. Việc thiết lập tham số không có nghĩa là chúng sẽ phù hợp mãi mãi — thị trường thay đổi, tài sản thay đổi, và cả các phương thức tấn công trên blockchain cũng ngày càng tinh vi hơn. Lần tới nếu lại xảy ra sự cố tương tự, đội ngũ mới đảm nhận có thể phản ứng nhanh và hiệu quả như vậy hay không — không ai dám chắc.
Hơn nữa, hiện tại không phải là thời điểm “gió êm sóng lặng”.
Giá token AAVE đã giảm từ mức cao nhất 356 USD hồi tháng Tám năm ngoái xuống còn khoảng 96 USD hiện tại — giảm hơn 70%. Toàn bộ phân khúc cho vay DeFi đang co lại, mức độ hoạt động trên chuỗi đang giảm, và doanh thu của các giao thức đang chịu áp lực.
Trong mùa bull, kiểm soát rủi ro là yếu tố vô hình — chẳng ai vỗ tay vì “hôm nay không xảy ra sự cố”. Nhưng trong mùa bear, kiểm soát rủi ro mới thực sự trở nên thiết yếu: bởi giá tài sản biến động mạnh, mật độ thanh lý tăng cao, và xác suất xuất hiện “thiên nga đen” cũng tăng lên — đúng vào giai đoạn đòi hỏi cao nhất về kinh nghiệm và tốc độ phản ứng của đội kiểm soát rủi ro.
Thế nhưng, chính vào giai đoạn then chốt này, những người giàu kinh nghiệm nhất lại vừa rời đi.
Đội kiểm soát rủi ro viết trong thư chia tay một câu mà tác giả cho là cực kỳ chuẩn xác: “Aave chiến thắng những đối thủ cạnh tranh táo bạo hơn không phải nhờ tính năng phong phú, mà vì những đối thủ đó “nổ tung”, còn Aave thì không. Trong thị trường này, sống sót chính là sản phẩm.”
Vấn đề hiện nay là: những người đã giúp Aave “sống sót” — có lẽ giờ đây đã không còn ở đó nữa.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
