TechFlow đưa tin, ngày 21 tháng 4, nhà cung cấp dịch vụ quản lý rủi ro cho Aave – LlamaRisk – đã công bố báo cáo sự cố: vào ngày 18 tháng 4 năm 2026, tin tặc đã khai thác lỗ hổng trong tuyến đường rsETH từ Kelp trên LayerZero V2 Unichain tới Ethereum (do cấu hình sai lệch bộ xác thực dữ liệu “DVN” chỉ gồm một nút – 1-of-1), giả mạo gói dữ liệu đầu vào để giải phóng trái phép 116.500 token rsETH từ bộ điều hợp phía Ethereum, sau đó gửi 89.567 token rsETH làm tài sản thế chấp vào nhiều thị trường Aave V3 (bao gồm các chuỗi như Ethereum Core và Arbitrum), từ đó vay khoảng 82.650 WETH (tương đương khoảng 191 triệu USD) và 821 wstETH.
Hiện tại, bộ điều hợp chỉ còn lại 40.373 token rsETH, trong khi tổng lượng yêu cầu bồi thường rsETH trên chuỗi xa đạt 152.577 token, dẫn đến khoản thiếu hụt rất lớn. Tùy theo phương thức phân bổ tổn thất, Aave đối mặt với hai kịch bản nợ xấu: Kịch bản thứ nhất (phân bổ tổn thất toàn cục) dự kiến mức nợ xấu khoảng 123,7 triệu USD, trong đó Ethereum Core chịu áp lực nặng nề nhất; Kịch bản thứ hai (tổn thất giới hạn ở các chuỗi L2) dự kiến mức nợ xấu khoảng 230,1 triệu USD, với Mantle đối mặt khoản thiếu hụt dự trữ WETH lên tới 71,45% và Arbitrum là 26,67%.
Ngay sau sự việc, các Guardian và Quản trị viên rủi ro của giao thức Aave đã nhanh chóng đóng băng toàn bộ dự trữ rsETH/wrsETH trên cả 11 thị trường và thiết lập tỷ lệ LTV về 0, đồng thời giảm lãi suất WETH đa chuỗi và đình chỉ hoạt động cho vay WETH. Các hợp đồng thông minh của Aave không bị tấn công và logic vận hành của giao thức vẫn hoạt động bình thường. Hiện quỹ DAO của Aave nắm giữ khoảng 181 triệu USD tài sản, có khả năng chi trả một phần nợ xấu; các bên trong hệ sinh thái liên quan cũng đã cam kết hỗ trợ sơ bộ. Phương án xử lý tiếp theo sẽ được xác định dựa trên quyết định chính thức của Kelp về phân bổ tổn thất.
