Cùng ngày Aave ra mắt rsETH, tại sao Spark lại chọn rút lui?

Vào ngày 18 tháng 4, cầu nối chuỗi chéo của Kelp DAO bị tấn công, kẻ tấn công đã đúc 116.500 rsETH không có tài sản thực tế đảm bảo, sau đó gửi vào Aave và vay WETH. Aave Guardian đã kích hoạt đóng băng khẩn cấp trong vòng vài giờ. Theo ước tính trên chuỗi của Lookonchain, khoản nợ xấu tiềm ẩn mà Aave V3 và V4 phải đối mặt là khoảng 195 triệu USD.

Ngược lại, giao thức cho vay SparkLend trong hệ sinh thái MakerDAO (Sky) không có tổn thất.

Điều này không phải vì đội ngũ Spark thông minh hơn Aave, cũng không phải vì họ nhìn ra lỗ hổng của cầu nối này trước. Lý do Spark rút lui khỏi rsETH được viết trong bài đăng diễn đàn quản trị từ 3 tháng trước, và không liên quan gì đến bảo mật hợp đồng cầu nối.

Ngày 29 tháng 1 năm 2026 là ngày trọng tâm của bài viết này. Vào ngày này, Spark đã thực hiện một thao tác quản trị có tên Spell, ngừng tiếp nhận nguồn cung rsETH mới. Cùng ngày, chế độ E-Mode cho rsETH của Aave chính thức ra mắt, cho phép người dùng sử dụng rsETH làm tài sản thế chấp để vay WETH, với tỷ lệ thế chấp tối đa (LTV) lên đến 93%.

Một bên rút lui, một bên mở rộng, cùng trong một ngày.

Quyết định rút lui của Spark, bắt đầu từ một bài đăng quản trị do PhoenixLabs (tổ chức thực thi hệ sinh thái Spark) gửi vào ngày 16 tháng 1 năm 2026. Lý do rút lui thẳng thắn: tỷ lệ sử dụng rsETH thấp, gần như tất cả lượng sử dụng đến từ cùng một ví (địa chỉ trên chuỗi 0xb99a), và chủ sở hữu ví này đã bày tỏ sẵn sàng sử dụng các tài sản thế chấp thay thế như wstETH hoặc weETH. Bài đăng quản trị nguyên văn viết: "Việc loại bỏ rsETH có thể cải thiện biên an ninh của SparkLend, nâng cao lợi nhuận sau khi điều chỉnh rủi ro." Đây là một đợt dọn dẹp tài sản định kỳ, cùng bị loại bỏ còn có tBTC, ezETH và toàn bộ thị trường Gnosis Chain, lý do thống nhất là "tỷ lệ sử dụng thấp".

Quyết định mở rộng của Aave, bắt đầu sớm hơn, từ đề xuất do ACI (Aave Chan Initiative, tổ chức đề xuất quản trị do Marc Zeller lãnh đạo) khởi xướng vào ngày 17 tháng 11 năm 2025. Động cơ đề xuất rõ ràng: "Khôi phục tỷ lệ sử dụng WETH, dự kiến thu hút 1 tỷ USD rsETH chảy vào." Chaos Labs đã hoàn tất xác nhận thông số rủi ro vào tháng 1, xác định E-Mode LTV 93%, ngưỡng thanh lý 95%. Các chủ thể tham gia ra quyết định bao gồm ACI, Chaos Labs, LlamaRisk và các bên bỏ phiếu cộng đồng Aave. Đây là quyết định mở rộng được thúc đẩy bởi nhiều bên, không phải là sơ suất của một tổ chức duy nhất.

Ba tháng sau, thị trường đã cho kết quả.

Trong cơ chế bảo hiểm Umbrella hiện tại của Aave, số tiền khả dụng là khoảng 50 triệu USD, chỉ bao phủ được 25% khoản nợ xấu tiềm ẩn khoảng 195 triệu USD này. Thứ tự hấp thụ tổn thất là: những người đặt cọc aWETH chịu trước, sau đó đến người gửi WETH chia sẻ theo tỷ lệ, tiếp theo là stkAAVE và kho bạc DAO. TVL của Aave giảm từ 26,4 tỷ USD xuống 19,8 tỷ USD, bao gồm cả việc rút tiền hoảng loạn. Tỷ lệ sử dụng thị trường USDT đạt 100% trong vòng vài giờ, quy mô cho vay mới tăng thêm khoảng 300 triệu USD.

Thị trường rsETH của Spark trong SparkLend, giá trị còn lại đã đóng băng hiện tại là 37.300 USD, tức 15,32 rsETH. Ví 0xb99a này, sau khi bị cấm cung ứng mới vào ngày 29 tháng 1, gần như đã di chuyển hoàn toàn sang wstETH và weETH, hoàn toàn trùng khớp với dự đoán trong bài đăng quản trị.

Đồng sáng lập Spark, Sam MacPherson (@hexonaut), đã nhắc nhở một điểm vào ngày 19 tháng 4: Một giao thức tuyên bố không có rủi ro tiếp xúc với rsETH, không có nghĩa là thực sự không có rủi ro tiếp xúc. Nếu người dùng có tài sản thế chấp trong các thị trường cho vay bị ảnh hưởng, sự tiếp xúc gián tiếp vẫn tồn tại. Spark không có tổn thất trực tiếp, nhưng rủi ro gián tiếp vẫn đang được đánh giá.

Hai giao thức đã đưa ra quyết định trái ngược nhau trong cùng một ngày, không phải để nói Spark và Aave bên nào đã đưa ra quyết định đúng đắn, mà vấn điểm xuất phát của hai hệ thống hoàn toàn khác nhau.

Logic quản lý rủi ro của Spark, trình kích hoạt là "liệu chi phí biên có vượt quá lợi ích biên hay không" - tỷ lệ sử dụng dưới ngưỡng, mức độ tập trung người dùng đơn lẻ vượt quá tiêu chuẩn, lợi nhuận sau điều chỉnh rủi ro không đạt, bất kỳ mục nào đạt ngưỡng, tài sản đó sẽ vào danh sách ứng cử viên bị loại bỏ. Đây là một cơ chế thắt chặt chủ động, định hướng hiệu quả, không liên quan đến việc bản thân tài sản đó có rủi ro an ninh hay không.

Trình kích hoạt logic của Aave là "cơ hội tăng trưởng thị trường". Tỷ lệ sử dụng WETH tương đối thấp, quy mô thị trường rsETH đủ lớn, E-Mode có thể thu hút thêm vốn. Xuất phát từ lối vào này, thông số hướng đến mở rộng: LTV 93%, hạn mức cung ứng linh hoạt, nhiều chủ thể quản trị cùng thúc đẩy.

Hai giao thức này đang trả lời những câu hỏi hoàn toàn khác nhau: "Tài sản này có đáng tiếp tục nắm giữ không" so với "Tài sản này có thể mang lại bao nhiêu lượng tăng". Hai cách hỏi này, trước khi sự kiện rủi ro kích hoạt, đều là logic kinh doanh hợp lý, và sau khi kích hoạt, trọng tài mới xuất hiện.

Kết quả an ninh của Spark, còn có một lớp hỗ trợ khác.

Sam MacPherson trong bài đăng X ngày 19 tháng 4 thông báo "rút lui khỏi rsETH" có đề cập: "SparkLend có thiết lập giới hạn trên về gửi vào và vay ra bị giới hạn tốc độ. Cơ chế oracle của nó cũng sử dụng trung vị từ ba nguồn." Câu này hướng đến hai tuyến phòng thủ khác trong hệ thống quản lý rủi ro của Spark.

Một là ràng buộc vật lý trong quá trình vận hành. Rate-Limited Supply Cap (Giới hạn nguồn cung có giới hạn tốc độ) giới hạn lượng cung tối đa trong một đơn vị thời gian, Borrow Cap (Giới hạn vay) giới hạn quy mô vay tối đa. Ý nghĩa của hai thiết kế này là, ngay cả khi Spark lúc đó không rút lui khỏi rsETH, kẻ tấn công cũng không thể gửi 292 triệu USD rsETH một lần như trên Aave, quy mô tổn thất sẽ bị nén lại bởi giới hạn cứng.

Một tuyến phòng thủ khác nằm ở lớp thông tin giá, oracle trung vị 3 bên, lấy trung vị từ ba nguồn giá độc lập là Chronicle, Chainlink, RedStone, trong trường hợp cực đoan thì chuyển xuống dùng Uniswap TWAP làm biện pháp dự phòng. Một nguồn giá đơn lẻ bị thao túng không ảnh hưởng đến kích hoạt thanh lý. Ngược lại, Aave trong sự kiện này đã phải đối mặt với cửa sổ tiếp xúc do giá oracle chậm trễ, đây là sự khác biệt ở cấp độ thiết kế, không phải là sơ suất ở cấp độ thực thi.

Logic thiết kế của ba tuyến phòng thủ là nhất quán: không phụ thuộc vào việc nhận diện trước rủi ro cụ thể, mà là giới hạn quy mô tiếp xúc tối đa của bất kỳ sự kiện rủi ro đơn lẻ nào ở cấp độ hệ thống.

Con số tổn thất cuối cùng phụ thuộc vào phương án phân bổ tổn thất của Kelp DAO. Hiện có ba lựa chọn song song: xã hội hóa tổn thất cho người nắm giữ rsETH toàn chuỗi (quy mô nợ xấu thu nhỏ), người nắm giữ rsETH trên L2 tự gánh chịu (nợ xấu mainnet của Aave không đổi), khôi phục snapshot (khó khăn vận hành cực cao). Con số này, sẽ có câu trả lời trong vài tuần tới.

Nhưng kết quả của hai triết lý quyết định, đã có thể định lượng được, chênh lệch khoảng 195 triệu USD, ngày kích hoạt giống nhau, được viết trong thao tác quản trị cùng một ngày.