Aave và CoW Swap công bố báo cáo sau sự cố swap $50,4 triệu chỉ nhận $36.000 AAVE

Nguyên nhân chính theo báo cáo từ Aave và CoW Protocol

Giao dịch này không phải hack, không phải lỗi kỹ thuật của giao thức, mà là do slippage cực lớn + MEV sandwich attack trong điều kiện thanh khoản thấp. Cụ thể:

1 - Thanh khoản quá mỏng trên pool đích

Người dùng đã swap aEthUSDT (interest-bearing USDT trên Aave V3) sang AAVE. Lệnh này được định tuyến qua CoW Swap (sử dụng batch auction để bảo vệ khỏi MEV), nhưng cuối cùng rơi vào pool SushiSwap với độ sâu thanh khoản chỉ khoảng 73.000 USD (chỉ ~331 AAVE và ~17,65 WETH).
→ Swap 50,4 triệu USD vào pool nhỏ như vậy gây price impact gần 99,9% (giá AAVE bị đẩy lên cực cao trước khi giao dịch hoàn tất).

2 - MEV bot thực hiện sandwich attack

Một MEV bot phát hiện lệnh lớn trong mempool → thực hiện sandwich attack bằng flash-loan ~29 triệu USD ETH:

• Mua AAVE trước lệnh của nạn nhân → đẩy giá lên cao.

• Lệnh của nạn nhân khớp ở mức giá cực xấu.

• Bot bán AAVE ngay sau → thu lợi nhuận khoảng 9,9–10 triệu USD (phần lớn trả bribe cho block builder, khoảng 27,5 triệu USD giá trị giao dịch bị MEV lấy, trong đó bot giữ lợi nhuận ~10 triệu USD).

→ Tổng thiệt hại thực tế của người dùng ~49,96 triệu USD (chỉ nhận về 36.000 USD AAVE).

3 - Người dùng đã bỏ qua cảnh báo nhiều lần

Aave founder Stani Kulechov xác nhận:

• Giao diện Aave hiển thị nhiều cảnh báo slippage cực lớn (extraordinary slippage).

• Yêu cầu checkbox xác nhận (đặc biệt trên mobile).

• Người dùng vẫn nhấn confirm → lệnh được thực thi theo thiết kế của DeFi (on-chain, không thể đảo ngược sau khi ký).

Ngoài ra, các thuật toán của CoW Swap thường tối ưu hóa giao dịch thông qua solver network – các bot tìm route tốt nhất. Trong trường hợp này, hệ thống không tìm được đủ thanh khoản hợp lý trước khi lệnh được thực thi.

Không phải hack hay exploit

Cả hai dự án đều nhấn mạnh rằng sự kiện này không phải là một cuộc tấn công vào smart contract. Các yếu tố sau đã được xác nhận:

• Smart contract của Aave không bị khai thác

• CoW Swap không gặp lỗi bảo mật

• giao dịch được thực hiện đúng theo logic của hệ thống

Nói cách khác, blockchain và các giao thức đã hoạt động đúng như thiết kế, nhưng các tham số giao dịch sai đã dẫn đến kết quả cực kỳ bất lợi.

Các bài học đúc kết

lippage cực lớn trên pool thanh khoản thấp có thể xóa sạch gần như toàn bộ giá trị khi swap lượng lớn (đặc biệt trên mobile – dễ bỏ qua cảnh báo). MEV sandwich vẫn tồn tại ngay cả trên CoW Swap (mặc dù CoW giảm đáng kể rủi ro MEV so với swap thông thường). Không bao giờ bỏ qua cảnh báo slippage khi swap số lượng lớn – đặc biệt trên giao diện mobile.

Ngay cả những giao thức lớn như Aave, nếu giao dịch đi qua các pool thanh khoản nhỏ, thì một lệnh swap lớn có thể gây:

• price impact cực lớn

• mất giá trị giao dịch

• MEV bots khai thác cơ hội arbitrage

Đánh giá từ chúng tôi

Sự cố swap $50,4 triệu chỉ nhận $36.000 AAVE không phải là một vụ hack mà là hệ quả của slippage cực lớn và thanh khoản không đủ trong route giao dịch. Sự kiện này nhấn mạnh rằng trong DeFi, ngay cả khi smart contract hoạt động đúng, việc cấu hình lệnh giao dịch sai vẫn có thể gây ra tổn thất cực lớn. Đây là lỗi người dùng (bỏ qua cảnh báo + swap vào pool quá mỏng), kết hợp MEV bot tận dụng để lấy lợi nhuận, chứ không phải lỗi hệ thống Aave hay CoW Swap. Giao dịch đã được thực hiện đúng theo thiết kế on-chain, không thể hoàn lại phần chính (50 triệu USD), chỉ có thể hoàn phí (600K USD).

Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này là nhận định cá nhân của tác giả trong lĩnh vực tiền mã hóa. Đây hoàn toàn không phải là lời khuyên tài chính hay đầu tư. Mọi quyết định đầu tư đều nên dựa trên sự cân nhắc kỹ lưỡng danh mục cá nhân và mức độ chấp nhận rủi ro của bạn. Quan điểm trong bài viết không đại diện cho lập trường chính thức của nền tảng. Chúng tôi khuyến nghị người đọc tự nghiên cứu và tham khảo ý kiến chuyên gia trước khi đưa ra bất kỳ quyết định đầu tư nào.

Tổng hợp và phân tích bởi HCCVenture

Theo dõi tổ chức HCCVenture tại đây : https://link3.to/holdcoincventure