Lỗi Cấu hình Oracle của CAPO đã kích hoạt thanh lý $27 triệu trên Aave

Theo phân tích chi tiết từ Chaos Labs công bố ngày 11 tháng 3, một lỗi cấu hình kỹ thuật trong oracle rủi ro CAPO của Aave gần đây đã gây ra một vụ thanh lý lớn trị giá khoảng 27 triệu đô la. Sự cố này đã phơi bày một lỗ hổng nghiêm trọng trong cách đồng bộ các tham số cốt lõi của oracle, dẫn đến việc tính toán tỷ giá hối đoái lệch khỏi điều kiện thị trường thực tế.

Phân tích kỹ thuật: Đồng bộ tham số sai lệch

Cuộc khủng hoảng thanh lý bắt nguồn từ một giới hạn trên chuỗi ngăn cản hai tham số quan trọng của oracle cập nhật đồng bộ. Tham số snapshotRatio bị giới hạn tăng trưởng 3% mỗi 3 ngày—một cơ chế an toàn nhằm ngăn chặn thao túng. Khi hệ thống cố gắng cập nhật tỷ lệ này từ khoảng 1.1572 lên giá mục tiêu 1.2282, giới hạn đã hạn chế mức tăng chỉ còn 1.1919.

Đồng thời, tham số snapshotTimestamp đã cập nhật thành công, nhưng lấy dữ liệu từ 7 ngày trước—tạo ra sự lệch lạc nguy hiểm. Trong khi timestamp được làm mới, tỷ lệ không theo kịp. Sự không nhất quán về thời gian này khiến giới hạn tỷ giá hối đoái do CAPO tính toán chỉ còn khoảng 1.1939, thấp hơn khoảng 2.85% so với tỷ giá thị trường thực tế. Đối với một tài sản giống stablecoin, khoảng cách này đủ để kích hoạt chuỗi thanh lý.

Sự kiện thanh lý: 10,938 wstETH bị bán tháo

Sự không phù hợp về tham số trực tiếp khiến khoảng 10,938 wstETH gặp nguy cơ thanh lý. Giới hạn tỷ giá giả tạo đã làm các vị thế này trông có vẻ rủi ro theo tính toán của oracle, dù thực tế tài sản thế chấp vẫn giữ giá trị thị trường thực. May mắn thay, sự cố không gây ra rủi ro hệ thống—không có nợ xấu tích tụ trong giao thức, nghĩa là việc thanh lý không gây ra mất mát hay thiệt hại cho giao thức.

Phản ứng nhanh và phục hồi

Chaos Labs và BGD Labs đã ngay lập tức thực hiện các biện pháp khắc phục. Họ giảm giới hạn vay wstETH trên các phiên bản bị ảnh hưởng xuống còn 1, ngăn chặn việc vay mới và hạn chế sự lan rộng của chuỗi thanh lý. Sử dụng công cụ Risk Steward, các nhóm đã thủ công điều chỉnh lại các tham số của oracle để khôi phục tính chính xác trong tính toán tỷ giá hối đoái.

Quá trình phục hồi đã thu hồi được 141.5 ETH qua BuilderNet, sẽ được phân phối để bồi thường cho người dùng bị ảnh hưởng. Phần thiếu hụt còn lại sẽ do quỹ của Aave bù đắp. Nhiệm vụ bồi thường tạm thời của DAO dự kiến không vượt quá 345 ETH—một kết quả có thể kiểm soát được trong bối cảnh mức độ nghiêm trọng của sự cố.

Điều này tiết lộ gì về quản lý rủi ro trong DeFi

Sự cố này nhấn mạnh rằng độ chính xác trong thiết kế oracle có thể quyết định thành bại của sự ổn định giao thức. Các giới hạn tham số của oracle CAPO, vốn nhằm mục đích bảo vệ, vô tình đã tạo điều kiện cho thanh lý xảy ra. Trong khi phản ứng nhanh của Chaos Labs và BGD Labs đã ngăn chặn sự lây lan rộng hơn, sự kiện này nhắc nhở rằng ngay cả hệ thống quản lý rủi ro tinh vi cũng cần liên tục giám sát và có các phương án can thiệp nhanh chóng.