Aave và CoW Swap công bố báo cáo điều tra sau lệnh swap "mất trắng" 50 triệu USD

Aave và CoW Swap đã chính thức công bố báo cáo sau lệnh swap 50,4 triệu USD chỉ nhận 36.000 USD AAVE với nguyên nhân do thanh khoản thấp và lỗi hạ tầng DeFi.

Aave và CoW Swap công bố báo cáo điều tra sau lệnh swap “mất trắng” 50 triệu USD

Aave và CoW Swap vừa công bố hai báo cáo post-mortem riêng biệt về sự cố xảy ra ngày 12/03, khi một người dùng hoán đổi 50,4 triệu USD aEthUSDT nhưng chỉ nhận lại khoảng 36.000 USD aEthAAVE thông qua tính năng swap trên giao diện điện thoại Aave nhưng lại sử dụng hạ tầng của CoW Swap. Sự cố này hiện được xem là khoản chênh lệch giá do thực thi giao dịch lớn nhất từng ghi nhận trong lĩnh vực DeFi.

Dù cả hai bên thống nhất về các thông tin cơ bản của giao dịch, báo cáo của Aave và CoW Swap lại đưa ra cách giải thích khá khác nhau về nguyên nhân dẫn đến thiệt hại.

Aave cho rằng nguyên nhân chính là thị trường kém thanh khoản

– Trong báo cáo, giao thức lending hàng đầu thị trường, Aave nhấn mạnh rằng sự cố swap trị giá hơn 50 triệu USD không ảnh hưởng đến Aave Protocol, bởi giao dịch này thực tế diễn ra thông qua CoW Swap router được tích hợp trên giao diện aave.com, chứ không phải bên trong các smart contract cốt lõi của giao thức.

https://t.co/UmXulxU7NS

— Aave (@aave) March 14, 2026

– Giao thức cho rằng nguyên nhân không nằm ở slippage mà ở việc quy mô giao dịch quá lớn so với lượng thanh khoản sẵn có trên thị trường. Vì vậy, ngay từ giai đoạn báo giá ban đầu, hệ thống solver của CoW Swap đã đưa ra mức giá thấp hơn khoảng 99,9% so với giá trị thị trường kèm cảnh báo rõ ràng nhưng người dùng vẫn chủ động xác nhận giao dịch trên điện thoại và thực hiện giao dịch.

Aave và CoW Swap công bố báo cáo điều tra sau lệnh swap "mất trắng" 50 triệu USD插图1 Màn hình giao dịch của người dùng bị thiệt hại trước lệnh hoán đổi

– Lệnh swap 50,4 triệu USD aEthUSDT được thực hiện qua nhiều bước trung gian. Trước tiên, 50,4 triệu aEthUSDT được gửi vào hợp đồng GPv2Settlement của CoW Protocol, sau đó được burn trên Aave V3 để rút ra 50,4 triệu USDT.

– Số USDT này được swap sang 17,9 nghìn WETH trên Uniswap V3 (khoảng 37,3 triệu USD), rồi tiếp tục chuyển qua pool AAVE/WETH trên SushiSwap với thanh khoản rất thấp. Kết quả, giao dịch chỉ mua được khoảng 331 AAVE, trị giá chưa tới 37.000 USD. Sau khi gửi vào Aave V3 để mint aEthAAVE, người dùng cuối cùng nhận về 327,24 aEthAAVE, tương đương khoảng 36.425 USD, trong khi phần còn lại 4,064 aEthAAVE (~452 USD) được solver giữ lại dưới dạng surplus.

Aave và CoW Swap công bố báo cáo điều tra sau lệnh swap "mất trắng" 50 triệu USD插图2

– Giao dịch này tạo ra khoảng 110.368 USD phí swap (0,25%), được thu bởi giao diện aave.com. Aave cho biết con số này thấp hơn nhiều so với ước tính ban đầu là 600.000 USD và sẽ được giữ lại để hoàn trả cho người dùng nếu họ liên hệ và hoàn tất quy trình xác minh.

– Sau sự cố, Aave cho biết họ sẽ triển khai một tính năng mới mang tên Aave Shield nhằm tăng cường cơ chế bảo vệ người dùng khi thực hiện giao dịch swap. Theo thiết kế, hệ thống sẽ tự động chặn các giao dịch có mức price impact vượt quá 25%.

– Trong trường hợp người dùng vẫn muốn tiếp tục thực hiện các giao dịch có rủi ro cao, họ sẽ phải truy cập vào phần cài đặt và chủ động tắt tính năng Aave Shield trước khi tiến hành.

– Theo Aave, giải pháp này tạo thêm một lớp bảo vệ nhằm hạn chế các giao dịch nhầm lẫn, đồng thời vẫn duy trì triết lý permissionless finance, cho phép những người dùng có kinh nghiệm tiếp tục thực hiện các giao dịch phức tạp khi cần thiết.

CoW Swap nhận định lỗi hạ tầng khiến tình hình tồi tệ hơn

– Về phía CoW Swap, dự án cho rằng sự cố swap trị giá hơn 50 triệu USD không chỉ xuất phát từ thanh khoản thấp, mà còn là kết quả của một chuỗi các lỗi hạ tầng xảy ra liên tiếp trong quá trình báo giá và thực thi giao dịch.

https://t.co/1JJhoyi3Pd

— CoW DAO (@CoWSwap) March 14, 2026

– Theo CoW Protocol, giao dịch được thực hiện vào khoảng 18:21 UTC ngày 12/03/2026 thông qua giao diện Aave V3, nơi sử dụng CoW Swap làm bộ định tuyến. Người dùng đã thực hiện một lệnh fill-or-kill (lệnh giao dịch yêu cầu phải được thực hiện toàn bộ ngay lập tức hoặc bị hủy) với quy mô cực lớn trên một cặp tài sản có thanh khoản rất thấp, khiến giá bị tác động mạnh ngay từ đầu.

– Trong giai đoạn yêu cầu báo giá, ba solver đã phản hồi. Tuy nhiên, hệ thống xác thực quote của CoW sử dụng giới hạn gas 12 triệu đơn vị, một đoạn mã cũ không còn phù hợp với các route giao dịch phức tạp hiện nay. Do giới hạn này, một số route có giá tốt hơn đã không vượt qua bước xác thực, khiến hệ thống chỉ chấp nhận báo giá từ Solver A với mức khoảng 329,75 AAVE, thấp hơn 150–200 lần so với các lựa chọn chưa được xác thực.

– Ngay cả trong kịch bản tốt nhất, CoW Swap cho biết một lệnh fill-or-kill trị giá 50 triệu USD trên cặp thanh khoản thấp như vậy cũng rất khó thực hiện hiệu quả trong một giao dịch duy nhất. Các báo giá tốt nhất khi đó cũng chỉ tương đương 5–6 triệu USD giá trị AAVE, tức người dùng vẫn có thể chịu mức lỗ gần 90%.

– Tình hình trở nên nghiêm trọng hơn trong giai đoạn thực thi giao dịch. Cuối cùng, Solver B đã đưa giao dịch lên blockchain trong block 24643151, do Titan Builder xây dựng. Dù giao dịch được gửi thông qua private RPC, Etherscan lại hiển thị trạng thái “confirmed within 30 seconds”, cho thấy giao dịch có thể đã xuất hiện trong public mempool trước khi được đưa vào block,tạo cơ hội cho các bot MEV tham gia khai thác chênh lệch giá.

– Phân tích on-chain từ Arkham Intelligence cho thấy Titan Builder đã thu về khoảng 34 triệu USD ETH từ block chứa giao dịch, trong khi một bot MEV khác kiếm được khoảng 9,9 triệu USD thông qua sandwich attack. Dù CoW Swap thừa nhận có “hoạt động backrun đáng kể” trong block này, báo cáo của họ không đi sâu giải thích chi tiết cơ chế sandwich attack. Điều này càng đáng chú ý khi tích hợp giữa Aave và CoW Swap trước đây từng được quảng bá là có khả năng bảo vệ người dùng khỏi các cuộc tấn công MEV.

– Điều này đặc biệt đáng chú ý bởi tích hợp giữa Aave và CoW Swap trước đó từng được quảng bá là cung cấp cơ chế bảo vệ chống MEV.

– Theo CoW Swap, một số vấn đề kỹ thuật đã được khắc phục, bao gồm việc loại bỏ giới hạn gas 12 triệu đơn vị trong hệ thống xác thực quote. Tuy nhiên, các cuộc điều tra liên quan đến solver execution failure và mempool leak vẫn đang được tiếp tục.

Sự cố xảy ra trong bối cảnh Aave lục đục nội bộ

– Mức phí 0,25% từ giao dịch này cũng đang trở thành tâm điểm tranh cãi trong cộng đồng Aave DAO. Tranh luận bắt đầu từ tháng 12/2025, khi một delegate của Orbit đặt câu hỏi liệu phí swap từ tích hợp CoW Swap có thực sự được chuyển vào treasury của Aave DAO hay đang được gửi đến một địa chỉ do Aave Labs kiểm soát.

– Vấn đề này nhanh chóng leo thang thành một cuộc tranh luận governance lớn trong cộng đồng, dẫn tới hàng loạt đề xuất quản trị gây tranh cãi, bao gồm cả một đề xuất được gọi là “poison pill”, và cuối cùng khiến Aave Chan Initiative, một trong những nhà cung cấp dịch vụ quan trọng của DAO quyết định rời khỏi hệ sinh thái.

– Giao dịch swap 50 triệu USD này xảy ra chỉ hai ngày sau một sự cố khác liên quan đến Aave, khi ghi nhận khoảng 27 triệu USD vị thế vay bị thanh lý trong vòng 24 giờ với khoảng 34 tài khoản vay bị ảnh hưởng trong sự kiện này, chỉ bởi vì một cơ chế định giá tài sản thế chấp liên quan đến wstETH tạm thời phản ánh giá thấp hơn thị trường.

– Giá token AAVE trong 24 giờ qua đã ghi nhận mức tăng hơn 7% và hiện đang giao dịch quanh 118,9 USD trong bối cảnh giá Bitcoin phục hồi lên mức 74.000 USD.

Aave và CoW Swap công bố báo cáo điều tra sau lệnh swap "mất trắng" 50 triệu USD插图3 Biến động giá AAVE trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 11:55 AM ngày 16/03/2026