Aave đang đề xuất một khung quản trị rủi ro nhằm điều phối các tài sản được niêm yết trên Aave V3, V4 và Aave Horizon, sau vụ khai thác KelpDAO hồi tháng Tư. Vụ khai thác cho phép kẻ tấn công đúc xấp xỉ 292 triệu USD giá trị rsETH không được đảm bảo thông qua cầu LayerZero của KelpDAO và dùng tài sản này làm tài sản thế chấp trên Aave. Khung này đưa ra các tiêu chuẩn chặt chẽ hơn cho việc đưa tài sản lên, cấu hình cầu, hệ thống giám sát và triển khai chuỗi, nhằm khắc phục các điểm yếu trong hạ tầng cầu và các hệ thống ngoài chuỗi có thể tạo rủi ro ở phạm vi toàn giao thức.
Khung rủi ro bốn lớp của Aave
Khung được thiết kế dựa trên bốn lớp: rủi ro tài sản, rủi ro kết nối chuỗi (bridging), giám sát và các hệ thống oracle rủi ro tự động, và rủi ro chuỗi. Ở lớp rủi ro tài sản, mọi tài sản được niêm yết sẽ phải đáp ứng các yêu cầu liên quan đến kiểm toán, phạm vi bug bounty, thanh khoản, timelock, thẩm quyền ký, công bố pháp lý, mức độ minh bạch về phần đảm bảo và hoạt động của tổ chức phát hành. Việc thiếu hoặc phạm vi bug bounty yếu đáng kể, các phát hiện kiểm toán chưa được xử lý, không có timelock cho các đường nâng cấp quan trọng, cấu trúc người ký không được công bố, hoặc cách sắp xếp đảm bảo thiếu minh bạch sẽ bị coi là điều kiện chặn cứng. Khung cũng chuyển việc rà soát tài sản thành một quy trình liên tục thay vì phê duyệt một lần, với mỗi tài sản phải được cập nhật thẩm định due diligence hằng quý. Các rà soát ngoài chu kỳ sẽ được kích hoạt bởi các thay đổi mang tính vật chất như triển khai chuỗi mới, nâng cấp hợp đồng, thay đổi tuyến cầu, cập nhật oracle hoặc sự thay đổi trong cấu trúc phần đảm bảo dự trữ.
Yêu cầu bảo mật cầu bao gồm bộ xác minh độc lập và giới hạn tốc độ
Lớp rủi ro cầu của Aave đưa ra các quy tắc cho tài sản xuyên chuỗi. Các tuyến cầu phải có sơ đồ topology được tài liệu hóa, tối thiểu ba bộ xác minh độc lập, thay đổi thẩm quyền có timelock, các đường tạm dừng riêng biệt, giới hạn tốc độ theo từng tuyến, hỗ trợ phản ứng sự cố 24/7 và các đội ngũ giám sát chuyên trách. Đề xuất cũng đưa ra các chuẩn mực mới về công bố thông tin đối với cầu, tính độc lập của bộ xác minh, giới hạn tốc độ, giám sát tự động và các cơ chế đóng băng phòng thủ. Các tuyến không đáp ứng yêu cầu bắt buộc của cầu có thể bị áp mức trần thấp hơn, tỷ lệ cho vay trên giá trị tài sản thế chấp (loan-to-value) thấp hơn hoặc hạn chế mở rộng xuyên chuỗi. Khung đồng thời đặt ra chuẩn mực cho các chuỗi nơi Aave triển khai, với các chuỗi có hạ tầng, thanh khoản, quản trị hoặc hỗ trợ giám sát yếu hơn sẽ phải chịu giới hạn chặt hơn cho mọi tài sản được niêm yết tại đó.
Giám sát tự động giúp đóng băng tài sản trước phản ứng của quản trị
Khung bổ sung các biện pháp phòng vệ cho những rủi ro có thể lan rộng trước khi quản trị kịp phản ứng. Aave có thể tự động đóng băng tài sản hoặc giảm mức độ phơi nhiễm khi xuất hiện dấu hiệu cảnh báo, trong khi mọi động thái khôi phục giới hạn vẫn cần được rà soát thủ công. Các Risk Stewards của Aave sẽ phụ trách việc khắc phục và thay đổi tham số sau một cảnh báo, còn Umbrella sẽ đóng vai trò là lớp an toàn cuối cùng nếu tổn thất vẫn tiến tới phạm vi toàn giao thức.
FAQ
Điều gì đã kích hoạt đề xuất của Aave về một khung quản trị rủi ro chặt chẽ hơn?
Aave đề xuất khung này sau vụ khai thác KelpDAO hồi tháng Tư, trong đó kẻ tấn công đã đúc xấp xỉ 292 triệu USD rsETH không được đảm bảo thông qua cầu LayerZero của KelpDAO và dùng tài sản này làm tài sản thế chấp trên Aave. Vụ khai thác đã phơi bày các điểm yếu trong cấu hình cầu và hạ tầng ngoài chuỗi.
Khung quản trị rủi ro bốn lớp mà Aave đề xuất là gì?
Khung được thiết kế dựa trên bốn lớp: rủi ro tài sản, rủi ro kết nối chuỗi (bridging), giám sát và các hệ thống oracle rủi ro tự động, và rủi ro chuỗi. Các lớp này xác định cách đánh giá tài sản trước khi niêm yết, cách chúng được rà soát sau khi đưa lên, và khi nào mức phơi nhiễm nên được giảm hoặc ngừng cung cấp.
