Chuyện gì xảy ra tháng 4: KelpDAO, Aave và sự sụt giảm TVL 12 tỷ USD
Ngày 18/4/2026, kẻ tấn công đúc 116.500 rsETH không có tài sản đảm bảo qua LayerZero bridge cấu hình sai trên hệ thống cross-chain của KelpDAO. Kẻ tấn công gửi rsETH giả làm tài sản thế chấp trên Aave V3 và V4, vay khoảng 236 triệu USD WETH. Trong vài giờ, Aave đóng băng mọi thị trường rsETH và thúc giục nhà cung cấp WETH rút thanh khoản.
TVL của Aave rơi từ 48,5 tỷ USD xuống 30,7 tỷ USD trong một ngày khi người gửi tiền vội rút vốn. Token AAVE giảm 18%. Nợ xấu, khoảng 196 triệu USD theo hầu hết ước tính, nằm trên bảng cân đối của Aave trong khi quản trị tranh luận liệu mô-đun an toàn Umbrella có đủ dự trữ để bù đắp hay không.
Ngược lại, Morpho báo cáo rủi ro khoảng 1 triệu USD trên hai thị trường cho vay cô lập. Các Morpho vault khác hoàn toàn không bị ảnh hưởng. Kiến trúc thị trường cô lập, nơi mỗi vault do curator quản lý phân bổ vào các cặp tài sản thế chấp/khoản vay cụ thể với thông số rủi ro độc lập, đã ngăn nợ xấu KelpDAO lan rộng qua nền tảng.
Từ 18/4 đến 1/5, TVL Morpho trên Ethereum mainnet tăng từ khoảng 4,2 tỷ USD lên hơn 5,8 tỷ USD, khi người phân bổ tổ chức và kho bạc DeFi luân chuyển vốn khỏi mô hình cho vay pool chung sang cấu trúc cô lập do curator quản lý.
Đây là xác nhận cấu trúc mà mô hình curator cần. Đó cũng là lý do lợi suất stablecoin trên Morpho vault hiện là điểm chuẩn có điều chỉnh rủi ro cho người phân bổ DeFi tổ chức năm 2026.
Mô hình Curator: tại sao tổ chức tin tưởng Veda, Gauntlet và Steakhouse
Curator Morpho vault không phải quản lý quỹ. Curator không giữ tài sản đã gửi. Curator không thể chuyển vốn sang giao thức chưa được phê duyệt, vì smart contract của vault từ chối giao dịch ngoài whitelist.
Điều curator làm: chọn thị trường cho vay cô lập nào mà vault phân bổ vốn vào, thiết lập giới hạn cung và tỷ lệ loan-to-value cho mỗi thị trường, giám sát chất lượng tài sản thế chấp và tái cân bằng phân bổ theo điều kiện rủi ro thay đổi.
Khi curator đề xuất thêm thị trường mới hoặc tăng giới hạn cung, vault áp dụng timelock. Trong cửa sổ đó, bất kỳ người gửi tiền nào cũng có thể rút. Địa chỉ guardian (thường do quản trị Morpho hoặc ủy ban rủi ro bên thứ ba kiểm soát) có thể phủ quyết thay đổi. Các hợp đồng không thể thay đổi. Vai trò curator là lựa chọn và giám sát thông số, không phải thực thi.
Ba curator lớn nhất trên Morpho tháng 5/2026 là Gauntlet, Steakhouse Financial và RE7 Labs. Cộng lại, ba công ty này quản lý khoảng 3,2 tỷ USD trong 5,8 tỷ USD TVL của Morpho.
Gauntlet vận hành USDC vault lớn nhất trên Morpho, với khoảng 1,4 tỷ USD tiền gửi. Mô hình Gauntlet bảo thủ: phân bổ vào thị trường cho vay được hỗ trợ bởi wstETH, WBTC và tài sản thế chấp Tier 1 khác, áp dụng giới hạn loan-to-value nghiêm ngặt (thường 70-80% cho liquid staking token, 75-85% cho WBTC), và tái cân bằng hàng ngày dựa trên dữ liệu sử dụng on-chain. Vault nhắm mục tiêu APY 4-6% cho người gửi USDC, từ nhu cầu vay tự nhiên.
Steakhouse Financial quản lý khoảng 900 triệu USD trên nhiều Morpho vault, bao gồm USDC vault gốc Base nhắm mục tiêu APY 5-7%. Lợi thế của Steakhouse là báo cáo tổ chức: bảng điều khiển hiệu suất hàng tuần, kiểm toán rủi ro hàng quý và tích hợp trực tiếp với sàn tập trung (sản phẩm DeFi Earn của Kraken định tuyến tiền gửi vào Morpho vault curator Steakhouse). Công ty là chuyên gia quản lý rủi ro DeFi được công nhận với lịch sử curator vault bảo thủ.
RE7 Labs vận hành chiến lược vault tích cực hơn, nhắm mục tiêu APY 7-9% bằng cách phân bổ vào loại tài sản thế chấp mới hơn (bao gồm tài sản thế giới thực được token hóa và phái sinh ETH restaked). Vault RE7 có khoảng 800 triệu USD TVL, nhưng lợi suất cao hơn đi kèm rủi ro đuôi: rủi ro với loại tài sản thế chấp chưa được thử nghiệm qua chu kỳ thị trường đầy đủ.
Đối với tổ chức ưu tiên bảo toàn vốn, Gauntlet và Steakhouse là lựa chọn mặc định. Đối với kho bạc sẵn sàng chấp nhận rủi ro gia tăng cho 200-300 điểm cơ bản lợi suất bổ sung, RE7 là lựa chọn tăng trưởng.
Cách thị trường cô lập ngăn lây lan (và tại sao mô hình Aave thất bại)
Aave và Compound dùng pool thanh khoản chung. Khi bạn gửi USDC vào Aave, vốn của bạn nằm trong một pool duy nhất cùng với mọi người gửi USDC khác. Người vay đặt tài sản thế chấp (ETH, wstETH, WBTC, v.v.) và rút từ pool chung. Nếu một người vay vỡ nợ và giá trị tài sản thế chấp giảm xuống dưới số tiền vay, nợ xấu được xã hội hóa trên tất cả người gửi trong pool đó.
Đây là lý do sự cố KelpDAO ảnh hưởng nặng nề đến Aave. Kẻ tấn công dùng rsETH giả làm tài sản thế chấp để vay WETH từ pool WETH chung của Aave. Khi Aave đóng băng thị trường rsETH, tỷ lệ sử dụng tăng vọt lên 100%, và nhiều người gửi không thể rút. Việc đóng băng là biện pháp bảo vệ, nhưng cũng có nghĩa vốn tạm thời bị khóa.
Kiến trúc của Morpho khác. Mỗi thị trường cho vay trên Morpho Blue được cô lập. Thị trường USDC/wstETH (nơi người cho vay USDC cung cấp vốn cho người vay đặt wstETH làm tài sản thế chấp) hoàn toàn tách biệt với thị trường USDC/WBTC. Nợ xấu ở một thị trường không lan sang thị trường khác.
Khi rsETH của KelpDAO được dùng làm tài sản thế chấp trong thị trường Morpho, rủi ro bị giới hạn ở hai vault cụ thể đã phân bổ vào thị trường rsETH/USDC hoặc rsETH/USDT. Tổng thiệt hại khoảng 1 triệu USD. Mọi Morpho vault khác, bao gồm Gauntlet USDC vault 1,4 tỷ USD, có rủi ro bằng không, vì curator của họ không đưa rsETH vào whitelist tài sản thế chấp được phê duyệt.
Đây không chỉ là lợi thế kỹ thuật. Đó là lợi thế quản trị. Trên Aave, thêm loại tài sản thế chấp mới yêu cầu bỏ phiếu quản trị áp dụng trên toàn bộ giao thức. Nếu quản trị Aave phê duyệt rsETH làm tài sản thế chấp, mọi người gửi tiền đều có rủi ro rsETH, dù họ có thích hay không.
Trên Morpho, mỗi curator quyết định độc lập tài sản thế chấp nào vault của họ chấp nhận. Gauntlet có thể từ chối rsETH trong khi RE7 chấp nhận. Người gửi tự chọn hồ sơ rủi ro họ muốn bằng cách chọn curator nào để phân bổ.
Sau mùa exploit tháng 4, mô hình này chứng minh ưu thế cấu trúc. TVL Aave giảm 12 tỷ USD. TVL Morpho tăng 1,6 tỷ USD.
Lợi suất USDC Vault hiện tại: So sánh Gauntlet, Steakhouse và RE7
Tính đến 29/5/2026, ba Morpho USDC vault lớn nhất cung cấp lợi suất có điều chỉnh rủi ro sau:
Gauntlet USDC Vault (Morpho Ethereum Mainnet)
- TVL: ~1,4 tỷ USD
- APY hiện tại: 4,8%
- Phối hợp tài sản thế chấp: 68% wstETH, 22% WBTC, 10% rETH
- Giới hạn loan-to-value: 75% wstETH, 80% WBTC, 70% rETH
- Gửi tối thiểu: 0,01 USDC (không giới hạn)
- Phí curator: 10% lợi suất
- APY ròng sau phí: 4,3%
Steakhouse Financial USDC Vault (Morpho Base)
- TVL: ~620 triệu USD
- APY hiện tại: 5,6%
- Phối hợp tài sản thế chấp: 55% cbETH, 30% token LP USDC/wstETH, 15% WBTC
- Giới hạn loan-to-value: 78% cbETH, 70% token LP, 80% WBTC
- Gửi tối thiểu: 0,01 USDC
- Phí curator: 12% lợi suất
- APY ròng sau phí: 4,9%
RE7 Labs USDC Vault (Morpho Ethereum Mainnet)
- TVL: ~800 triệu USD
- APY hiện tại: 8,2%
- Phối hợp tài sản thế chấp: 40% wstETH, 25% Treasuries token hóa (OUSG, USTB), 20% phái sinh ETH restaked (không phải rsETH), 15% WBTC
- Giới hạn loan-to-value: 75% wstETH, 65% Treasuries token hóa, 60% phái sinh restaking, 80% WBTC
- Gửi tối thiểu: 1.000 USDC (giới hạn mềm qua UI)
- Phí curator: 15% lợi suất
- APY ròng sau phí: 7,0%
Chênh lệch lợi suất có thực. APY ròng 7,0% của RE7 cao hơn 270 điểm cơ bản so với 4,3% của Gauntlet. Khoản phí bù đắp đó dành cho rủi ro với tài sản thế giới thực được token hóa và phái sinh restaking, loại tài sản thế chấp có lịch sử ngắn hơn và hạ tầng thanh lý ít được thử nghiệm hơn.
Để tham khảo, lợi suất stablecoin bền vững từ nhu cầu vay DeFi tự nhiên thường dao động từ 4-8% APY năm 2026. Lợi nhuận trên 8% thường liên quan đến khuyến khích nền tảng, trợ cấp token hoặc đòn bẩy, tất cả đều thêm rủi ro đuôi.
Gauntlet và Steakhouse nhắm mục tiêu dải 4-6%. RE7 mở rộng vào dải 7-9% bằng cách chấp nhận loại tài sản thế chấp mới hơn. Cả hai cách tiếp cận đều hợp lý. Lợi nhuận có điều chỉnh rủi ro phụ thuộc vào cơ sở vốn và thời gian của bạn.
Để so sánh song song tất cả chiến lược stablecoin yield chính năm 2026, bao gồm Aave, Sky và sản phẩm lãi suất cố định Pendle, xem RWTS Stablecoin Yield Hub.
Ý nghĩa của mùa Exploit tháng 5 đối với an toàn DeFi Vault
Từ 15/5 đến 19/5/2026, ba giao thức DeFi, THORChain, Verus Bridge và Echo Protocol, bị khai thác tổng cộng 98 triệu USD. Đó là khối lượng khai thác một tuần cao nhất trong năm, vượt tổng thiệt hại hàng tháng từ Q1/2026 cộng lại.
Cơ chế qua cả ba cuộc tấn công tương tự: một admin key bị xâm phạm cho phép đúc không giới hạn hoặc rút trái phép. Các giao thức mà Kraken hiện định tuyến bitcoin khách hàng vào cho sản phẩm BTC yield mới, Aave, Morpho và Tydro, không miễn nhiễm với khủng hoảng bảo mật năm nay, mặc dù thiết kế cô lập của Morpho giới hạn rủi ro.
Bài học cấu trúc: vault curator với quản lý rủi ro độc lập vượt trội hơn pool cho vay nguyên khối. Morpho hấp thụ luân chuyển Aave mà không bị bank run vì thị trường cô lập ngăn lây lan. Mô hình thanh khoản chung của Aave có nghĩa một quyết định tài sản thế chấp tồi (phê duyệt rsETH với LTV cao) lan rộng qua toàn bộ nền tảng.
Đối với tổ chức phân bổ vốn năm 2026, mô hình curator hiện là đường cơ sở. Cho vay pool chung (Aave, Compound) vẫn thống trị theo tổng TVL, nhưng vector tăng trưởng là cô lập curator (Morpho, Kamino trên Solana).
Cục Dự trữ Liên bang giữ lãi suất ở 3,5-3,75% tại cuộc họp ngày 29/4/2026, với Chủ tịch Jerome Powell báo hiệu không khẩn cấp cắt giảm dù lạm phát PCE cao ở 2,8%. Bối cảnh vĩ mô đó giữ lợi suất stablecoin DeFi hấp dẫn cấu trúc so với tiền tương đương, ngay cả sau khi tính rủi ro smart contract.
Đối với RWTS Methodology về cách chúng tôi chấm điểm giao thức cho vay DeFi và vault curator, xem framework Trust Score. Đối với chiến lược lợi suất cụ thể theo tài sản trên USDC, USDT và DAI, xem các trang tài sản tương ứng.
DeFi vault là hạ tầng, không phải đầu cơ. Mô hình curator chứng minh khả năng chịu đựng trong tháng 4/2026. Lợi suất bền vững vì nhu cầu có thật: người vay đặt wstETH, WBTC và Treasuries token hóa làm tài sản thế chấp để truy cập đòn bẩy hoặc vốn lưu động.
Morpho không phải trò chơi duy nhất, nhưng đó là kiến trúc vượt qua stress test. Trust Score phản ánh điều đó.
