Aave là một dự án cho vay trên nền tảng blockchain lớn thứ 3 tại thời điểm hiện tại. Hơn 1.5 tỷ USD bị khoá trong các hợp đồng của Aava. Tuy nhiên, bản thân nó vẫn còn tồn tại vô số các rủi ro tài chính. Bài viết này sẽ giúp bạn hình dung rõ hơn về rủi ro của Aave và cách để phòng tránh nó nhé.
Nội dung bài viết
Aave là gì?
Trước khi tìm hiểu về những rủi ro của Aave, chúng ta sẽ cùng nhau nhắc lại một chút về khái niệm giao thức Aave là gì nhé. Về cơ bản, đây là một giao thức cho vay phi tập trung trên nền tảng blockchain. Hiểu đơn giản thì Aave giống như một nền tảng trung gian kết nối giữa người cho vay và người vay. Và tài sản được sử dụng ở đây là các đồng tiền điện tử.
Mô hình hoạt động của Aave cũng không quá phức tạp. Aave sẽ có danh sách hỗ trợ các đồng tiền điện tử khác nhau phục vụ việc vay và cho vay. Nguyên lý chung là với mỗi một đồng tiền đó, họ sẽ tạo ra một cái kho (pool) chung. Những người cho vay sở hữu đồng tiền đó sẽ bỏ chung tiền của họ vào những cái pool tương ứng.
Phần lớn tài sản trong pool đó được đem ra để cho người khác vay. Một phần sẽ được giữ lại để đề phòng trường hợp rủi ro cũng như là việc dự trữ thanh khoản cho pool đó. Những người đi vay sẽ phải thế chấp tài sản và trả một mức phí nhất định. Người cho vay sẽ nhận được một phần phí dựa trên số lượng thanh khoản mà họ đóng góp. Tính đến thời điểm mình viết bài này, Aave là giải pháp cho vay lớn thứ 3 trên thế giới với tổng lượng tiền bị khoá trong giao thức này khoản 1.54 tỷ USD.
Tổng lượng tiền bị khoá trong giao thức Aave là 1.54 tỷ USD.
Một số rủi ro của Aave thường gặp
Bản thân Aave là một giải pháp trên nền tảng blockchain. Nó đưa mô hình cho vay truyền thống và loại bỏ đi thành phần trung gian là ngân hàng và các tổ chức tài chính. Để du trì được hoạt động cho vay đó, smart contract (hợp đồng thông minh) được xem như là xương sống của nền tảng. Do đó, trên thực tế thì chúng ta cũng có thể dễ dàng thấy được một số rủi ro của Aave thường gặp sau đây.
#1. Rủi ro về vấn đề an ninh smart contract
Như mình có nói ở trên, bản chất các hoạt động của Aave diễn ra thông qua smart contract. Đây là một dạng chương trình phần mềm, trong đó nó đại diện ghi lại các điều khoản thoả thuận giữa người cho vay và người vay. Nếu như họ thực hiện đúng theo những gì được ghi trong smart contract, giao dịch sẽ được tiến hành.
Tuy nhiên, không có gì đảm bảo là smart contract này an toàn tuyệt đối cả. Nó là chương trình phần mềm nên có thể bị tấn công bất cứ lúc nào thông qua các lỗ hổng tiềm ẩn trong quá trình lập trình. Một khi nó bị tấn công, nó có thể thay đổi các quy định bên trong smart contract đó như mức phí, Interest rate,…
#2. Rủi ro về thanh khoản của Aave
Như mình có mô tả ở trên, với mỗi một đồng tiền khác nhau đều có một pool riêng để trữ tiền phục vụ việc cho vay. Như vậy có nghĩa là pool này luôn luôn phải trữ một lượng tiền nhiều hơn với nhu cầu vay thực tế của người dùng.
Khi mà hai giá trị này tiệm cận gần đến nhau, vốn sẽ trở nên khan hiếm hơn bao giờ hết. Vì đây là một pool chung nên bất cứ lúc nào cũng có nguy cơ những người gửi tiền vào đó đột ngột rút tiền của họ ra. Nếu như pool không đủ thanh khoản thì sẽ không có tiền để trả lại cho người dùng. Để giải quyết vấn đề này thì giải pháp aToken được tạo ra. Tuy nhiên, bản thân chính aToken này cũng tồn tại vô số rủi ro.
aToken là một dạng phái sinh của các token cơ sở, nó tích luỹ lợi ích từ việc cho vay trên Aave. Chúng có thể đổi trả bất kỳ lúc nào theo tỷ lệ 1:1 trên giao thức miễn là nó có sẵn tính thanh khoản. Một công cụ bổ sung để giảm thiểu rủi ro thanh khoản của aToken là cung cấp các nguồn thanh khoản thay thế cho phép người dùng đổi aToken ngay cả khi giao thức không còn thanh khoản. Aave đã thiết lập các nhóm thanh khoản trên Uniswap và Balancer để thêm nguồn thanh khoản cho giải pháp này.
#3. Tấn công Flash loan
Flash loan là một tính năng ra mắt đầu tiên trên Aave. Tuy nhiên, trong thời gian gần đây rất nhiều dự án bị tấn công theo hình thức này. Đây là hình thức vay không cần tài sản thế chấp nhưng với điều kiện số tiền vay phải được trả lại cho nền tảng cho vay trong cùng một giao dịch. Nghĩ là bạn vay một khoản tiền bất kỳ, sau trả lại số tiền đã vay. Tất cả các hoạt động đó được diễn ra chỉ trong 1 giao dịch.
Mặc dù Flash Loans có những ứng dụng tốt nhưng trái ngược lại nó cũng không tránh khỏi các đợt tấn công mạng. Tính đến thời điểm hiện tại, hơn 100 triệu USD đã bị lấy đi thông qua hình thức tấn công này. Harvest Finance là dự án chịu thiệt hại nặng nề nhất khi số tiền lên đến hơn 33 triệu USD.
Những chiến lược giảm thiểu rủi ro của Aave
Bây giờ chúng ta đã hiểu rõ hơn về bản chất và rủi ro của Aave, phần này chúng ta hãy xem xét các công cụ khác nhau để quản lý và hạn chế những rủi ro này nhé.
Đối với rủi ro về thanh khoản của Aave: Mô hình lãi suất đi vay
Chiến lược lãi suất của Aave được hiệu chỉnh để quản lý rủi ro thanh khoản và tối ưu hóa việc sử dụng. Về cơ bản bạn có thể hiểu quy luật lãi suất của Aave như thế này để giảm thiểu rủi ro của Aave. Chúng ta có thể chia nó thành hai trường hợp như sau:
- Trường hợp 1, khi trong pool còn dư một lượng vốn dồi dào: Lúc này thanh khoản còn nhiều. Nó đồng nghĩa với việc có nhiều người gửi tiền nhưng lại không có ai vay cả. Do đó, để kích thích việc vay thì lãi suất sẽ hạ để những người cần vay sẽ dễ tiếp cận với lượng thanh khoản này hơn.
- Trường hợp 2, khi trong pool còn ít thanh khoản: Lúc này giải pháp đưa ra là nâng lãi suất cho vay lên để nhằm mục đích tăng thanh khoản. Việc nâng lãi suất này sẽ tác động đến hai đối tượng. Với những người cho vay, lãi suất cao hơn sẽ hấp dẫn họ hơn. Với những người cần vay, khi thấy lãi suất cao họ sẽ hạn chế nhu cầu lại. Tổng hoà của hai yếu tố này sẽ giúp duy trì tính thanh khoản cho pool đó.
Đối với rủi ro về vấn đề an ninh: Audit
Bản chất của việc smart contract bị tấn công là việc hacker phát hiện ra các lỗi trong quá trình lập trình của lập trình viên. Đó có thể là một đoạn code bị dưa thừa, hoặc một thư viện nào đó dùng xong mà không xoá đi,… Tất cả những thứ đó đều tiềm ẩn nguy cơ.
Giải pháp mà tất cả các giải pháp trong đó có Aave thường xuyên áp dụng đó là audit. Hiểu đơn giản ở thì audit ở đây là việc một tổ chức nào đó đứng ra kiểm tra và tìm kiếm các lỗ hổng trên smart contract đó. Nó giống như cách một hacker vẫn thường hay làm vậy. Tuy nhiên, thay vì hacker tấn công hệ thống thì đội ngũ audit sẽ báo cho bên phát triển giao thức để sửa và khắc phục các lỗi đó.
Tuy nhiên, giải pháp này có một nhược điểm đó là bản thân nó cũng không hoàn toàn tối ưu. Thứ nhất, bản thân chính giao thức, cho dù có thực hiện audit nhiều lần đi chăng nữa thì cũng vẫn có khả năng tồn tại các lỗ hổng mới mà có thể chính đơn vị audit cũng không biết. Thứ hai, việc dự án liên tục phát triển dẫn đến việc liên tục phát sinh ra lỗi. Nếu đúng quy trình, chỉ cần thay đổi một dòng code thôi là cả dự án đó phải audit lại hoàn toàn. Do đó, nó sẽ khá tốn kém và mất thời gian. Thông thường trung bình 3-6 tháng một dự án sẽ thực hiện audit lại một lần. Đương nhiên, trong quãng thời gian đó rủi ro luôn luôn tiềm ẩn.
Ngoài ra, có một cách nữa mà các dự án blockchain cũng thường xuyên áp dụng đó là treo thưởng trong chương trình bug bounty. Đây là một chương trình kêu gọi sự trợ giúp từ cộng đồng, hay nói đúng hơn là từ các hacker mũ trắng. Họ sẽ giúp kiểm tra phần mã nguồn và thông báo cho đội ngũ phát triển biết để sửa, bù lại họ nhận được một phần thưởng nhỏ (thường chính bằng đồng coin của dự án đó).
Kết luận
Như vậy trong bài viết này mình đã đề cập đến một số rủi ro của Aave mà chúng ta vẫn thường hay gặp. Lưu ý là không chỉ riêng Aava, rất nhiều các giao thức khác đều gặp các vấn đề tương tự như thế này.
Lượng tiền đổ vào DeFi đang ngày càng nhiều. Tuy nhiên, trước những rủi ro như thế này khiến các NĐT không khỏi yên tâm. Do đó, để bảo toàn vốn của riêng mình, các NĐT nên có những chiến lược giao dịch và quản lý phân bổ tài sản cho phù hợp.
Mua Aave, mua Bitcoin, mua Ethereum, mua ETH, mua USDT an toàn – dễ dàng – giá tốt với Fiahub
