Một người dùng crypto vừa mất hàng triệu USD trong một giao dịch hoán đổi trên giao thức DeFi Aave, sau khi thực hiện một lệnh swap khổng lồ và bị bot MEV (Maximal Extractable Value) khai thác để thu về gần 10 triệu USD lợi nhuận.
Giao dịch 50 triệu USD nhưng chỉ nhận lại 36.000 USD
Theo dữ liệu on-chain, một ví vừa được nạp tiền từ Binance với 50,4 triệu USDt đã thực hiện swap thông qua aggregator CoW Protocol và sàn DEX SushiSwap. Mục tiêu của giao dịch là chuyển toàn bộ số stablecoin này sang token AAVE.
Tuy nhiên, kết quả gần như là một thảm họa tài chính. Ví này chỉ nhận được 327 AAVE, tương đương khoảng 36.000 USD theo dữ liệu từ Etherscan.
Điều đó đồng nghĩa người dùng đã trả tới 154.000 USD cho mỗi AAVE, trong khi giá thị trường của token chỉ khoảng 114 USD.
Bot MEV thực hiện “sandwich attack”
Thiệt hại càng lớn hơn khi giao dịch khổng lồ này trở thành mục tiêu của một bot MEV. Những bot này thường quét mempool để phát hiện các giao dịch lớn đang chờ xác nhận và tận dụng cơ hội kiếm lợi nhuận.
Trong trường hợp này, bot đã thực hiện một “sandwich attack” — chiến lược đặt lệnh trước và sau giao dịch của nạn nhân để thao túng giá.
Cụ thể, bot đã flash-borrow 29 triệu USD Wrapped Ether từ giao thức Morpho, sau đó mua AAVE trên Bancor nhằm đẩy giá token tăng mạnh trước khi giao dịch của nạn nhân được thực hiện.
Ngay sau khi lệnh swap lớn được khớp ở mức giá bị thổi phồng, bot lập tức bán lại AAVE trên SushiSwap, chốt khoảng 9,9 triệu USD lợi nhuận.
Người dùng đã bỏ qua cảnh báo slippage
Theo Stani Kulechov, nhà sáng lập Aave, giao diện của giao thức đã hiển thị cảnh báo rõ ràng về “slippage bất thường” do quy mô giao dịch quá lớn.
Ông cho biết người dùng đã xác nhận cảnh báo trên thiết bị di động và vẫn tiếp tục thực hiện giao dịch, đồng nghĩa với việc chấp nhận mức trượt giá cực cao.
Phía CoW DAO cũng cho biết hệ thống đã hiển thị cảnh báo rằng người dùng có thể mất gần như toàn bộ giá trị giao dịch, nhưng họ vẫn chọn tiếp tục.
Theo DAO này, không có DEX, aggregator hay pool thanh khoản nào có thể thực hiện giao dịch 50 triệu USD đó ở mức giá hợp lý trong điều kiện thị trường hiện tại.
Bài học về UX và bảo vệ người dùng trong DeFi
Vụ việc một lần nữa làm nổi bật những hạn chế của trải nghiệm người dùng trong DeFi. CoW DAO cho rằng các sự cố như vậy cho thấy UX của DeFi vẫn chưa đủ tốt để bảo vệ tất cả người dùng.
DAO này cho biết sẽ hoàn trả toàn bộ phí giao thức liên quan đến giao dịch.
Trong khi đó, Stani Kulechov cho biết đội ngũ Aave cũng đang tìm cách liên hệ với người dùng để hoàn lại khoảng 600.000 USD phí giao dịch mà giao thức đã thu.
Ông nhấn mạnh rằng DeFi cần giữ nguyên bản chất mở và không cần cấp phép, nhưng ngành công nghiệp vẫn có thể xây dựng thêm “các lớp bảo vệ” (guardrails) nhằm giảm thiểu rủi ro cho người dùng trước những giao dịch sai lầm có thể khiến họ mất hàng triệu USD chỉ trong vài phút. 🚨💰
