热门搜索:和平精英 原神 街篮2 

您的位置:首页 > > 教程攻略 > web3.0 >2 亿坏账、83 亿资金出逃:Aave 正经历最严重危机

2 亿坏账、83 亿资金出逃:Aave 正经历最严重危机

来源:互联网 更新时间:2026-07-01 17:28

4月19日,一场异常铸造悄然发生在Kelp DAO的rsETH跨链适配器中——攻击者通过桥接漏洞凭空生成了11.65万枚rsETH,价值约2.937亿美元,占该代币总流通量的18%。随后不到90分钟,这批凭空铸造的代币被精准注入了Aa ve V3与V4市场。

这并非一次针对Aa ve的直接攻击——但它确实造成了Aa ve历史上最大规模的间接损失,约2亿美元。攻击者压根没去碰Aa ve的核心合约,而是借用了DeFi协议之间的可组合性,把Kelp DAO的漏洞当作跳板,在Aa ve系统内借出了真实的ETH资产。留下的,是一摊子价值归零的“空气抵押品”。

币价大跌与鲸鱼撤资

黑客攻击事件之后,Aa ve平台数据显示,USDT借款APY一度暴涨至14.99%,存款APY暴涨至13.39%。

据Bitget行情显示,Aa ve从当日114美元一路下跌至最低99美元,4月20日,Aa ve下探至约93美元。多个鲸鱼甚至割肉卖出Aa ve。

名为「ThisWillMakeYouLoveAgain」的巨鲸以1171个ETH(价值273万美元)的价格出售29400枚Aa ve,亏损超过600万美元

。该巨鲸最初花费1103万美元买入Aa ve,目前仍持有14993枚Aa ve,价值139万美元。

鲸鱼的出逃动作也引发TVL暴跌。4月19日下午3时许,从Aa ve撤离的资金量已有66亿美元,其中一半(33亿美元)是稳定币。

2 亿坏账、83 亿资金出逃:Aa ve 正经历最严重危机

Lookonchain监测显示,Abraxas Capital提款3.92亿美元,MEXC提款4.31亿美元;巨鲸0x7CD0(可能与Nonco有关联)提款4.057亿美元。

4月20日,据DefiLlama最新数据显示,Aa ve的TVL从263亿美元骤降至180亿美元,两日蒸发83亿美元,跌幅超31%

2 亿坏账、83 亿资金出逃:Aa ve 正经历最严重危机

好在Aa ve团队的响应还算迅速。他们不仅冻结了以太坊主网的rsETH存借功能,还同步切断了Arbitrum、Optimism等二层网络上的相关市场,并将rsETH的Loan-to-Value紧急调至0——从技术上彻底堵死了新增借款路径。

目前,Aa ve官方更新动态表示,以太坊主网上的rsETH得到充分支持。

出于谨慎起见,rsETH在Aa ve V3和V4上仍保持冻结状态,且对该事件的敞口被限制

。WETH储备在受影响的市场(包括以太坊、Arbitrum、Base、Mantle和Linea)上也保持冻结。

2 亿坏账、83 亿资金出逃:Aa ve 正经历最严重危机

Aa ve创始人Stani在次日的社区AMA中试图稳定军心。他明确表示Aa ve核心合约未被攻破,此次事件属于“上游污染”而非协议漏洞,

并透露协议的财政储备和月均约1200万美元的收入流足以覆盖潜在损失,短期内不会启动安全模块slash或代币增发方案。

但社区对“储备金覆盖”的具体细节仍存疑虑——如果最终需要动用安全模块中质押的Aa ve代币来填补坏账缺口,本质上是将Kelp DAO的漏洞成本转嫁给了Aa ve最忠实的质押者。

DeFiLlama创始人0xngmi针对Aa ve坏账事件发表评论称,这次黑客从KelpDAO盗走了大约2.16亿美元的rsETH,KelpDAO没钱全额赔付时,所以损失必然会传导到Aa ve。

如果KelpDAO选择“社会化分摊”(让所有rsETH持有者统一打8折),Aa ve上那些高杠杆循环借贷的仓位会直接爆仓,产生约2.16亿美元坏账。Aa ve的安全模块(Umbrella)能兜5500万,财库再掏8500万,还剩7600万的窟窿——要么借钱,要么卖币填。

0xngmi表示,如果KelpDAO选择“牺牲L2用户”,让L2上的rsETH归零来保主网,Aa ve在L2上有3.59亿美元的rsETH存款,一旦作废就是3.41亿坏账,Umbrella一分不赔,全得Aa ve财库扛,可能只能救部分链,让Arbitrum、Mantle、Base这些大市场自生自灭。

所以无论KelpDAO怎么选,Aa ve都逃不掉买单的命运——区别只是买单金额是7600万还是3.41亿,以及是全员出血还是牺牲特定链的用户。

此外,“快照回滚把钱还给持有者”方案虽然理论上最精准,但操作极其复杂,几乎不太现实。

可组合性的代价:Aa ve V4需要补上的课

更深层的冲击在于信任机制。最讽刺的一点恰恰在这里:Aa ve的智能合约经过六年形式化验证,拥有超过800条安全规则,在这次事件中确实未被攻破——但协议安全再强,也扛不住上游供应链的“污染”。这种“依赖传染风险”,正在成为DeFi 2.0时代最棘手的安全挑战。与2022年的跨链桥漏洞或2023年的预言机操纵不同,此次攻击展示了一种更为隐蔽的风险传导路径:攻击者无需直面Aa ve坚固的安全防线,只需通过标准化抵押品的“污染”,就能间接抽取顶级协议的流动性。

从这次事件中可以清晰看到Aa ve在风险架构上的几个明显缺口。

抵押品准入的源头验证缺失。当前Aa ve对LST类资产的评估主要依赖智能合约审计报告与市值门槛,缺乏对铸造合约实时状态的链上监控。rsETH被攻击时,Aa ve的预言机仍在正常报价,因为二级市场交易并未暂停,但底层质押品实际上已经不存在了。

部分再质押代币的风险定价过于粗放。rsETH的二级市场流动性深度远不及stETH,却享受着相同的高杠杆倍数,流动性越差的资产反而在危机中造成了越大的破坏。

跨协议风险监测的滞后性。

Aa ve的“风险管理员”机制主要监控本协议内的健康因子,对上游铸造合约的异常缺乏实时感知能力,那二十多分钟的风险窗口期,本质上是因为Aa ve无法“看见”Kelp DAO合约内部发生的事情。

这些缺口也为即将推出的Aa ve V4提供了现实的改进方向。最迫切的是建立抵押品源头验证机制,要求rsETH等跨链资产提供实时的底层质押品默克尔树证明,让预言机不仅验证价格,更验证“资产真实性”,一旦底层储备与流通量出现偏差,自动触发借款能力冻结。

其次是与Kelp DAO、Lido、Rocket Pool等上游协议建立风险信号联盟,通过去中心化消息层实现跨协议熔断,当上游出现异常铸造时,Aa ve能在分钟甚至秒级内自动降低相关资产的LTV,而不是被动等待25分钟后人工干预。

这次事件还提出了一个更尖锐的问题:当DeFi协议成为乐高积木式的堆叠结构,谁来为“组合风险”买单?Aa ve用户在这次事件中并没有做错任何事,他们按照规则存入资产、提供流动性,却因为Kelp DAO的桥接漏洞而面临协议层面的损失。如果最终由Aa ve安全模块的质押者承担损失,本质上是把上游协议的风险转嫁给了Aa ve社区成员。

Curve创始人Michael Egorov发文表示:“本次事件正是当前普遍采用的‘非隔离借贷’模式所带来的风险。该模式具备良好的扩展性,但风险更高,因此风险管理至关重要。Aa ve v4的 中心—辐射模型,或许是迈向半隔离、更安全方向的一步。”

2 亿坏账、83 亿资金出逃:Aa ve 正经历最严重危机

加密账户为benmo.eth则评论称,KelpDAO的rsETH被盗事件影响深远,Aa ve的安全“金身”被打破,统一型借贷市场的风险正重新进入巨鲸审视范围。

Aa ve V4与模块化借贷或将成为未来趋势,相关转型进程可能加速。DeFi将停止扩展路线,转向更保守的安全模式,同时还需进一步应对Anthropic Mythos等AI驱动安全威胁。

OneKey创始人Yishi则直言,“本次事件AA VE协议本身无设计缺陷,根源是底层资产太烂,L2也是伪叙事,实质上并没有解决资产质量问题,只是放大了流动性幻觉。”

2 亿坏账、83 亿资金出逃:Aa ve 正经历最严重危机

仅在今年4月初,Drift被盗超2亿美元。时隔不到1个月,KelpDAO的2.9亿美元漏洞,最终演变成Aa ve的流动性危机与整个DeFi行业的信任考验。

开放金融协议的风险管理的边界,早已不再局限于单一协议的代码审计范围,而是延伸至整个抵押品供应链的源头治理。

热门手游

手机号码测吉凶
本站所有软件,都由网友上传,如有侵犯你的版权,请发邮件haolingcc@hotmail.com 联系删除。 版权所有 Copyright@2012-2013 haoling.cc