風控核心團隊被撤換,Aave面臨兩億美元壞賬
事件背景與攻擊過程
2026年4月18日,KelpDAO遭遇攻擊,攻擊者通過以太坊主網調用LayerZero的EndpointV2合約,向KelpDAO的rsETH橋接合約發送偽造的跨鏈數據包,導致116,500枚rsETH流向攻擊者控制地址。在暫停機制啟動前,攻擊者已將盜取的rsETH存入Aave V3作為抵押品,並借出大量WETH和ETH。
rsETH市場價格在攻擊消息擴散後迅速崩跌,抵押品價值隨之蒸發,原本有效的倉位無法清算,形成壞賬。
壞賬規模與協議應對
壞賬規模估計在1.77億至2億美元之間,攻擊者開立的借貸倉位總額超過2.36億美元。Aave的E-Mode設計將貸款價值比(LTV)提升至93%,導致安全緩衝從28%壓縮至7%,任何輕微價格波動都可能引發倉位失控。
為應對風險,Aave設有Umbrella安全機制,用戶可質押aWETH換取額外收益,當協議出現壞賬時,質押資產將被自動銷燬以覆蓋損失。Umbrella機制在2025年底上線,此次是其首次面對真實考驗。
據Forbes,Umbrella中約有5000萬美元WETH可用於吸收損失,但壞賬規模遠超該額度,剩餘部分由非質押的普通WETH存款人承擔,可能面臨本金損失(haircut)。
治理決策與風險評估缺失
2026年1月19日,Aave社區通過治理提案434,將rsETH在E-Mode下的LTV從92.5%提升至93%,並聲稱將帶來高達10億美元的rsETH流入,以提升WETH池利用率。
提案未附帶針對「rsETH LTV提升至93%」的風險評估報告。LlamaRisk在2024年11月首次提出rsETH時曾提交過完整風險評估,但該報告僅分析「rsETH能否上Aave」,未涵蓋LTV提升後的風險。
其他協議如SparkLend設定LTV為72%,Fluid為約75%,均在攻擊後迅速凍結rsETH市場,而Aave維持93%的LTV,導致其在風險控制上處於劣勢。
歷史預警與系統漏洞
2026年3月10日,Aave的CAPO預言機系統出現配置錯誤,快照比率與時間戳不一致,導致wstETH價格被低估2.85%。該偏差在E-Mode環境下足以觸發34個高槓杆倉位的清算,造成約2700萬美元的錯誤清算損失。
Chaos Labs事後分析指出,此事件源於鏈上配置錯誤,非設計缺陷,也無預警機制,凸顯了風險監控的不足。
團隊變動與後續影響
2026年4月6日,Chaos Labs宣佈退出Aave風險管理合作,理由包括風險策略上的根本分歧、V4架構帶來的運營複雜度增加,以及預算不足導致經濟不可持續。
新任風險管理機構LlamaRisk接手後,於4月9日提交了將rsETH供應上限從48萬枚提升至53萬枚的調整建議,理由為鏈上數據健康,流動性充足。
ACI創始人Marc Zeller在事件後發聲,駁斥壞賬規模的極端估計,稱實際數字遠低於預期,並敦促用戶從Aave V3提取WETH以降低風險。
事件發生當晚,AAVE代幣價格下跌10.27%,收於105.73美元。
用戶影響與願景衝擊
0xQuit在X平臺發佈帖子指出,Aave的WETH存款幾乎全部受損,用戶在Umbrella結算後可能只能部分提取,且無法保證完全恢復。
該事件凸顯了DeFi願景中的核心矛盾:用戶資產與規則由治理機制決定,而這些決策往往未被普通用戶充分理解或參與,最終由未參與治理的用戶承擔損失。