預言機「失常」，Aave 遭遇2700萬美元異常清算

事件概要

3月11日凌晨，去中心化借貸協議Aave發生了一次罕見的異常清算。沒有市場暴跌，也沒有外部攻擊，但約2700萬美元的借貸倉位在數小時內被強制平倉，34個賬戶、合計約10,938枚wstETH遭到鏈上清算機器人「收割」。

Aave的風險管理合作方Chaos Labs在治理論壇發佈的Post-Mortem報告中釐清了真相。

底層預言機的報價本身完全準確，真正的肇事者，是一個名為CAPO（Capped Asset Price Oracle）的內部安全模塊。這是一套專為防範價格操縱而設計的機制，這一次卻以「守護者」身份，意外成為了用戶的清算觸發器。

Aave在處理wstETH這類持續積累質押收益的收益型代幣時，為防止有人通過人為拉高代幣匯率來虛增抵押品估值，設置了價格增速上限。

CAPO依賴兩個參數協同運作：snapshotRatio（快照匯率，受鏈上硬性約束，每3天最多上漲3%）與snapshotTimestamp（快照時間戳，無同等速率限制）。兩者本應同步更新，一旦錯位，計算出的「允許最高匯率」就會偏離真實市價。

這一次錯位正是這樣發生的。系統嘗試將快照匯率從約1.1572更新至目標值1.2282，但受速率約束只能推進至1.1919；與此同時，時間戳卻徑直跳至對應7天前的錨點，毫無阻礙。

兩個參數各自更新、互不對齊，導致CAPO最終推算出的wstETH最高允許匯率約為1.1939，比市場真實價格低約2.85%。

在普通倉位下，2.85%的偏差或許只是噪音；但在Aave的E-Mode（高效率模式）下，用戶能夠以遠高於普通模式的槓桿率借貸，倉位對價格偏差極度敏感。

協議對wstETH估值的系統性低估，將一批本處於安全閾值之上的倉位推過了清算線，鏈上機器人完成了剩下的一切。

從利潤流向看，清算者獲得約116枚ETH的正常清算獎勵；另有約382枚ETH源於套利者對協議低估價與市場真實價之間價差的套利獲利。

兩項合計約499枚ETH（摺合約127萬美元）從受損用戶的倉位中流出。協議層面的結果乾淨利落：零壞賬，資金池毫髮無損，全部損失僅影響34位被清算用戶地址。

事故中表現最為直接的，反而是風險管理方Chaos Labs。CEO Omer Goldberg在X上明確表態：「每一位受影響的用戶都將獲得全額賠付。」

他同時坦言，風險預言機作為協議核心基礎設施，此次配置失誤是一個嚴肅的教訓，團隊將全面審查參數更新流程。

在賠付執行層面，Chaos Labs已通過BuilderNet追回約141.5枚ETH，結合Aave DAO國庫補充資金，賠付上限預計約為345枚ETH（約合87萬美元），用於覆蓋全部受損賬戶。

在緊急處置階段，團隊率先將受影響實例（Core和Prime）的wstETH借款上限臨時削減至1，通過Risk Steward機制手動重新對齊兩個快照參數，完成修復後再將借款上限恢復至原值（Core：18萬，Prime：7萬）。

這並非DeFi世界第一次被預言機問題掀翻。就在前不久（2月18日），借貸協議Moonwell因預言機配置錯誤，將cbETH短暫標價為約1美元（市價約2200美元），最終造成近180萬美元壞賬。更早的Mango Markets操縱事件、Euler Finance漏洞，都留下了數億美元的教訓。

但Aave此次事故有其特殊性。出錯原因並非外部數據，而是協議內部專為對抗操縱而構建的安全層本身。這層「盾牌」在特定條件下，反而成了傷人的刀刃。

「Code is Law」是去中心化金融的信條，智能合約的自動化執行消除了人為干預的空間，但也意味著每一行參數的錯配，都可能在用戶毫無察覺的情況下完成一次不可撤銷的操作。

Chaos Labs的賠付承諾或許能在經濟層面修復這道裂縫，但更根本的修復必須發生在工程層。參數更新的校驗、鏈上約束的一致性檢查，以及一套能在錯誤釀成之前就發出警報的實時監控機制。