$AAVE
最近摊上大事了——因为 KelpDAO 的 rsETH 被黑客攻击,导致 Aave 上直接出现了大约 2 亿美元的坏账。
事情的根源不是 Aave 智能合约被黑,而是过去半年里 Aave 治理团队自己一步步把风险参数越调越高:
今年 4 月 6 日,Aave 做了三年的核心风控团队 Chaos Labs 因为理念分歧 + 钱不够,正式退出。
刚走没几天,新接手的 LlamaRisk 就继续把 rsETH 的供应上限从 48 万提到 53 万。
更要命的是,早在 1 月份,Aave 治理就通过提案,把 rsETH 在 E-Mode 下的 LTV(贷款价值比)从 92.5% 直接拉到 93%。这意味着用户可以用 100 块 rsETH 借出 93 块 WETH,安全缓冲只剩 7%,极度激进。
结果黑客通过 LayerZero 伪造跨链消息,偷了 KelpDAO 大约 1.165 亿枚 rsETH(价值接近 3 亿美金),马上把这些 rsETH 砸进 Aave 作为抵押品,借走巨额 WETH。rsETH 一暴跌,这些仓位就成了无法清算的坏账。
Aave 虽然有 Umbrella 安全模块,能先用里面约 5000 万美元的质押资产来扛,但缺口还有 1.2~1.5 亿美金,最后要由普通存 WETH 的用户来分担损失(也就是“ haircut ”,砍一部分本金)。
这不是技术被黑,而是 治理自己作死。
为了追求 TVL、竞争力、资本效率,不断把风险参数往高拉,对标竞争对手,却没人认真做独立的风险评估。风控核心团队刚被赶走,空窗期一到,问题就爆了。
最后买单的,是那些只是想来 Aave 存 WETH 赚点利息、完全没参与治理的普通用户。
Aave 用“治理”把风险参数玩脱了,2 亿美金的窟窿,最后砸在了普通存款人头上。 这对整个 DeFi 的信任是个不小的打击。