Aave 突发危机全解析：Kelp DAO rsETH 桥攻击事件完整梳理

4月18日，@KelpDAO 的 rsETH 跨链桥遭到攻击。黑客通过 LayerZero 漏洞提取约 116500 枚 rsETH，价值约 2.92 亿至 2.93 亿美元，占流通供应约 18%。这些无实际支持的 rsETH 随后存入 @aave V3 和 V4，作为抵押品借出大量 WETH，导致 Aave 产生约 1.96 亿美元特定坏账，总债务部位超过 2.36 亿美元。
这起事件通过 DeFi 可组合性快速传导。Aave 已紧急冻结 rsETH 相关市场。Aave TVL 在 48 小时内下降约 84.5 亿美元，从约 26.4 亿美元降至 17.9 亿美元左右。全 DeFi TVL 从 99.5 亿美元降至约 86.3 亿美元。$AAVE 代币一度下跌 16% 至 20%。
本文通过事件时间线、#Aave  受损细节、三种坏账处理路径分析以及行业整体影响，梳理了此次危机从爆发到当前进展的全貌。
事件完整时间线2026年4月18日 17:35 UTC，黑客利用 Kelp DAO LayerZero-powered 桥的漏洞，伪造跨链消息，从桥合约中提取或铸造 116500 枚 rsETH。攻击后数小时，黑客将这些 rsETH 存入 Aave 主网以及 Arbitrum 等 L2，借出约 2.36 亿美元 WETH 或 ETH。
2026年4月18日 18:52 UTC 起，Aave Guardian 启动冻结措施，冻结所有部署中的 rsETH 和 wrsETH 市场，禁止新存入和新借贷。Kelp DAO 同步暂停主网及多 L2 rsETH 合约。Aave 官方强调协议合约未受入侵，问题源于 rsETH 资产本身。
2026年4月19日，市场恐慌全面爆发。Aave WETH 池利用率接近 100%。大量用户和鲸鱼紧急提现。
2026年4月20日，Aave TVL 持续下滑。坏账最终金额仍在评估。Aave 表示，如果协议产生坏债，将探索抵消赤字的路径。Kelp DAO 与 LayerZero 团队继续联合调查。
Aave 此次事件具体受损情况坏账规模集中在 Aave WETH 池，特定坏账约 1.96 亿美元。总债务部位涉及 Aave、Compound 和 Euler 等协议，超过 2.36 亿美元。
TVL 与流动性冲击显著。Aave TVL 下降约 60 亿至 84.5 亿美元。ETH 提现规模超过 54 亿美元。WETH 池利用率达到 100%，部分用户提现面临压力。
代币与市场反应明显。AAVE 价格下跌 16% 至 20%。用户大规模撤资进一步加剧流动性紧张。稳定币池和其他资产运行正常，未受直接影响。
Aave 采取的应对措施包括冻结 rsETH 市场、临时调整相关参数，以及通过官方渠道持续更新信息。
三种坏账处理路径推演当前存在三种主要坏账处理路径，每种路径均存在明显局限。
路径一采用全网 rsETH 持有者统一扣减损失的方式。假设扣减比例 18.5%，主网可能产生约 2.16 亿美元坏账。Umbrella 安全模块覆盖约 5500 万美元，Aave 国库覆盖约 8500 万美元，仍剩余约 7600 万美元缺口，可能需要额外借贷或出售 AAVE 代币填补。
路径二选择放弃或牺牲 L2 rsETH 持有人。L2 上的 rsETH 抵押约 3.59 亿美元，若全部杠杆化，可能产生 3.41 亿美元坏账，且无 Umbrella 覆盖支持。这会影响 Arbitrum、Base、Mantle 等链的市场。
路径三尝试按攻击前快照进行回滚或隔离补偿。理论上仅针对攻击前持有人提供全额补偿，黑客相关仓位自行承担。实际执行面临 DeFi 资金高度流动带来的技术障碍和社区争议。
三种路径共同考验 Kelp DAO 的桥安全责任承担，以及 Aave 的风险承受能力。事件凸显 wrapped/restaked 资产与跨链基础设施的脆弱性。
对于DeFi 整体影响外部桥漏洞快速放大为借贷协议级坏账，展现可组合性的连锁效应。2026 年 4 月 DeFi 已出现多起大规模攻击事件，累计损失接近 10 亿美元。
restaking 和 LRT 类衍生品信任度下滑。资金出现风险厌恶倾向，部分流向 Morpho 等采用隔离池的协议。借贷协议未来可能收紧 LTV 参数和风险模型。跨链桥安全配置、包装资产风险评估，以及整体风险隔离机制成为行业关注焦点。
最新进展截至 2026 年 4 月 20 日，Kelp DAO 与 LayerZero 团队持续调查攻击根源。Aave 治理论坛讨论坏账覆盖方案，可能涉及 Umbrella 安全模块、国库资金以及治理提案。市场短期处于 Extreme Fear 状态，TVL 和价格波动预计还会持续一段时间。
这起 Kelp DAO rsETH 桥攻击事件成为 2026 年目前规模最大的 DeFi 黑客事件。它通过 DeFi 可组合性传导至核心借贷协议，引发流动性危机。Aave 作为 DeFi 借贷龙头，其最终处理结果将为行业提供重要参考。事件再次提醒参与者关注风险管理，尤其在 restaking、跨链和借贷深度交织的环境中。
////////
免责声明：本文仅供信息参考，不构成任何投资建议。加密市场波动极大，投资有风险，请自行研究并独立承担后果。