2026年4月18日,去中心化金融的相互關聯特性將外部脆弱性轉變爲Aave的災難性系統危機。對Kelp DAO跨鏈基礎設施的複雜攻擊導致超過2.92億美元的流動再質押代幣被盜。通過武器化Aave的激進風險參數,攻擊者提取了2.72億美元的WETH,使普通存款人面臨永久損失,並暴露了超可組合DeFi架構的致命缺陷。

❍ LayerZero橋接漏洞

危機最初在由LayerZero基礎設施支持的Kelp DAO跨鏈適配器橋接處發生。

  • 操控:攻擊者使用偽造的消息有效載荷來操縱橋接的複雜驗證層,授予自己管理級別的權限。

  • 獲取:這種技術操控使他們能夠直接將116,500個rsETH代幣轉移到攻擊者控制的錢包中。

  • 大規模:這筆金額大約佔全球流通的rsETH供應量的18%,其價值超過2.92億美元。

❍ 武器化Aave的效率模式

攻擊者立即針對Aave的深度流動性池,將被盜的rsETH作為抵押品存入V3和V4部署。

  • 最大提取:通過利用Aave的效率模式(E-Mode),該模式將rsETH分類為與本地以太幣高度相關,攻擊者獲得93%的貸款對價比。在標準風險參數下,這一借款限額將被嚴格限制在72%.

  • 排水口:這種激進的參數化使得能夠提取2.72億美元的WETH,對抗無擔保的抵押品。E-模式配置使他們能夠比標準設置多提取6200萬美元。

  • 百分之百利用率:隨著rsETH的真實市場價值瞬間崩潰,Aave的內部邏輯延遲了定價更新。該協議吸收了無價值的抵押品,將WETH池的利用率推高至精確的100%,並鎖定了合法的存款者的資金。

❍ Umbrella失敗,存款者面臨減損

Aave Guardians執行應急協議,暫停所有rsETH和wrsETH市場以控制傳染。這觸發了Umbrella,自動鏈上風險管理系統,取代了2025年底的舊版安全模塊。

  • 短缺:Umbrella自動燒毀其質押資產以覆蓋壞賬,但金庫中僅持有價值5000萬美元的aWETH可供立即削減。

  • 資金缺口:根據估算,總壞賬在1.77億美元到2.8億美元之間,該協議面臨無法解決的資金缺口,範圍在1.27億美元到1.5億美元之間。

  • 強制減損:官方協議文檔指出,一旦Umbrella抵押資產完全燒毀,剩餘的赤字將直接落在普通的WETH存款者身上。這些用戶現在面臨強制減損,意味著他們的本金存款將永久性部分損失。

一些隨機想法 💭

本事件是DeFi組合性危險的殘酷教訓。Aave的核心智能合約執行得非常完美,但該協議仍然被迫跪下。這一漏洞完全源自Aave生態系統之外的Kelp DAO橋接,但Aave自身的激進內部參數化成為了提取的最終催化劑。當一個協議完全依賴數學邏輯而沒有保守的人類監督時,極端邊緣案例會轉變為系統性故障。

授予93%的貸款對價比於像rsETH這樣的衍生資產的決定將資本效率置於生存之上。對於被迫承擔大量減損的普通WETH存款者來說,完美的智能合約與有缺陷的風險模型之間的區別幾乎沒有安慰。

AAVE
AAVE
87.1
-3.09%