2026年4月18日凌晨，KelpDAO攻擊事件發生幾個小時後，Solidity開發者0xQuit在X上發了一條帖子。

「希望我能帶來更好的消息，但Aave上的WETH似乎完蛋了。如果可以的話就撤回，但可能已經太晚了。在Umbrella結算後，正常存款應該可以部分提取。這對DeFi願景是一個巨大的打擊。」

這條帖子發出的時候，Aave的創始人Stani Kulechov剛剛在同一平台發出了另一條聲明：rsETH已被凍結，Aave的智能合約「未受損」，問題出在Kelp DAO那邊。兩條帖子在同一個時間線上並排滾動。

兩條帖子說的都是事實。但它們在回答不同的問題。Stani回答的是誰動了碼，0xQuit回答的是誰要承擔後果。

答案是：什麼碼都沒有被動。而後果，落在了每一個在Aave存入WETH、以為自己只是在賺一點利率的人身上。

攻擊發生之前的六個月裡，Aave的治理系統批准了每一個讓這件事成為可能的決定。沒有人破解了什麼碼。有人用了一套被批准的規則，讓協議按照設計好的方式崩塌。這件事值得從頭說清楚。

十二天

4月6日，Chaos Labs創始人Omer Goldberg在X上發帖宣佈，Chaos Labs與Aave DAO的合作將正式結束。

過去三年，Chaos Labs主導了Aave的風險參數管理。這期間，Aave的TVL從52億美元增長到超過260億美元。每一億美元的增長背後，都有Chaos Labs的模型在測算邊界：哪個參數能推，哪個不能動。

Goldberg給出了三個離職理由。一是風險策略上的「根本性分歧」，尤其是Aave V4引入新架構後。二是V4帶來的運營複雜度顯著增加，但資源補償沒有跟上。三是即使在500萬美元的預算方案下，Chaos Labs仍然處於虧損狀態，經濟上不可持續。

「這種合作關係不再反映我們認為風險應該如何管理的方式，」他寫道。

Aave 那邊的回應來得很快。Stani Kulechov 表示協議不會中斷運營，風險管理機構 LlamaRisk 將承接全部職責，「兩層風險管理體系繼續維持」。LlamaRisk 隨即發聲明，承諾「全面運營連續性」，並在一周內向 Aave DAO 提交了正式續約提案。從外部看，這是一次有序的交接。

三天後，4 月 9 日，LlamaRisk 作為新任風險管理人提交了首批常規調整：將 rsETH 在 Aave V3 主網的供應上限從 48 萬枚提高到 53 萬枚。依據是鏈上數據，利用率健康，流動性充足，倉位集中度在閾值以內。沒有任何異常標註。

九天後，4 月 18 日 17:35 UTC，攻擊者在以太坊主網調用了 LayerZero 的 EndpointV2 合約，向 Kelp DAO 的 rsETH 橋接合約傳入了一個偽造的跨鏈數據包。橋接合約沒有識別出這條消息是假的。116,500 枚 rsETH 流向了攻擊者控制的地址。

四十六分鐘後，Kelp DAO 的緊急暫停機制啟動，阻止了攻擊者後續兩次額外的盜取嘗試，那兩次加在一起大約還有 1 億美元。但最初的那批已經無法追回。攻擊者的目標約為 3.9 億美元，他們得到了其中的四分之三。

在暫停機制啟動之前，攻擊者已經把盜來的 rsETH 存入了 Aave V3 作為抵押品，借出了大量 WETH 和 ETH。rsETH 的市場價格在攻擊消息擴散後開始崩跌，抵押品價值隨之蒸發。原本還在技術上有效的倉位，變得無法清算。壞賬由此形成。

那份從未寫出來的文件

2026 年 1 月 19 日，Aave 社區通過了治理提案 434。提案的核心是將 WETH 加入 rsETH 的 LST E-Mode，同時把 rsETH 在這個模式下的最高貸款價值比從 92.5% 提升至 93%。數字變動不大，但含義很清晰，用戶可以用 100 美元的 rsETH，在 Aave 上借出價值 93 美元的 WETH。

推動這項提案的是 ACI（Aave Chan Initiative，Aave 的核心治理服務機構）。提案文本裡明確指出預期：通過引入 rsETH/WETH 迴圈策略，吸收協議中閑置的 ETH 流動性，預計將帶來「高達 10 億美元的 rsETH 流入」，同時讓 WETH 池的利用率回到最優區間。

提案還有另一個理由，表述更加直接，就是為了和 ezETH、weETH「保持水平競爭」。既然競爭對手的 LRT 資產在 Aave 上已經拿到了類似參數，rsETH 也應該對齊。

這是 DeFi 裡一種很常見的決策邏輯，叫做競爭性對標。你的對手拿到了什麼，你就應該有什麼，否則流動性會流走。在追求資本效率的語境裡，這個邏輯幾乎無懈可擊。它也有一個內在的單向壓力，參數只能往高拉，不能往低推。任何想收緊參數的提案，都會被冠上「削弱競爭力」的帽子。結果是整個行業在往同一個方向漂移，而沒有人在問漂移到哪裡去。

翻開提案 434 的治理文件，有一件事找不到：一份專門針對「rsETH 的 LTV 可以提高到 93% 嗎」這個問題寫就的風險評估報告。LlamaRisk 在 2024 年 11 月 rsETH 首次上市時，曾提交過一份完整的抵押品風險評估，分析了 rsETH 的收益累積機制、智能合約結構和流動性特徵。但那份報告回答的是「rsETH 能不能上 Aave」。提案 434 把 LTV 推上 93% 時，治理文件裡的依據是橫向對標和協議收入預期。

另外兩家接受了 rsETH 的 DeFi 協議給出了不同的答案，SparkLend 對 rsETH 設定的 LTV 是 72%，Fluid 協議採用的固定最低抵押率相當於約 75% 的 LTV。這兩家在攻擊發生後，都在數小時內完成了 rsETH 市場的凍結。Aave 的數字是 93%。差出來的那 21 個百分點，換來的是競爭優勢。

4 月 6 日，Chaos Labs 宣布退出 Aave 風險管理。4 月 9 日，新接手的 LlamaRisk 提交了一份常規 Risk Stewards 調整建議，將 rsETH 的供應上限從 48 萬枚提高到 53 萬枚。理由是鏈上數據健康，利用率正常，流動性充足，倉位集中度在可接受範圍內。所有指標都來自鏈上。

那些鏈上指標記錄的是 rsETH 在 Aave 內部的流轉狀況，有多少人在用，風險是否分散，流動性是否充足。它們覆蓋不到的是：rsETH 到達 Aave 之前，穿越了一道什麼樣的橋。

一次沒有被讀懂的警報

今年 3 月 10 日凌晨，以太坊鏈上開始出現一批不尋常的清算交易。34 個使用 wstETH 作為抵押品的高槓桿倉位，沒有任何預警，相繼觸發了清算線。用戶還來不及反應，清算機器人已經完成了操作。

觸發原因是 Aave 的 CAPO 預言機系統出現了一個配置錯誤，快照比率與快照時間戳之間產生了不一致，導致 wstETH 的上報價格約為 1.1939，而實際市場匯率約為 1.228。偏差是 2.85%，在普通情況下幾乎可以忽略。

但在 E-Mode 環境下，2.85% 的價格低估足以把 34 個高槓桿倉位推過清算線，產生約 2700 萬美元的錯誤清算損失。從 Chaos Labs 的 Edge Risk 系統發出建議，到 BGD 的 AgentHub 在下一個區塊執行，再到清算機器人完成操作，整個鏈條在幾分鐘內走完。沒有留給人類介入的窗口。

事後，Chaos Labs 發布了分析報告。結論是：「該事件並不反映底層 CAPO 或鏈下風險預言機設計的缺陷，而是鏈上配置在不同更新約束下導致快照比率和時間戳產生了不一致。」

配置問題，不是設計問題。意外，不是預警。

Aave 通過治理提案，從回收資金和 DAO 國庫中對受影響用戶進行了全額賠償。事情以這種方式畫上了句號。後來的一份行業報告寫道，「儘管發生此事件，Aave 的整體存款和借款在 2026 年初保持穩定，對協議核心設計的信心沒有實質性削弱。」

六周後，「核心設計」這個說法將接受另一次考驗，規模換了一個量級。

賬單寄到了

攻擊發生大約一小時後，Stani Kulechov 在 X 上強調，Aave 的智能合約本身「未受損」。這在技術層面沒有任何問題，沒有代碼被破解，沒有私鑰被盜，合約按照它被設置的方式精確地運行了。

問題正是在這裡。當 rsETH 因攻擊脫錨、價值骤降時，E-Mode 的「高度相關」設計反向發揮了作用：系統繼續把已經大幅貶值的 rsETH 視為有效抵押品，貸出去的 WETH 和 ETH 無法被正常清算。設計用來提高資本效率的機制，在極端情況下變成了鎖住壞賬的鎖。

壞賬的估計規模在 1.77 億到 2 億美元之間（據 Phemex、Yahoo Finance 等多方來源），攻擊者開立的借貸倉位總額超過 2.36 億美元（據 CryptoBriefing）。以 116,500 枚 rsETH 為抵押品，93% E-Mode LTV 下最多可借約 2.72 億美元 WETH，比標準 72% LTV 的上限多出約 6200 萬美元，E-Mode 將安全緩衝從 28% 壓縮到了 7%，任何輕微的價格波動都足以使倉位失控。

Aave 有一套為這種情況專門設計的安全機制，叫做 Umbrella。用戶可以將 aWETH 質押進 Umbrella 的安全庫換取額外收益，當協議出現壞賬赤字時，這部分資產會被自動銷毀來覆蓋損失，全程無需治理投票介入。主動選擇質押的用戶，大多是了解了機制設計、願意用本金換取更高收益率、同時承擔協議兜底職能的人，是協議的主動支持者。Umbrella 在 2025 年底上線，取代了舊版 Safety Module，此次是它正式面對的第一場真實考驗。

Umbrella 里大約有 5000 萬美元的 WETH 可以用來吸收損失（據 Forbes）。壞賬的規模是 1.77 億到 2 億美元。兩個數字之間的缺口，約在 1.27 億到 1.5 億美元。

這部分由非質押的普通 WETH 存款人承擔。Aave 官方文件對 Umbrella 機制的描述是：質押資產被銷毀之後，「剩餘 WETH 供應者應該可以部分提取，但不保證完全恢復，存款人可能面臨 haircut」。「Haircut」的意思是損失一部分本金。

攻擊當晚，Marc Zeller 站出來發聲。他是 ACI 的創始人，也是提案 205 和 434 的主要推動者，將於今年 7 月離開 Aave。他駁斥了外界對壞帳規模的「極端估計」，稱實際數字「遠低於那個數字」，並敦促用戶從 Aave V3 提取 WETH 以降低風險。他還補充道，「此次事件將有效測試 Umbrella」，好像這是一次壓力測試，而不是用戶真實的本金損失。

當天，AAVE 代幣下跌 10.27%，收於 105.73 美元。這發生在壞帳規模尚未確定、大批 WETH 存款人等待 Umbrella 結算時間節點的時候。

尾聲

0xQuit 那條帖子在攻擊當晚被廣泛轉發。發它的人裡，很多是 Aave 的 WETH 存款人。他們在轉發之前，把那幾行字反覆讀了好幾遍。「在 Umbrella 結算後，正常存款應該可以部分提取。」「部分」是多少？「正常」是什麼意思？「應該」這個詞，又意味著什麼？

0xQuit 最後那句話，是「這對 DeFi 願景是一個巨大的打擊。」DeFi 的願景裡有一條：你的資產，你的規則，沒有人可以在背後替你做你不知道的決定。

那些決定，是在過去六個月裡、在治理論壇的提案文本裡做下來的。沒有駭客蠻力破門而入，沒有任何一個代碼漏洞在最初就注定了這個結局。是一次次對「效率」的追求，一次次對「信號」的忽視，以及一段關鍵的空窗期，共同送出了這張帳單。治理的代價，最終由那些既沒有參與治理、也不知道治理曾經發生過的人來支付。

代碼是按照被批准的方式運行的。帳單寄到了沒有參與那些批准的人手上。

歡迎加入律動 BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方帳號：https://twitter.com/BlockBeatsAsia