去中心化金融(DeFi)正從一系列複雜的攻擊事件中恢復,這些事件引發了關於公共區塊鏈協議是否真能應對系統性風險的激烈辯論。
危機於 2026 年 4 月達到頂峰,KelpDAO 基於 LayerZero 的橋接器遭 $292 million 攻擊,引發全球最大去中心化借貸平台 Aave 出現高達 $8.45 billion 的存款擠兌。這筆龐大的提款在 48 小時內發生。
Aave Labs 創辦人兼執行長 Stani Kulechov 上週於巴黎 Proof of Talk 活動上,為 Aave 在數學上優於傳統金融的表現辯護。Kulechov 並未正面回應導致數百萬美元流動性緊縮、幾乎擊穿 Aave 償付能力防線的營運失靈,而是將大規模資金外逃重新定義為網路「韌性」的實證。
「Aave 現有的 V3 基礎設施已歷經多個市場週期,」他表示,並補充「Aave 在極度動盪的時期確實展現了強大的韌性。」
然而,仔細檢視 4 月的危機可發現,Aave 的存活並非依賴完美無瑕的自主設計,而是仰賴一場混亂且由人為主導的 $300 million 緊急救援。這項緊急恢復行動需要 Aave DAO 質押 25,000 ETH,以及 Kulechov 個人出資 5,000 ETH($8.4 million)才得以化解災難。
轉移責任
Kulechov 將核心智慧合約程式碼與影響更廣泛市場的外部基礎設施故障區分開來。
「就開發而言……DeFi 協議的智慧合約實際上很少出現任何問題,」Kulechov 主張。「它們實際上是與更傳統安全相關的第三方依賴項,正如我們近期所見,這可能會對整個 DeFi 領域產生影響。」
雖然技術上精確,但 4 月的攻擊始於針對 KelpDAO 上 LayerZero 驗證節點的 RPC 欺騙與 DDoS 攻擊,而非 Aave 程式碼的漏洞。風險分析師指出,Kulechov 的辯護迴避了一個更嚴峻的現實。
區塊鏈風險建模公司 LlamaRisk 隨後揭露,駭客利用該漏洞鑄造無價值的抵押品,將其存入 Aave 並抽走真實的包裝以太幣(wETH),導致 Aave V3 背負約 $123.7 million 的壞帳。此外,銀行政策研究所(Bank Policy Institute)的銀行分析師指出,Aave 保險不足暴露了 DeFi 平台易受擠兌影響,進而損害用戶利益。
V4 藍圖
Kulechov 確實承認,傳染性的架構威脅需要徹底改革。為防止未來橋接器故障引發系統性存款擠兌,他指出 Aave Labs 正利用即將推出的 V4 升級從根本上重構其風險管理。
Kulechov 解釋,Aave Labs 正利用即將推出的 V4 技術升級全面重新設計風險管理,旨在防止未來橋接器攻擊引發存款擠兌。
他說明,在新版本下,模組化的「中心輻射」(hub-and-spoke)系統將取代傳統的代幣池,使核心協議能夠自主徵收局部風險溢價,並在傳染蔓延至主要借貸儲備前凍結特定抵押品線。
「當你擁有一個完全可審計且公開的系統時,任何人都可以檢查程式碼,並基於此進行不同類型的風險分析。我認為這是構建韌性軟體的關鍵,」他總結道。
機構配置者是否會在等待 V4 上線期間繼續忽視這些數十億美元的「壓力測試」,仍是決定 DeFi 能否邁向主流未來的關鍵問題。