2026 年最昂貴的 DeFi 攻擊始於 KelpDAO 的再質押以太幣(rsETH)橋接器,而非 Aave 程式碼中的漏洞。該借貸協議在本週發布的官方事後分析中指出,這正是業界需要重新思考如何衡量風險的原因。
Aave 表示,在 4 月份發生 $230 Million 再質押 ETH 漏洞事件,暴露出一類新型 DeFi 風險後,將全面審查 V3 上所有上架資產,並重寫其上架標準。
協議的事後分析指出,此次攻擊並非源於 Aave 智慧合約的缺陷,而是 LayerZero 橋接驗證失敗所致。單一驗證者批准了一則偽造的跨鏈訊息,導致釋放出 116,500 枚無背書的 rsETH。
未來,Aave 表示抵押品評估將納入橋接器、預言機依賴性、託管方及營運安全性,與傳統篩選的財務及智慧合約風險並重。
KelpDAO 是一項「再質押」服務,允許用戶將已鎖定於以太坊以賺取質押獎勵的以太幣,再次作為抵押品以從其他協議賺取額外收益。代幣 rsETH 代表用戶對該再質押以太幣的索賠權。為在不同區塊鏈間轉移 rsETH,KelpDAO 使用 LayerZero,這是一種稱為跨鏈橋的基礎設施,可在網路間傳遞訊息,使一條鏈上發行的代幣能出現在另一條鏈上。
橋接器依賴一組獨立驗證者,在接收鏈釋放等值代幣前確認每則訊息的真實性。
在 4 月的攻擊中,僅其中一名驗證者批准了偽造訊息,使攻擊者能在接收鏈上鑄造 116,500 枚 rsETH,且無實際以太幣背書。
隨後,這些代幣被存入 Aave(一種用戶以抵押品借款的借貸協議),並用於提取貸款。一旦 rsETH 被證實毫無價值,Aave 便無法追回這些貸款。Aave 自身的程式碼完全按設計運作。其接受的抵押品之所以是偽造的,是因為交付該抵押品的橋接器遭入侵。
儘管 LayerZero 本月初承認,允許其驗證系統以單一配置保護高價值資產是「一個錯誤」,但 Aave 的事後分析更進一步,利用此事件為更廣泛的 DeFi 風險管理改革提供依據。
協議認為,傳統審查側重於波動性、流動性及智慧合約審計,未能捕捉到橋接器、驗證網路及其他位於應用程式碼之外的基礎設施所帶來的風險。
除智慧合約審計與財務風險分析外,Aave 表示未來在批准或擴展抵押品上架前,將評估橋接基礎設施、預言機依賴性、第三方合約、託管安排、營運安全實踐及二級市場流動性。
協議還在構建新的自動化防禦機制,旨在抵押資產出現困境跡象時更快做出反應。事後分析中概述的提案之一是一套系統,一旦觸及預設風險閾值,將自動將資產的貸款價值比(LTV)降至零,在損失蔓延至更廣泛市場前取消其借款能力。
自漏洞事件以來,Aave 表示其風險管理員已在 V3 市場執行約 295 項參數變更,包括 168 次供應上限下調與 66 次借款上限下調,旨在限制對單一資產的風險暴露。
隨著 DeFi 協議日益互聯,Aave 的事後分析表明,業界可能需要不僅審查上架的資產,還需審查這些資產所依賴的基礎設施。