跨链桥漏洞如何波及DeFi借贷协议

攻击者利用rsETH作为抵押物在Aave上借出ETH,使原本局限于KelpDAO的跨链安全事件蔓延至借贷生态。此次事件并非协议本身被攻破,而是反映出抵押品价值波动、流动性枯竭与治理设定的杠杆路径共同构成的潜在坏账风险。 2026年4月18日,KelpDAO宣布发现rsETH相关异常跨链活动,随即暂停以太坊主网及多个二层网络的rsETH合约,并启动调查。同日,链上数据显示116,500枚rsETH于协调世界时17:35:35从KernelDAO跨链桥转入攻击者关联钱包,为后续套取Aave流动性提供了基础。 Aave随后发布声明确认协议未受攻击,但已冻结rsETH市场,禁止新增存款及以此资产为抵押的借款行为,以防止风险进一步扩散。

为何借出的ETH可能无法收回形成坏账

在去中心化金融中,当抵押品价值暴跌或无法快速变现时,借出资产将面临无法全额回收的风险。Aave于2026年4月9日发布风险报告指出,rsETH存在显著流动性风险:3.32亿美元的抵押品仅对应500万美元的链上可用流动性。即便引入1%清仓奖励机制,仍存在高达3.26亿美元的资金缺口。 这一数据揭示了以rsETH为抵押进行借贷的结构性脆弱性——一旦其价值受损,清偿能力将严重受限。Aave强调,V3与V4版本的rsETH市场已被冻结,且协议自身无漏洞,贷方资金损失源于抵押品回收能力不足,而非协议被入侵。 历史治理记录显示,该风险并非突发:2025年11月的E-Mode参数调整、2026年3月专用跨链模块上线,以及4月的风险预警,均表明rsETH至wETH的杠杆路径是经过设计并提前警示的,风险传导具有可预见性。

市场冻结后的用户关注焦点

对于rsETH持有者而言,事件核心在于桥接安全性、赎回机制及二级市场流动性恢复进展。而对Aave用户来说,关键在于市场重新开放后能否通过实际流动性清收已借出的ETH。 Aave披露的流动性错配问题——3.32亿美元风险抵押品仅对应500万美元链上交易深度——使得本次事件既体现为跨链桥缺陷,也暴露出协议在抵押品管理上的设计短板。这促使行业将抵押品质量与治理设置纳入机构级应用评估标准。 对新进入加密领域的投资者而言,此事件揭示了现货交易与DeFi借贷属于不同风险维度。当前,用户聚焦三大节点:KelpDAO对根本原因的技术调查结果、Aave关于市场解冻的治理决策,以及现货流动性是否能缩小3.32亿美元风险抵押与500万美元链上流动性的差距。 在信息明朗前,最明确结论是:即使借贷协议未遭攻击,跨协议杠杆仍可能将跨链桥漏洞转化为借贷市场的系统性坏账风险。