Aave协议遭遇历史级安全冲击:跨链漏洞引发连锁崩塌

4月19日,DeFi借贷协议Aave因Kelp DAO的rsETH跨链适配器存在严重缺陷,遭受其成立以来最严重的间接损失。攻击者利用桥接机制漏洞凭空生成11.65万枚rsETH(估值约2.937亿美元),并迅速将其注入Aave V3与V4市场,借出真实ETH资产,形成无价值的“空气抵押品”。

资金撤离潮与市场利率剧烈波动

事件爆发后,Aave平台上的USDT借款年化收益率一度攀升至14.99%,存款年化收益率飙升至13.39%。据Bitget行情数据,Aave代币价格从当日114美元持续走低,最低触及93美元,跌幅超过17%。

鲸鱼用户大规模割肉抛售,TVL蒸发超80亿

多个巨鲸账户选择止损离场。其中,“ThisWillMakeYouLoveAgain”账号以1171个ETH(价值273万美元)出售29400枚Aave,累计亏损逾600万美元。该用户初始投入达1103万美元,现持有资产仅剩139万美元。 受此影响,Aave总锁仓价值(TVL)在4月19日下午3点已达66亿美元撤离规模,其中稳定币占比达33亿美元。DefiLlama数据显示,平台TVL由263亿美元骤降至180亿美元,两日内蒸发83亿美元,跌幅超31%。

团队紧急冻结功能,阻断风险扩散路径

为控制事态,Aave团队立即冻结以太坊主网rsETH的存借功能,并切断Arbitrum、Optimism等二层网络相关市场。同时将rsETH的贷款价值比(Loan-to-Value)紧急调至0,彻底封锁新增借款通道。 官方声明指出,以太坊主网上的rsETH已具备充分支持,但出于风险防范,仍维持V3与V4版本的冻结状态。WETH储备在受影响的多个链上(包括以太坊、Arbitrum、Base、Mantle和Linea)亦被持续冻结。

创始人回应:核心合约未受损,但责任归属成疑

Aave创始人Stani在社区AMA中强调,核心智能合约未遭破坏,本次事件属“上游污染”,非协议自身漏洞。他透露,协议财政储备及每月约1200万美元收入流足以覆盖潜在损失,短期内不会启动安全模块惩罚或代币增发。 然而,社区对“储备金覆盖”的透明度提出质疑。若最终需动用质押代币填补缺口,实质是将外部漏洞成本转嫁给最忠实的质押者。

专家分析:系统性风险暴露于跨协议依赖

DeFiLlama创始人0xngmi指出,若KelpDAO无法全额赔付,损失将传导至Aave。若采取“社会化分摊”方案(如所有rsETH持有者打8折),高杠杆仓位可能集体爆仓,产生约2.16亿美元坏账。现有安全模块可兜底5500万美元,财库再补8500万美元,仍存7600万美元缺口——须通过借贷或卖币弥补。 “快照回滚归还资金”虽理论上可行,但操作复杂,几乎不可行。

信任机制再审视:非隔离模式埋藏深层隐患

尽管Aave智能合约历经六年形式化验证,拥有超800条安全规则,但此次事件暴露出其在抵押品准入验证、风险定价模型以及跨协议风险监测方面的明显短板。 Curve创始人Michael Egorov认为,当前“非隔离借贷”模式存在固有风险,而Aave V4采用的中心—辐射架构或为迈向半隔离、更稳健方向的重要尝试。 OneKey创始人Yishi直言,协议本身无设计缺陷,问题根源在于底层资产质量差。L2叙事未能解决根本问题,反而加剧了流动性幻觉。

行业警钟:风险管理边界已延伸至抵押品源头

此次事件不仅重创Aave生态,也为整个去中心化金融体系敲响警钟。开放金融的风险管理不再局限于单一协议代码审计,而是必须延伸至抵押品供应链的源头治理,强化对跨链资产真实性的验证与动态监控能力。