Aave 提出两种方案处理 Kelp DAO 黑客攻击造成的 2.3 亿美元坏账

Alvin Lang 2026年4月21日 04:27

LlamaRisk 概述了分配 2.93 亿美元 Kelp DAO 漏洞损失的情景,Aave 面临高达 2.3 亿美元的坏账,具体取决于 Kelp 的决定。

Aave 的风险管理部门已经制定了两种情景来吸收周六 2.93 亿美元 Kelp DAO 漏洞的影响——两者之间的差异非常明显。一种方案让 Aave 承担 1.237 亿美元的坏账。另一种呢?2.301 亿美元的窟窿。

LlamaRisk 于周一发布了分析报告,三天前黑客从 Kelp DAO 的 LayerZero 驱动的桥接中抽走了 116,500 个 rsETH 代币,并立即将它们用作 Aave V3 上的抵押品来借入包装以太币。此举造成了连锁问题:被盗代币支撑着借款人无意偿还的真实贷款。

关键数字

情景一将损失分摊到以太坊主网和第二层网络上的所有 rsETH 持有者。坏账:1.237 亿美元。代价是什么?rsETH 相对于 ETH 大约脱钩 15%。LlamaRisk 指出,wETH 储备将"在绝对值上吸收大部分损失,但相对于储备深度几乎不会注意到"。

情景二将全部缺口集中在 Arbitrum 和 Mantle 等第二层网络上。坏账跃升至 2.301 亿美元——几乎翻倍。

最终决定权在 Kelp DAO,而非 Aave。这对眼看着协议资金大量流失的 Aave 存款人来说并无多大安慰。自漏洞发生以来,已有近 100 亿美元的总价值退出 Aave。

Aave 的应对资源

该协议并非毫无防御能力。LlamaRisk 标示,在 Aave 的 Umbrella 安全模型下,价值约 4370 万美元的 18,922 个 aWETH 代币已进入解除质押冷却阶段——这些资金可以在第一种情景下弥补部分损失。

Aave 的金库持有约 1.81 亿美元,理论上足以应对任一情景下的缺口。治理是否会批准这样的部署则完全是另一个问题。

漏洞如何发生

Kelp DAO 于周一提供了更多细节。攻击者攻陷了与 LayerZero 桥接基础设施相关的两个验证节点,同时对第三个节点发起 DDoS 攻击。这使他们能够伪造一条转账消息,系统将其批准为合法消息,在桥接上铸造了 116,500 个 rsETH。

根据早前引用 LayerZero 的报道,根本原因是:1对1 去中心化验证网络配置。一个被攻陷的节点就足够了。

Kelp 团队在检测到后迅速行动,暂停了以太坊和第二层网络上的合约,并将攻击者钱包列入黑名单。据报道,这一干预阻止了另外 40,000 个 rsETH(9500 万美元)被盗。

接下来会发生什么

Kelp DAO 表示仍在评估财务影响,并与 Aave、LayerZero 和其他利益相关者合作制定恢复路径。尚未宣布恢复协议的时间表。

对于交易者来说,当前的关注点是 rsETH 定价。情景一下 15% 的脱钩将创造套利机会——但也会困住在 DeFi 其他地方持有 rsETH 作为抵押品的任何人。使这次漏洞如此具有破坏性的传染风险尚未结束;它只是在等待治理决定。

• aave
• kelp dao
• defi
• rseth
• layerzero