5000万USDT换回3.5万美元AAVE：DeFi路由灾难的深层剖析

事件背景与核心问题

本文来自：@Ehsan1579

编译｜Odaily 星球日报（@OdailyChina）；译者｜ Ethan（@ethanzhang_web 3）

单看事件标题，很多人可能会误以为这是一起黑客攻击。然而，真相却更加令人震惊：有人将价值5040万美元的USDT，最终仅兑换到价值3.59万美元的AAVE。

这不是一次黑客攻击。Aave核心协议、CoW结算、Uniswap和SushiSwap均未出现技术错误。所有合约都严格按照代码执行，签名有效，交易合法。然而，几乎全部经济价值被摧毁，只因其被允许走上了一条极端荒谬的路由。

交易核心信息溯源

本次异常交易哈希为：0x9fa9feab3c1989a33424728c23e6de07a40a26a98ff7ff5139f3492ce430801f，于2026年3月12日在以太坊主网区块高度24643151处确认，交易索引为1，消耗Gas量3780570单位，交易执行成功。

订单归属钱包地址为0x98b9开头，实际执行交易的求解器（交易发送方）地址为0x3980开头，在CoW竞赛数据中标记为tsolver。

这笔交易并非简单的USDT到AAVE兑换，而是通过CoW协议的Aave抵押品轮换操作。卖出代币是aEthUSDT（Aave平台上生息的USDT存款凭证），买入代币是aEthAAVE（Aave平台上生息的AAVE存款凭证）。

交易前，该钱包持有约50,432,693.075254个aEthUSDT和0个aEthAAVE。交易后，它仅剩4.980399个aEthUSDT，并收到了327.241335505966487788个aEthAAVE。

路由崩盘的完整链路

顶层资金流转核心依托CoW协议0x9008开头的GPv2Settlement结算合约。首先，0x60bf开头的HooksTrampoline合约完成aEthUSDT授权操作，随后0xc92e开头的GPv2VaultRelayer合约从用户钱包提取50432688.41618枚aEthUSDT进入结算流程。

问题出在第二跳：执行器将17957.810805702142342238枚WETH转入0xd75ea151a61d06868e31f8988d28dfe5e9df57b4地址的SushiSwap V2 AAVE/WETH交易池。

核查发现，该交易池在异常交易发生前的历史流动性储备仅为：

• 331.631982538108027323枚AAVE
• 17.653276196397688066枚WETH

这笔交易将近17958枚WETH注入一个仅储备17.65枚WETH、对应AAVE总库存仅331.63枚的微型交易池，输入体量是池内WETH储备的约1017倍。

SushiSwap交易对触发核心Swap交换事件：执行器转入17957.810805702142342238枚WETH，仅换回331.305315608938235428枚AAVE。

根据交易前的储备，池子隐含的AAVE价格约为149.50美元。用户的实际执行价格约为154,114.66 USDT兑1 AAVE，比交易前现货价格差了超过1000倍。

漏洞分析：系统校验机制的失败

答案是：系统每一层校验机制，都在核查错误的维度。

所有层级仅校验交易是否可执行、签名是否有效、金额是否非零，却几乎没有核心层级校验交易路由在经济层面是否具备合理性，这是机制失守的核心根源。

Aave界面适配器报价路径的代码缺陷

首个明显的代码异常点，出现在Aave界面的CoW适配器报价流程中：原本用于在请求报价时附带适配器专属应用数据的函数，被直接强制禁用。

来源：rates.helpers.ts:93和 adapters.helpers.ts:194

这意味着Aave界面在向CoW请求报价时，并没有附上实际发布订单时会附加的闪电贷和钩子元数据。

CoW报价竞争逻辑的合理性判定过于薄弱

第二个也是最严重的问题，在于CoW协议的报价竞争逻辑：其公共服务代码中，只要报价Gas费用为正、输出金额非零，就会被判定为“合理报价”。

来源：quote.rs:31

对于一个处理八位数订单的路由系统来说，这是一个令人震惊的薄弱的“合理性”定义。

消失的价值去了哪里？

同一区块内的下一笔交易（哈希0x45388b0f开头），针对被破坏的SushiSwap AAVE/WETH池完成了回跑套利。异常交易用巨量WETH塞满池子、抽干绝大部分AAVE后，套利者立即将AAVE卖回池中，收割流动性失衡带来的超额价值。

本次回跑套利共提取约17929.770158685933枚WETH，随后向该区块构建者支付约13087.73枚ETH，向套利执行地址支付约4824.31枚ETH。

责任归属：谁该为此负责？

真正的系统性失败，发生在更上层的路由与风控层面：

主要责任方为CoW协议的路由、报价与求解器模块：整套系统对“合理路由”的判定标准过于薄弱，允许千万美元级巨额订单，最终流向微型低流动性池。

次要责任方为Aave前端界面：请求适配器报价时未附带钩子关联的应用数据，直接将错误结果传入签名流程，且仅依赖预警提示、无硬性拒绝机制。

这是一次交易路由质量与风控护栏的极端性失败，直接将一笔合法合规的抵押品轮换操作，演变成了一场毁灭性的资产损失事件。