Aave风控团队更替后遭遇2亿美元坏账危机

攻击发生后的紧急声明

2026年4月18日凌晨，KelpDAO攻击事件发生数小时后，Solidity开发者0xQuit在X平台上发布了一条令人震惊的消息：「Aave上的WETH似乎完蛋了。」与此同时，Aave创始人Stani Kulechov也发表声明称，rsETH已被冻结，智能合约「未受损」，问题出在KelpDAO。两条帖子揭示了不同的事实：代码未被破解，但后果却由普通用户承担。

Chaos Labs的退出与LlamaRisk的接手

攻击发生前的六个月内，Aave治理系统批准了一系列关键决策。然而，Chaos Labs于4月6日宣布退出Aave风险管理，理由包括与Aave在风险策略上的分歧、V4架构带来的复杂性以及经济不可持续性。LlamaRisk迅速接手，并承诺维持运营连续性。然而，仅仅三天后，LlamaRisk提交的第一份调整建议便将rsETH供应上限提高至53万枚，为后续攻击埋下隐患。

KelpDAO攻击与rsETH脱锚

4月18日17:35 UTC，攻击者通过伪造跨链数据包从KelpDAO窃取了116,500枚rsETH，并迅速存入Aave作为抵押品借出大量WETH和ETH。随着rsETH市场价格崩跌，抵押品价值蒸发，坏账形成。攻击者的目标约为3.9亿美元，最终成功盗取了其中的四分之三。

提案434的风险评估缺失

今年1月，Aave社区通过了治理提案434，将WETH加入rsETH的LST E-Mode并将LTV提升至93%。这一决定旨在吸引流动性并增强竞争力，但缺乏专门针对rsETH LTV提升的风险评估报告。相比之下，其他协议如SparkLend和Fluid对rsETH设定的LTV分别为72%和75%，并在攻击发生后迅速冻结市场。

CAPO预言机事件的警示

今年3月，Aave的CAPO预言机配置错误导致wstETH价格低估2.85%，触发了34个高杠杆仓位的清算，造成约2700万美元的损失。事后分析认为这是一次意外而非设计缺陷。然而，这次事件未能引起足够的警惕，为后续更大规模的危机埋下伏笔。

Umbrella机制的首次考验

Aave的安全机制Umbrella在攻击中发挥了作用，但其5000万美元的储备远不足以覆盖1.77亿至2亿美元的坏账缺口。非质押的普通WETH存款人将承担剩余损失。官方文件提到，存款人可能面临本金削减（haircut），即部分资金无法提取。

尾声：DeFi愿景的反思

攻击当晚，ACI创始人Marc Zeller试图安抚用户，称实际损失低于外界估计，并将此次事件视为Umbrella的压力测试。然而，对于许多普通存款人而言，这并非压力测试，而是真实的本金损失。最终，代码按照被批准的方式运行，而代价却由那些未参与治理的人支付。