Aave 在遭受 230M rsETH 攻擊後全面修訂上線規則

Aave 在經歷 2.3 億美元 rsETH 攻擊後重寫上線規則 在四月發生的 2.3 億美元 rsETH 攻擊——2026 年最大規模的 DeFi 攻擊——暴露了代幣周邊的跨鏈基礎設施可能成為最薄弱環節，而非借貸協議本身的代碼後，Aave 已啟動對所有 V3 資產的全面審查，並全面修訂其上線標準。 事件經過 - 此次攻擊源於 KelpDAO 的 rsETH——一種「再質押」的以太坊代幣，代表用戶已質押並重新用作抵押品以賺取額外收益的 ETH 權益。 - 為實現 rsETH 在不同鏈之間轉移，KelpDAO 依賴 LayerZero——一個使用多個驗證者來驗證訊息的跨鏈訊息/橋接系統。在此次事件中，單一驗證者批准了一條偽造訊息。 - 這一批准允許攻擊者無需任何實際 ETH 支持即可鑄造 116,500 枚 rsETH。隨後，攻擊者將這些代幣存入 Aave，並借出貸款，而當 rsETH 被證實毫無價值時，協議無法追回資金。 - Aave 的事後分析強調，Aave 的智能合約運作正常；根本原因在於橋接驗證失敗。LayerZero 已承認，其「犯了錯誤」，對高價值資產採用了單一驗證配置。 Aave 的回應與新規則 - Aave 表示將重新制定抵押品上線標準，不僅限於傳統檢查（波幅、流動性、智能合約審計），還將明確評估代幣所依賴的外部基礎設施。 - 新的評估因素將包括橋接安全性與驗證模型、預言機依賴、第三方合約與託管方、運營安全性以及二級市場流動性。 - Aave 亦正在開發自動防禦機制，以便在資產出現異常時更快反應。其中一項建議措施是：若預設風險閾值被觸發，將自動將該資產的貸款價值比降至零，從而提前切斷借入權限，防止損失擴散。 - 從運營層面看，自攻擊發生以來，Aave 的風險團隊已在 V3 市場中進行了約 295 項參數調整，包括 168 項供應上限降低與 66 項借入上限削減，以限制對單一資產的風險敞口。 為何這至關重要 - 此事件凸顯了 DeFi 更廣泛的教訓：隨著協議日益相互關聯，鏈下與跨鏈基礎設施（橋接、中繼器、驗證網絡）必須與智能合約和市場風險一樣，被視為一級風險向量。 - Aave 轉向關注基礎設施的上線標準與更快的自動防禦機制，可能為借貸平台如何審核與管理依賴第三方系統的抵押品樹立新的行業標準。 結論：rsETH 攻擊並未破解 Aave 的代碼——它攻破了一座橋。Aave 的事後分析主張，解決方案不僅是修補漏洞，更需對 DeFi 如何衡量與應對整個堆棧中的風險進行根本性重思。