2026 年最昂貴的 DeFi 攻擊 始於 KelpDAO 的再質押以太幣(rsETH)橋樑,而非 Aave 代碼中的漏洞。該借貸協議在本週發布的 官方事後分析報告 中指出,這正是行業需要重新思考風險衡量方式的原因。
Aave 表示,在四月發生的 230 萬枚剩餘質押 ETH 攻擊暴露了一種新的 DeFi 風險後,將對 V3 上列出的每一項資產進行審查,並重寫其上線標準。
該協議的事後分析指出,此次攻擊並非源於 Aave 的智能合約漏洞,而是 LayerZero 橋樑驗證失敗,導致單一驗證者批准了一條偽造的跨鏈訊息,釋放了 116,500 枚無擔保的 rsETH。
未來,Aave 表示,抵押品評估將會綜合考慮橋樑、預言機依賴、託管方和運營安全,以及其傳統上審查的財務和智能合約風險。
KelpDAO 是一項「再質押」服務,讓用戶可將已鎖定於以太坊的 ether 取出,以賺取質押收益,並重新用作抵押品,從其他協議中獲取額外收益。代幣 rsETH 代表用戶對該再質押 ether 的索權。為在區塊鏈之間轉移 rsETH,KelpDAO 使用 LayerZero——一種稱為跨鏈橋的基礎設施,可在網路之間傳遞訊息,使在一個鏈上發行的代幣能在另一個鏈上顯示。
橋樑依賴一組獨立的驗證者,他們在接收鏈釋放等值代幣前,確認每條訊息都是真實的。
在四月的攻擊中,這些驗證者中僅有一人批准了偽造訊息,使攻擊者在接收鏈上無需實際以太坊支援即可鑄造 116,500 rsETH。
這些代幣隨後被存入 Aave,這是一個用戶以抵押品借入資金的借貸協議,並用於借出 Aave 在 rsETH 被揭露為毫無價值後無法追回的貸款。Aave 自身的代碼完全按設計運作。它接受的抵押品之所以是偽造的,是因為交付這些抵押品的橋樑已被入侵。
儘管 LayerZero 本月初承認它 "犯了一個錯誤",允許其自身的驗證系統以單一配置來保障高價值資產,但 Aave 的事後分析更進一步,利用此事件為全面改革 DeFi 風險管理提供依據。
該協議認為,傳統的評審僅專注於波幅、流動性及智能合約審計,未能捕捉到位於應用程式代碼之外的橋樑、驗證網路及其他基礎設施所帶來的風險。
除了智能合約審計和財務風險分析外,Aave 表示,現在將在批准或擴展抵押品清單前,評估橋樑基礎設施、預言機依賴、第三方合約、託管安排、運營安全實踐以及二級市場流動性。
該協議還在開發新的自動防禦機制,旨在當抵押資產出現困境跡象時更快作出反應。在事後分析報告中提出的建議之一是,一旦預設的風險閾值被突破,系統將自動將資產的貸款價值比降至零,在損失擴散至更廣泛市場前取消其借貸能力。
自遭受攻擊以來,Aave 表示其風險管理團隊已於 V3 市場執行了約 295 項參數調整,包括 168 項存入上限降低和 66 項借入上限降低,以限制對個別資產的風險敞口。
隨著 DeFi 協議變得越來越相互關聯,Aave 的事後分析表明,該行業不僅需要審視其列出的資產,還需審視這些資產所依賴的基礎設施