Aave 在 2.3 億美元 rsETH 被利用後收緊上架規則,揭示橋接脆弱性
前言
背景:在 2026 年 4 月,一起涉及重質押以太(rsETH)並通過跨鏈橋流動的重大漏洞,暴露出傳統智能合約審計與財務檢查無法完全涵蓋的一種系統性風險。本文說明了 Aave 的事後調查結論、攻擊機制,以及協議擬對上架標準與風險控制所做的變更。目標是釐清為何事件並非起因於 Aave 自身的智能合約、為何橋接與鏈外基礎設施需要更深入檢視,以及 Aave 擬如何調整治理、監控與自動防禦以更好地保護出借人與借款人。
重點摘要
關鍵結論: Aave 的程式如預期運作,但一個遭入侵的 LayerZero 驗證者允許攻擊者鑄造了 116,500 枚無償備的 rsETH,該等 rsETH 被用作 Aave 的抵押品。此事件促使對 V3 上架項目進行全面檢視,並重寫上架標準,將橋接、預言機依賴、託管安排與營運安全等納入傳統智能合約與財務檢查之外的評估考量。
正文
造成約 2.3 億美元損失的四月漏洞突顯了去中心化金融中一類新興風險:鏈外或跨鏈基礎設施的失效,可能顛覆原本完好的鏈上邏輯。Aave 的官方事後檢討結論指出,該漏洞並非其智能合約的錯誤,而是由於 KelpDAO 使用的一個以 LayerZero 為動力的橋接出現故障。KelpDAO 是一項促成 ETH 重質押並發行代表該重質押權益的 rsETH 代幣的服務。
像 KelpDAO 的重質押服務可讓已鎖定在以太坊共識層的 ETH 在獲得質押獎勵的同時,其代幣化代表(如 rsETH)可在其他地方作為抵押品使用。為了跨鏈轉移 rsETH,KelpDAO 依賴 LayerZero——一個跨鏈消息協議,該協議仰賴一組驗證者在接收鏈鑄造或釋放相對應代幣前確認消息。在這次攻擊中,單一驗證者通過了一則偽造的跨鏈消息。該驗證的通過使接收鏈能在沒有對應 ETH 儲備的情況下鑄造出 116,500 枚 rsETH。
這些新鑄造的代幣被存入 Aave V3 市場並用作抵押以借出資產;當 rsETH 被揭露為無償備時,該等資產無法被追回。關鍵在於,Aave 的借貸與清算機制按設計運作——基於橋接消息被接受的抵押在協議中被視為有效。因此,這次利用突顯了資產上架與監控上的一個缺口:若代幣的橋接或驗證網路可被顛覆,僅評估代幣的智能合約與市場特性是不足夠的。
Aave 的回應有兩個互補面向:政策與技術防禦。在政策層面,協議宣布將檢視 V3 上的每一項資產並重寫其上架標準。未來,抵押品評估將明確納入橋接基礎設施、預言機依賴、託管安排、第三方合約、營運安全實務,以及次級市場流動性等要素。這擴展了過去強調價格波動性、流動性指標與智能合約審計的檢查表,將存在於應用程式代碼之外的外部基礎設施與信任假設納入考量。
在技術層面,Aave 描述了旨在於抵押資產出現危險跡象時更快介入的自動防禦措施。其中討論的一項機制是:當風險門檻被觸發時,可自動將資產的貸款價值比(LTV)設為零,實際上在損失擴散前停用該資產的借貸能力。協議也說明了已在 V3 市場中立即執行的參數變更:風險管理者實施了約 295 項調整,包括多項供應上限與借款上限的降低,以在審查進行期間限制對單一資產的曝險並減緩傳染風險。
該事件也引發了更廣泛的業界討論。LayerZero 承認在依賴單一驗證配置來保護高價值轉移時出現了營運錯誤。但 Aave 的事後檢討將討論推進得更遠:它主張傳統的風險審查與審計對由驗證網路、橋接與其他中間件引入的失效類型是盲點。隨著 DeFi 系統變得更具可組合性並越來越依賴跨鏈消息,協議必須把鏈外與跨鏈基礎設施視為一級風險因素。
實務上,這意味著代幣上架與持續風險監控需採取新的盡職調查程序。盡職團隊需評估橋接驗證者的安全模型、去中心化程度與激勵對齊;預言機與託管者的備援與治理程序;以及運營第三方服務團隊的準備度。代幣經濟與智能合約的健全性仍是必要條件,但並非上架的充分條件。
從治理角度看,Aave 的做法強調在危機窗口期採取更快的自動化回應與對複雜鏈外結構支持的資產施加更保守的曝險限制。協議的參數變更——供應與借貸上限以及臨時限制——說明了一條務實的折衷路徑:在進行更深入的審計與重新評估時限制損害。這些措施以短期流動性與效用換取長期的系統性韌性。
rsETH 的利用案件也強調了透明度與溝通的重要性。即時且詳盡的事後報告有助於整個生態系學習與適應。Aave 的公開分析清楚指出協議的合約邏輯並無過失;這一區分對於恢復人們對基礎 DeFi 構件的信心非常重要,同時也凸顯了當前需要加強防禦投資的方向。
總結來說,始於遭入侵的橋接驗證者並最終導致借款人大規模損失的攻擊,暴露出需將橋接、預言機與託管者視為抵押風險的整合元素。Aave 對上架標準的計畫性改革及其在自動防禦方面的工作,顯示出業界正發生轉變:僅評估智能合約安全已不再充足。隨著跨鏈活動成長,協議必須在上架、監控與緊急控管中納入基礎設施風險,以防止類似利用在相互連結的 DeFi 系統中擴散。
關鍵見解表
| 面向 | 描述 |
|---|---|
| 根本原因 | 一次 LayerZero 橋接驗證失效允許偽造的跨鏈消息鑄造 116,500 枚無償備的 rsETH。 |
| 對 Aave 的影響 | 無償備的 rsETH 作為抵押進入 Aave 並被用來借出在被利用後無法收回的資產。 |
| Aave 的程式狀態 | Aave 的智能合約按設計運作;失效源自外部橋接基礎設施。 |
| 政策變動 | Aave 將檢視所有 V3 資產並更新上架標準,納入橋接、預言機、託管者與營運安全評估。 |
| 技術防禦 | 計畫包括在風險觸發時自動將 LTV 調至零及其他快速作用的保護措施。 |
| 已採取的立即行動 | 在 V3 中約有 295 項參數變更,包括降低供應上限與借款上限以限制曝險。 |