2026年3月11日,去中心化借貸協議 Aave 因其價格安全機制 CAPO 預言機的設定錯誤,導致 wrapped stETH 的價格被低估約2.85%,進而觸發34個帳戶的清算,總計損失約345 ETH。儘管 Aave 協議本身並未產生壞帳,且承諾對受影響用戶進行全額賠償,但此事件仍引發市場對 DeFi 預言機安全性與風險管理機制的深刻反思。本文將依據事件時間線,透過多面向分析,拆解此次「安全系統意外傷人」事件的全貌及其潛在影響。
事件概述:安全機制的反身性誤傷
台灣時間2026年3月11日,Aave 協議因其採用的 CAPO 預言機內部設定出現錯位,導致 wstETH 的報價暫時低於實際市場價值。這一價格偏差使部分高槓桿借貸用戶的抵押品價值被低估,部位觸及清算線,最終導致約10,938枚 wstETH 被強制清算,涉及34個用戶地址。清算者因此獲利約499 ETH。Aave 官方及 DAO Treasury 表示將補償受影響用戶的剩餘損失,上限為345 ETH。
從設定錯位到清算發生
此次事件的核心在於 Aave 為防範價格操縱而設計的 CAPO 預言機。CAPO 的主要機制是為資產價格的上漲速率設置上限(即「速度限制」),以防止惡意行為者於短時間內拉高價格進行攻擊。其運作仰賴兩個關鍵內部參數協同:一個用於記錄更新的「速度限制」計數器,另一個則用於實際價格計算。
根據 Chaos Labs 發布的事後分析,事件鏈條如下:
- 設定更新:風險管理方對 wstETH 的 CAPO 預言機參數進行例行更新。
- 內部參數不同步:在更新過程中,預言機兩個核心內部狀態發生失步。其中一個因內建的「速度限制」機制而更新延遲,另一個則被視為已完成全部更新。
- 價格計算錯誤:這種失步導致系統計算 wstETH 價格時,使用了錯誤的基準與速率,最終得出的價格比實際市場價格低約2.85%。
- 清算觸發:儘管2.85%的價差對一般用戶影響有限,但對於在高效模式(E-Mode)下以 wstETH 作為抵押品進行高度相關資產借貸的槓桿用戶而言,這一跌幅足以將其抵押率推至清算線以下。
- 自動清算:監控網路的清算機器人捕捉到此機會,迅速執行清算程序,導致34個用戶部位被平倉。
來源:Aave
數據分析:百萬美元損失的量化拆解
此次事件涉及的關鍵數據如下表所示,清楚揭示問題的規模與影響範圍。
| 項目 | 數據 | 備註 |
|---|---|---|
| 清算總量 (wstETH) | 10,938 | 被錯誤清算的抵押品數量 |
| ETH 名義損失 | 約345 | 受影響用戶最終蒙受的淨損失額 |
| 清算者利潤 (ETH) | 約499 | 第三方清算機器人捕獲的價值 |
| 價格偏差幅度 | -2.85% | CAPO 預言機輸出的 wstETH 價格誤差 |
| 受影響帳戶數 | 34 | 主要為高槓桿借貸用戶 |
從結構來看,此次事件暴露了 Aave 風險控制體系中的一個微妙盲點:原本為防範外部攻擊設計的複雜安全機制,反因其內部狀態管理的複雜性,成為內部風險的源頭。CAPO 的設計初衷是應對外部市場操縱,但其參數的內部一致性校驗流程似乎未能完全涵蓋所有邊緣情境,導致系統在例行更新時產生非預期的「自我攻擊」。約345 ETH 的淨損失,雖然相較於 Aave 協議的總鎖倉價值(TVL)微不足道,但其觸發機制——即「安全系統誤傷」——對市場信心的影響遠超資金損失本身。
責任歸屬與賠償方案的討論
事件發生後,社群內主要形成以下幾種觀點與討論焦點:
- 對受影響用戶的同情與補償共識:主流觀點認為,用戶是因協議內部錯誤而非自身操作失誤遭受損失,因此 Aave DAO 理應全額賠償。Aave 創辦人 Stani Kulechov 與 Chaos Labs 創辦人 Omer Goldberg 迅速表態將「fully reimburse」所有受影響用戶,這在一定程度上安撫了社群情緒。
- 風險管理方的責任爭議:社群成員 Frida 在治理論壇中提出尖銳問題,即負責管理預言機設定的風險管理機構 Chaos Labs 是否應承擔部分財務責任。這反映社群對「服務提供者」與「DAO Treasury」間權責界線的關注。目前,賠償方案主要由 Aave DAO 儲備金承擔,Chaos Labs 是否參與尚未明確。
- 清算機制的效率與公平性討論:儘管此次清算由錯誤價格引發,但清算機器人(如 BuilderNet)迅速反應並捕獲近500 ETH 利潤。這再次引發關於 MEV(礦工可提取價值)與清算機制於「非正常」市場情境下是否公平的討論。有部分觀點認為,機器人利用協議漏洞獲利,而這些利潤本應屬於因錯誤受損的用戶。
從「安全事件」到「系統性反思」
初始敘事聚焦於「Aave 因預言機錯誤導致2,600萬美元用戶部位被清算」,這一標題極具衝擊力。然而,隨著細節披露,敘事重心出現轉移:
- 從「鉅額損失」到「淨損失有限」:2,600萬美元為清算部位的總價值,並非用戶最終損失。扣除清算者利潤與已追回部分,用戶實際淨損失鎖定在345 ETH(約110萬美元)。Aave 的迅速兜底承諾,將敘事從「用戶血本無歸」轉向「協議為內部錯誤買單」。
- 從「設計缺陷」到「設定失誤」:事件根源被定性為一次「misconfiguration」(設定錯誤),而非 CAPO 機制的根本性「設計缺陷」。這一定性至關重要,意指問題可透過優化參數更新流程與加強內部狀態校驗來解決,而非需推翻重建預言機系統。
然而,審視這一「設定失誤」可發現,其本質是系統複雜性與人為操作交互產生的「系統性風險」。將責任歸於「操作失誤」雖能快速平息輿論,但可能掩蓋更深層問題:當風控模型本身足夠複雜時,其內部狀態的管理與維護本身就需要同等級別的風控措施。
產業影響分析:LST 資產與 Lending 協議的警鐘
本次事件雖未對 Aave 造成實質性財務衝擊,但其產業影響不容忽視:
- 對 LST 作為核心抵押品的信任考驗:wstETH 作為流動性質押代幣(LST)龍頭,是 DeFi 借貸市場最重要的抵押品類型之一。此次事件顯示,即使是 wstETH 這類深度整合資產,其價格發現過程亦可能因協議內部邏輯錯誤而中斷。這或促使更多協議審視其針對 LST 資產的特殊定價與風控參數。
- 預言機安全的新維度:傳統上,預言機安全主要關注鏈下數據源的可信度與抗操縱性。Aave 此次事件則將焦點導向預言機模組內部的「邏輯安全」與「狀態管理安全」。這提醒產業,複雜的鏈上運算模組本身也可能成為新的攻擊面或故障點。
- 風險管理與 DAO 治理的磨合:事件凸顯專業風險管理服務(如 Chaos Labs)與 DAO 最終決策權間的微妙關係。如何界定服務提供者的權責,以及發生損失時如何平衡其與 Treasury 的責任,將成為未來 DAO 治理需細化的議題。
多情境演化推演
依據現有資訊,我們可對事件後續發展進行邏輯推演:
- 情境一:順利賠償,流程優化。 Aave DAO 順利通過賠償提案,受影響用戶獲得345 ETH 補償。事件推動 Aave 及 Chaos Labs 優化 CAPO 預言機的參數更新流程,增加內部狀態一致性檢查步驟與測試網模擬環節。市場情緒短期受輕微壓抑,但隨著賠償落實與流程優化公告,AAVE 價格(截至3月11日為109.18美元,24小時交易量353萬美元)企穩。此情境機率較高。
- 情境二:賠償爭議,治理僵局。 關於賠償資金來源(特別是是否應由 Chaos Labs 分擔)的討論於 DAO 內引發激烈爭論,導致賠償提案延宕或被修改。這可能引發受影響用戶的法律威脅或輿論反彈,對 Aave 品牌聲譽造成二次傷害。DAO 內部治理效率受到質疑。此情境機率中等。
- 情境三:監管與審計關注升級。 此事件引發監管機構或主流審計公司對 DeFi 協議「內部控制有效性」的關注。未來對頭部借貸協議的審計要求可能不僅限於智慧合約漏洞,還將擴展至其內部風控模型的邏輯審計,從而提高合規成本。此情境機率較低,但影響深遠。
結語
Aave CAPO 預言機設定錯誤事件,是一起典型的「系統複雜性反噬」案例。它以相對輕微的經濟損失,為整個 DeFi 產業敲響警鐘:在追求更精細、更智能的風控模型時,系統內部狀態的一致性與可管理性同樣值得投入巨大關注。Aave 團隊與 DAO 的迅速回應與賠償承諾,展現頭部協議在危機處理上的成熟度,但真正的考驗在於,產業能否從中汲取教訓,在提升系統韌性的同時,避免未來陷入由安全機制本身引發的更多「意外」。
