事件概述:一次“非典型攻击”如何演变为系统性风险
2026 年 4 月,DeFi 市场迎来一次具有标志性意义的风险事件。不同于传统意义上的协议被黑,这次危机的核心在于——抵押资产本身被伪造。
攻击起点来自 KelpDAO,黑客通过跨链桥漏洞,结合 LayerZero 的验证机制缺陷,构造出没有真实抵押支撑的 rsETH。
随后,这些“伪造资产”被存入 Aave,作为抵押品借出真实 ETH,规模接近 10 万枚。
这一结构意味着:
-
Aave 的风控逻辑本身并未失效
-
但其依赖的“外部资产可信性”被击穿
-
风险通过跨协议路径传导
这正是 DeFi 最核心、也最脆弱的一点:协议之间的信任是可组合的,但风险也是可组合的
时间线复盘:从漏洞利用到流动性枯竭
将事件拆解为时间线,可以更清晰看到风险是如何扩散的:
第一阶段:漏洞利用(第 0–1 天)
-
黑客伪造 rsETH
-
在 Aave 建立大规模借贷头寸
-
借出大量 ETH
第二阶段:市场发现(第 2–3 天)
-
异常抵押行为被识别
-
风险开始被披露
-
部分资金开始撤离
第三阶段:信心崩塌(第 3–6 天)
-
鲸鱼和机构优先撤资
-
Aave TVL 大幅下降
-
稳定币池利用率迅速上升
第四阶段:流动性危机(当前)
-
USDC / USDT 池接近 100% 利用率
-
普通用户提币困难
-
市场进入“挤兑状态”
这一过程与传统金融体系中的银行挤兑高度相似,只是发生在链上,并以更快速度完成。、
资金结构拆解:DeFi United 的三层资本来源
图源:Defiunited
面对坏账与流动性枯竭,Aave 发起了所谓的“DeFi United”救助机制。
但其本质并不是简单的行业捐款,而是一个多层资金拼接体系。
第一层:直接出资(信号层)
-
创始人 Stani Kulechov:5000 ETH
-
Golem 基金会:约 1000 ETH
这一层的核心作用是:稳定市场预期,避免恐慌进一步扩散
但从规模来看,这部分资金远不足以覆盖缺口。
第二层:DAO 金库(核心层)
包括:
-
Aave DAO(约 25000 ETH)
-
Lido(2500 stETH)
-
EtherFi(5000 ETH)
这一层的本质是:动用协议控制的集体资产来承担损失
需要注意的是:
-
这些资金并非“项目方的钱”
-
而是来源于用户历史收益与协议积累
同时,这些提案仍依赖 DAO 投票:存在无法通过的风险
第三层:金融化支持(杠杆层)
- Mantle:30000 ETH(贷款)
这一结构引入了一个关键变量,救助不再是“填坑”,而是“融资”
意味着:
-
需要偿还
-
可能附带利率
-
增加未来负担
总结
DeFi United 实际上是:捐款 + DAO 财政支出 + 信贷融资 + 未来收益透支
的组合体。
风险传导机制:rsETH 如何成为系统性隐患
rsETH 的问题在于,它已经被多个协议接受为“优质抵押资产”。
一旦其价值或可信度受损,影响将迅速扩散:
-
Aave 出现坏账
-
其他接受 rsETH 的协议同步承压
-
收益产品触发清算
这一过程类似传染病传播:资产层 → 协议层 → 用户层。而关键放大器正是:DeFi 的可组合性(composability)
流动性危机本质:链上“挤兑”是如何发生的
Aave 当前面临的问题,本质上是一个典型的流动性错配:
-
资产:长期借贷头寸
-
负债:可随时提取的存款
当市场信心下降时:
-
大户优先撤资
-
流动性迅速减少
-
剩余用户提币困难
-
恐慌进一步加剧
最终形成链上挤兑。
治理结构问题:权力与风险的错配
本次事件暴露出一个长期被忽视的问题:
决策权: DAO 持币人
风险承担:存款用户
当坏账无法完全覆盖时:
-
用户资产被“打折”
-
但用户没有投票权
这意味着 DeFi 并未真正实现风险与治理的对等分配
三种情景推演:救助能否成功
情景一:完全救助(低概率)
条件:
-
所有 DAO 提案通过
-
贷款执行
-
市场信心恢复
结果:
-
用户无损
-
系统稳定
情景二:部分救助(基准情景)
条件:
-
部分资金到位
-
坏账部分吸收
结果:
-
用户承担部分损失
-
协议收缩
情景三:救助失败(尾部风险)
条件:
-
核心提案未通过
-
流动性持续恶化
结果:
-
风险扩散
-
多协议联动下跌
更深层影响:DeFi 正在走向“类银行体系”
这次事件可能成为 DeFi 的一个结构性转折点。
过去的叙事是:
-
无需信任
-
无需中介
-
用户自托管
但现实演化方向是:
-
出现系统重要性协议
-
出现联合救助机制
-
出现隐性的“最后贷款人”
虽然 DeFi 仍然缺乏类似 美联储 的中心化角色,但其结构已经开始接近传统金融体系。
结论
Aave 事件的本质,并不是一次简单的黑客攻击,而是DeFi 可组合性风险在极端情况下的系统性释放
DeFi United 也不是简单的行业团结,而是一次现实压力下的集体自救实验。
在这个过程中,一个问题仍然没有答案:当系统发生损失时,谁才是最终的承担者?
从当前结构来看,这个答案依然倾向于普通用户。
分享
目录
欧盟政策制定者力挺稳定币战略:选择数字欧元之上,MiCA 引发欧元稳定币热潮
EU Tightens Sanctions on Russia With Complete Ban on Cryptocurrency Platforms
比特币仍低于 $80K ,CryptoQuant 首席执行官称期货推动市场,现货需求滞后
TradFi 下跌提醒:VIX(恐慌指数)下跌超 3%
FIO 代币在一小时内上涨 25.09%,交易价格为 $0.001097
相关文章
Master Protocol:激活 BTC 生息潜力
链上数据分析:六个分析工具介绍及使用案例
