Kelp DAO被盗之后,AAVE的情况比你想的更糟
我认为人们并没有意识到 @aave 现在的情况有多糟糕。
所有核心市场都达到了 100%的利用率,这包括 30 亿美元的 USDT 和 20 亿美元的 USDC 被卡住!
这意味着你无法提取你的资金。一篇长文,解释为什么以及我们是如何走到这一步的。
Kelp DAO遭史上最大DeFi黑客袭击
Kelp DAO遭史上最大DeFi黑客袭击,我们的观点是:这不是一次盗币,这是一次精准的系统性欺诈。
Kelp DAO遭史上最大DeFi黑客袭击,数据快照
第一步:伪造
攻击者调用了LayerZero EndpointV2合约上的lzReceive函数,传入一个伪造的跨链数据包。Kelp DAO的桥接合约未对消息来源进行严格校验,便执行了释放。116,500枚rsETH凭空诞生。
第二步:套现
偷来的rsETH大部分存入Aave V3作为抵押,借出真实WETH;小部分直接出售兑换ETH。通过抵押和出售,黑客共获得约106,466枚ETH,价值约2.5亿美元。Aave产生约1.77亿至1.96亿美元坏账,Compound产生约3,940万美元坏账,Euler产生约84万美元坏账。
第三步:撤离
攻击者在当天带着2.36亿美元的WETH撤场。干净、利落、不留痕迹。
Kelp的紧急多签在46分钟后按下了暂停键,18:26和18:28,攻击者又发起了两次试图再提走40,000枚rsETH(约1亿美元)的LayerZero数据包,两次都被拒绝执行。如果不是那46分钟后的冻结,今天的故事会更长。
Aave百亿出逃:多米诺骨牌的无声倒塌
Kelp DAO遭史上最大DeFi黑客袭击,这场攻击的破坏力,并不止于被盗的2.93亿美元。它像一颗石子投进池塘,涟漪还在扩散。
Aave百亿出逃
我们注意到,黑客以非法铸造的rsETH在Aave抵押借出大量WETH后,恐慌迅速蔓延。Aave净撤资金额一度达到62亿美元,存款总额从约458亿美元降至357亿美元,单日蒸发逾百亿美元。WETH市场利用率一度触及100%,部分存款人被锁定无法提现。
AAVE代币93.27美元
AAVE代币在24小时内振幅高达26.5%,从高点113.19美元最低跌至89.51美元。截至发稿时,AAVE代币93.27美元。 多个巨鲸地址紧急抛售,累计抛售近6万枚AAVE代币,知名巨鲸「ThisWillMakeYouLoveAgain」亏损超过600万美元割肉离场。
我们认为,无论Aave选择哪条路,损失都是确定的——差别只在于谁来买单。
当 rsETH 漏洞发生,AAVE 产生坏账时,像 Justin Sun、MEXC 交易所和其他鲸鱼立即从 AAVE 提取了数十亿美元。
这瞬间抽干了 ETH、USDT、USDC 等关键核心市场的所有可用流动性。先提取的人逃出来了,慢一步的人被困住了。
最初,ETH 市场达到了 100%的利用率,这意味着你无法从 AAVE 提取你的 ETH。
更糟糕的是,这也意味着协议无法处理 ETH 清算,如果 ETH 价格下跌/崩盘。如果你无法卖出任何 ETH,你就无法清算来覆盖债务义务。
这意味着 AAVE 产生更多坏账的风险,随着其市场持续被卡住而不断增加。
尽管如此,用户仍然可以在 Uniswap 或类似聚合器上以小幅亏损出售 aETHwETH 代币。这是 AAVE 上 ETH 存款者的最后一道退出之门。
USDT 和 USDC 的存款者则无法这么做。他们被困住了。
这是因为 AAVE 在过去 24 小时内失去了超过 60 亿美元的流动性。随着鲸鱼取出他们的资金,USDT 和 USDC 也达到了 100% 的利用率。
这些市场现在也被卡住了,资金被锁定。恐慌正在蔓延,危急时刻需要采取绝望措施。
一些用户决定借入 USDT/USDC 作为抵押,通过其他市场以 10-25%的亏损退出(90-75% LTV)。基本上,你借入 GHO/DAI/USDe 来对抗你被锁定的 USDT/C。
但随着更多流动性离开 AAVE,更多市场达到 100%的利用率,并因流动性低而被锁定/卡住。这正在迅速蔓延到所有可用市场。
幸运的是,今天加密市场相当平稳,因此清算风险微乎其微,但如果情况变化,AAVE 上锁定的数十亿美元稳定币和其他资产将无法处理清算=AAVE 的更多坏账。
如果被困的用户或相关协议需要访问他们的资金来防止清算或其他关键功能,他们将面临巨大的问题。
此外,现在没有人想在这些市场中存款(或提供流动性),因为你的 ETH、BTC、USDC/T 可能会在那里卡住,谁知道要卡多久。
一旦任何可用流动性出现,它就会立即被机器人抢走,它们争先恐后地逃离。在我写这篇文章时,我看到 25 万美元的 USDC 流动性在几秒钟内消失。
然后还有坏账问题。
AAVE 通过 rsETH 产生了超过 2 亿美元的坏账,这就像一个烫手山芋。没人知道最终谁会为这笔账单买单。
如果你没有从 AAVE 移除你的资产,你就有风险以某种形式收到这笔账单的一部分。无法访问你的资金也是这种风险的一部分。
传染性也极高。
许多协议和应用依赖 AAVE 来实现其赚取机制。这些协议及其用户也被困住了,并且可能被迫无缘无故地产生坏账。
10 月 10 日是 CEX 驱动的崩盘,这是一次 DeFi 风险缓解的史诗级失败。
AAVE 绝不应该将 rsETH 作为抵押资产引入,至少不应该引入数亿美元的规模,这让黑客在发布假抵押品后借走了超过 2 亿美元的 ETH。
X 上的传言称 rsETH 是由 AAVE 由于某个服务提供商的利益冲突(游说)而引入的。如果属实,这是其治理结构的重大失败(没什么新鲜的)。
管理 rsETH 的 @KelpDAO 团队也面临着一个艰难的决定:谁将真正为 2 亿美元的漏洞买单。AAVE 用户?L2 rsETH 用户?所有受影响的人都得剪羊毛来弥补损失?
AAVE 团队及其创始人 Stani 自漏洞发生后最初宣布冻结 rsETH 市场以来,已经保持沉默超过 20 小时。
他们手上有一个相当大的问题,因为整个协议现在都处于风险之中。信任已经丧失,因为 AAVE 的 TVL 正在流失数十亿美元,以至于所有核心市场都达到了 100%的利用率。
也许空间中的一些关键参与者会介入,提供流动性来稳定 AAVE 上的市场,以免情况变得更糟。
我很幸运,在我第一次看到这个时就早早逃离了 AAVE。我还从 DeFi 中移除了所有资产,并且在接下来的几周内不会触碰任何协议。为了几个百分点的收益,风险太大了。
Aave未来路径推演
这起2.93亿美元的Kelp DAO黑客事件为DeFi行业敲响了沉重警钟。 对Aave而言,Aave现在面临三条路,条条是死胡同。
| 处置路径 | 坏账规模 | 核心缺陷 | 影响范围 |
|---|---|---|---|
| 社会化分摊 | 约2.16亿美元,Umbrella保险覆盖5500万国库出资8500万,剩约7600万缺口 | 所有用户资产减值18.5% | Aave全网 约66.6万枚rsETH抵押 |
| L2 Rug Pull | 约3.41亿美元(Umbrella无法覆盖) | 放弃Arbitrum、MantleBase等L2市场,生态信誉崩塌 | Aave L2约3.59亿美元rsETH抵押 |
| 路攻击前快照 | 约9,100万美元(Umbrella覆盖后) | 技术执行几乎不可能无法区分存款人批次易引发法律争议 | 黑客主网借1.24亿Arbitrum借1,800万 |
以上数据来源:DeFiLlama创始人0xngmi推演
DeFi安全路在何方
2.93亿美元,46分钟,0行代码漏洞。
这是2026年迄今为止最大的一笔DeFi失窃案,但真正让行业脊背发凉的,不是这个数字,而是它的叙事方式:一场不需要代码漏洞的攻击,完成了一次系统性的金融欺诈。审计通过了,合约没问题,但城还是塌了。
我们的观点是,DeFi的防御体系,已经等不起了。
DVN配置漏洞暴露的不是某个协议的疏忽,而是整个行业安全审计范式的结构性缺陷。当漏洞可以藏在部署参数里、藏在节点密钥管理里、藏在跨链协议的配置菜单里,传统的找代码漏洞式审计就变成了一种自欺欺人。
2026年一季度DeFi领域黑客攻击总损失约1.68亿美元,而仅此一役,全年累计DeFi损失便跃升至4.5亿至4.82亿美元,波及约45个协议。
我们需要一套全新的安全思维框架,从“找代码漏洞”转向“验配置参数”,从“审计合约”扩展到“审计运营”,从“事后冻结”升级为“事前防御”。
AI正在加速攻击,但AI同样可以加速防御。关键在于,行业是否愿意正视这个结构性盲区,并为此投入足够的技术与制度成本。
否则,2.93亿美元,不会是终点。
到此这篇关于KelpDAO被盗之后,AAVE的情况比你想的更糟的文章就介绍到这了,更多相关KelpDAO被盗事件影响内容请搜索脚本之家以前的文章或继续浏览下面的相关文章,希望大家以后多多支持脚本之家!
你可能感兴趣的文章
-
2 亿坏账、83 亿资金出逃:Aave 正经历最严重危机
关于“Aave正经历至暗时刻”的说法,结合当前(2026年4月)公开资料来看,“2亿坏账”和“83亿资金出逃”这两个具体数字在权威公开资料中并无明确支撑,Aave确实在2025年底…
2026-04-20 -
加密货币市场最新动态(4月20日):Pieverse飙升 80%,AAVE代币暴跌 92
2026年4月20日加密货币新闻概览:过去24小时加密货币市场疲软,市值、比特币、以太坊、DeFi和稳定币均出现下滑,部分加密货币表现突出,尽管略有改善,但市场恐慌情绪依然…
2026-04-20 -
Kelp DAO被盗2.92亿美元,Aave承接巨额坏账
第二大流动性质押协议Kelp DAO遭遇重大安全漏洞,其基于LayerZero的rsETH桥接合约被攻击,损失价值约2.92亿美元的资产,事件根源在于源链私钥被攻破,并可能对Aave等借贷协…
2026-04-19 -
DeFi借贷龙头Aave正式接入OKX以太坊L2 X Layer,开启高效借贷新篇
Aave作为头部DeFi借贷协议,已上线OKX的以太坊L2网络X Layer,支持USDT、ETH等资产借贷,依托X Layer的5000+TPS与零Gas费优势,用户可享受低成本、高效率的链上金融服务,同…
2026-03-30 -
Aave创始人放话:50万亿美元“丰饶资产”热潮开启DeFi新 纪 元!
Aave创始人Stani Kulechov预言,到2050年,DeFi可通过代币化从太阳能等“丰饶资产”中受益,规模或达50万亿美元,目前已有近250亿美元现实资产被代币化,他预计此类资产将持…
2026-02-16 -
Aave登陆OKX X Layer:DeFi 借贷的新标准
全球领先的去中心化借贷协议 Aave 正式登陆 OKX 的高性能 Layer 2 网络 X Layer,此次合作旨在解决 DeFi 借贷市场用户体验碎片化的问题,将 Aave 经过市场验证的安全性和深…
2025-09-26 -
MakerDAO阳谋:用你的代码抢你的市场 Spark刺向Aave心脏的利剑
Spark(SPK)项目高调进入加密货币市场,成为DeFi领域的重要创新,这场声势浩大的登场背后,站着一个DeFi世界里最古老的名字:MakerDAO,SPK通过分叉AaveV3代码构建去中心化…
2025-06-20 -
Aave创始人Stani Kulechov:RWA崛起引领2025年DeFi解读
Aave DAO创办人Stani Kulechov于3/10受访时表示,DeFi在2020年时开始掀起一波热潮,但随着市场注意力转向Meme币、NFT和其他投机性资产…
2025-03-10
