Aave 壞賬與 KelpDAO 橋攻擊復盤：DeFi 抵押品傳導、流動性擠兌與風險治理啟示

事件時間軸與關鍵事實

圖片來源：AAVE 官方 X 發文

2026 年 4 月 18 日至 20 日，KelpDAO 於跨鏈消息驗證相關組件出現異常，攻擊者因此獲取大量 rsETH，並迅速流入二級市場及 DeFi 組合策略。隨後，市場關注焦點轉向 Aave V3（以及部分媒體報導所提及的 V4 測試／部署語境）上的 rsETH 抵押借貸路徑，並出現「約 1.77 億至 2.36 億美元壞帳區間」、「約 2.9 億美元被盜資產規模」等不同說法。與此同時，TVL 變化、WETH 池利用率及提款體驗，成為社群與數據面板的討論熱點。

攻擊路徑：從「橋資產增信失敗」到「借貸協議資產負債表承壓」

若將 DeFi 風險拆解為「代碼風險／經濟風險／營運風險／組合風險」，本次事件更貼近組合風險的爆發：

1. 上游增信失敗：跨鏈橋或消息驗證路徑出現問題，導致 rsETH 等 LST / LRT 資產在「份額是否真實對應底層資產」層面失真。

2. 中游抵押進入貨幣市場：攻擊者將異常資產作為抵押品存入 Aave，借出 WETH 等流動性更高的負債端資產。

3. 下游真實資產流出：若清算與價格發現無法同步完成，負債端（存款人可提領資產）與資產端（抵押品可回收價值）間將出現缺口，市場將此稱為 bad debt（壞帳）並展開討論。

此鏈條關鍵在於：貨幣市場吸納的不是「橋本身」，而是「橋所增信的抵押品符號」。一旦該符號與底層脫鉤，借貸協議的風險模型便會從「波動率風險」轉向「真實性風險（counterfeiting／unbacked mint）」，而後者通常不在常規壓力測試預設範疇。

為何 Aave 承擔損失？抵押參數、相關性與清算邊界

Aave 作為通用貨幣市場，強項在於可組合性與參數化風險管理，但極端情況下，這兩項也可能成為系統性曝險集中點。常見討論機制包括：

• 抵押因子與借款能力：更高抵押效率意味安全邊際更窄；當抵押品不是「價格下跌」，而是「資產造假」，安全邊際的意義將產生變化。

• E‑Mode（效率模式）：在高度相關資產組合下，E‑Mode 可提升資本效率，但也可能將「同類風險」壓縮至極薄的緩衝層。若抵押品與風險源同時暴露於事件窗口，相關性風險會表現為清算延遲或清算收益不足。

• caps（上限）：上限管理的是「規模」，但規模上限不等同於「真實性上限」。當異常鑄造繞過現實資產約束時，上限反而可能令損失於單一協議內快速堆積。

• 預言機與流動性：清算需依賴價格與流動性；若價格路徑於事件前後出現斷裂，或池深不足以支撐清算賣壓，壞帳討論將從模型層面回歸市場微觀結構。

在開放抵押品名單及效率參數的共同作用下，系統將跨鏈資產的尾端風險以可借出流動性的形式顯性化。

市場層面二階效應：TVL、利用率與提款約束的意涵

衝擊發生後，市場常見三類現象並行、相互強化：

• 信息衝擊：用戶對「抵押品是否仍可信」重新評價。

• 流動性偏好上升：風險厭惡促使 WETH／ETH 等資產自協議撤出。

• 利用率與利率機制：當借款端行為與存款端撤出疊加，利用率上升將改變借貸行為，極端時表現為「想走的走不快」，工程上未必等於「資不抵債」，但體驗上等同流動性危機。

協議回應與公共品問題：凍結市場、後備資金與透明度

據公開資訊，業界「標準應急動作」通常包括：

• 凍結或暫停特定抵押品市場，阻斷新增風險曝險；

• 溝通債務缺口及處置路徑（回購、儲備、保險模組、治理撥款等），以降低資訊不對稱；

• 與審計、法務、跨協議協調同步推進，避免碎片化聲明造成二次傷害。

若協議引入後備資金／風險緩衝模組（媒體報導中提及的 Umbrella 等名稱屬產品敘事層），更需回答三項工程問題：

1. 觸發條件為何？自動還是需治理決策？

2. 覆蓋順序如何？存款人、代幣持有人、生態金庫排序為何？

3. 事後復盤能否沉澱為可執行的參數調整與抵押品準入框架？

DeFi 的「專業感」不在口號，而在於將不確定性拆解為可核查清單。

結論：非單一漏洞敘事，而是系統耦合風險的再定價

將事件簡化為「Aave 被駭」將忽略更重要的產業課題：當 LST／LRT 與跨鏈橋成為貨幣市場主流抵押品時，貨幣市場實際上為整個棧提供信用背書。一次橋端失效，將以壞帳、利用率飆升與提款摩擦等形式在貨幣市場顯現。

對研究者與從業者而言，更值得帶走的是一份問題清單，而非單一句情緒判斷：

• 抵押品準入：哪些增信假設必須明確寫入職條款與壓力測試中？

• 參數治理：效率與韌性如何在資訊披露層面取得平衡？

• 危機溝通：數字口徑如何與鏈上證據對齊，避免「標題數字」主導市場？