Aave 坏账与 KelpDAO 桥攻击复盘：DeFi 抵押品传导、流动性挤兑与风险治理启示

事件时间线与关键事实

图源：AAVE 官方 X 发文

2026 年 4 月 18 日至 20 日，KelpDAO 与跨链消息验证相关的组件出现异常，攻击者获得大额 rsETH 并快速进入二级市场与 DeFi 组合策略；随后市场关注焦点转向 Aave V3（以及部分报道提到的 V4 试验/部署语境）上 rsETH 抵押借款路径，并出现“约 1.77 亿至 2.36 亿美元坏账区间”“约 2.9 亿美元被盗资产规模”等不同口径。与此同时，TVL 变化、WETH 池利用率与提款体验成为社交媒体与数据面板讨论热点。

攻击路径：从“桥资产增信失败”到“借贷协议资产负债表承压”

如果把 DeFi 的风险拆成“代码风险 / 经济风险 / 运营风险 / 组合风险”，本次事件更贴近组合风险的爆发形态：

1. 上游增信失败：跨链桥或消息验证路径出现问题，导致 rsETH 这类 LST / LRT 资产在“份额是否真实对应底层资产”的意义上被破坏。

2. 中游抵押进入货币市场：攻击者将异常资产作为抵押品进入 Aave，借出 WETH 等流动性更好的负债端资产。

3. 下游真实资产流出：若清算与价格发现无法在同一时间尺度内完成，负债端（存款人可索取的资产）与 资产端（抵押品可回收价值）之间会出现缺口，市场将其称为 bad debt（坏账） 讨论并不奇怪。

这条链条的关键在于：货币市场吸收的不是“桥本身”，而是“桥所增信的抵押品符号”。一旦符号与底层锚定脱钩，借贷协议的风险模型会从“波动率风险”滑向“真实性风险（counterfeiting / unbacked mint）”，后者通常不在常规压力测试的默认集合里。

为什么 Aave 会成为损失承接端：抵押参数、相关性与清算边界

Aave 作为通用货币市场的强项是可组合性与参数化风险管理；但在极端情形下，这两项也会转化为 系统性敞口集中。几个常被讨论的机制点包括：

• 抵押因子与借款能力：更高的抵押效率意味着更小的安全边际；当抵押品不是“跌了”，而是“假了”，安全边际的语义会发生变化。

• E‑Mode（效率模式）：在高度相关的资产组合里，E‑Mode 可以提升资本效率，但也可能把“同类风险”压缩到更薄的缓冲层里。若抵押品与风险源共享同一事件窗口，相关性风险会表现为清算延迟或清算收益不足。

• caps（上限）：上限管理的是“规模”，但规模上限并不自动等价于“真实性上限”。当异常铸造绕过真实世界的资产约束时，上限反而可能允许损害在单协议内快速堆高。

• 预言机与流动性：清算依赖价格与流动性；若价格路径在事件披露前后出现断裂，或池子深度不足以承接清算卖出，坏账讨论会从模型外推回到 市场微观结构 层面。

在开放抵押品列表与效率参数共同作用下，系统把跨链资产的尾部风险以可借出流动性的形式显性化了。

市场层面的二阶效应：TVL、利用率与提款约束的含义

在冲击发生后，市场往往会同时出现三类现象，它们彼此强化：

• 信息冲击：用户对“抵押品是否仍可信”进行重定价。

• 流动性偏好上升：风险厌恶导致 WETH / ETH 等资产从协议中撤出。

• 利用率与利率机制：当借款端行为与存款端撤出叠加，利用率上升会改变借贷博弈，极端情况下表现为“想走的人走不快”，这在工程上未必等于“资不抵债”，但在体验上等价于 流动性危机。

协议回应与公共品问题：冻结市场、后备资金与透明度

从公开信息看，行业内的“标准应急动作”通常包括：

• 冻结或暂停特定抵押品市场，阻断新增风险暴露；

• 沟通债务缺口与处置路径（回购、储备、保险模块、治理拨款等），降低信息不对称；

• 与审计、法务、跨协议协调同步推进，避免碎片化声明导致二次伤害。

如果协议引入后备资金 / 风险缓冲模块（媒体报道中提到的 Umbrella 等命名属于产品叙事层），更需要回答三个工程化问题：

1. 触发条件是什么？自动还是治理？

2. 覆盖顺序是什么？存款人、代币持有人、生态金库如何排序？

3. 事后复盘能否沉淀为可执行的参数变更与抵押品准入框架？

DeFi 的“专业感”往往不体现在口号上，而体现在：把不确定性拆成可核对的清单。

结论：不是单点漏洞叙事，而是系统耦合风险的再定价

把事件简化为“Aave 被黑”会错过更重要的行业课题：当 LST / LRT 与跨链桥成为货币市场的主流抵押品时，货币市场在替整个栈进行信用背书。一次桥层面的失败，可能以坏账、利用率飙升与提款摩擦的形式在货币市场显现。

对研究者与从业者，更值得带走的是一套问题清单，而不是一句情绪判断：

• 抵押品准入：哪些增信假设必须写进入职条款与压力测试？

• 参数治理：效率与韧性之间的折中，如何在披露层面可解释？

• 危机沟通：数字口径如何与链上证据对齐，避免“标题数字”驱动市场？