2026年4月18日,一場針對 Kelp DAO 跨鏈橋的攻擊,最終在 Aave——這個從未發生過智能合約安全事故的頂級借貸協議——身上留下了一道深刻的裂痕。攻擊者憑空鑄造約116,500枚 rsETH,隨後將其作為抵押品存入 Aave,借出大量真實 ETH 後消失。Aave 的總鎖倉價值(TVL)在兩日內從約264億美元驟降至約180億美元,蒸發超過80億美元。與此同時,Aave 平台上的穩定幣借貸利率飆升至15%,以 Aave 為底層基準的 CoinDesk 隔夜利率(CDOR)也隨之觸及2024年以來的最高水平。
一方面是 TVL 斷崖式下跌與壞帳陰雲籠罩,另一方面卻是穩定幣存款利率逼近14%的罕見高息。
一次未觸碰智能合約的攻擊如何撼動 DeFi 最大借貸協議
2026年4月18日 UTC 時間17時35分,Kelp DAO 基於 LayerZero 技術構建的 rsETH 跨鏈橋遭遇攻擊。攻擊者在46分鐘內透過偽造跨鏈訊息,從以太坊主網非法釋放了約116,500枚 rsETH,按當時市場價格估值約2.93億美元,佔該代幣總流通量的約18%。
這一攻擊金額使 Kelp DAO 事件成為2026年至今規模最大的單次 DeFi 協議攻擊事件。
攻擊發生後,Aave 協議守護者與風險管理員第一時間凍結了全部11個市場的 rsETH 與 wrsETH 儲備,將 LTV 歸零,並下調多鏈 WETH 利率,凍結 WETH 借貸。Aave 創辦人 Stani Kulechov 確認,Aave 的智能合約本身未受任何攻擊,協議邏輯運作正常。
儘管攻擊未觸及 Aave 核心合約,但事件暴露了 DeFi 可組合性中一個被長期低估的結構性風險:一個外部協議的配置缺陷,可以經由抵押品傳導鏈條,在 Aave 這樣規模龐大的借貸系統中引發流動性危機與壞帳累積。協議本身未被攻破,但上游資產的信用斷裂直接傳導至下游資金池。
從橋接漏洞到系統性傳導
事件演進完整時間線:
| 時間節點(2026年,UTC) | 關鍵事件 |
|---|---|
| 4月18日 17:35 | 攻擊者向 Kelp DAO 橋接合約發送偽造跨鏈訊息,116,500枚 rsETH 被非法釋放 |
| 攻擊發生後6分鐘內 | 攻擊者透過8個預設地址將 rsETH 存入 Aave V3 與 V4 市場,並借出 WETH |
| 攻擊發生後46分鐘內 | Kelp DAO 緊急多重簽名小組凍結協議核心組件,成功攔截後續兩筆共計4萬枚 rsETH(約1億美元)的提現企圖 |
| 4月19日凌晨 | Aave 守護者凍結全部11個市場的 rsETH/wrsETH 儲備,LTV 歸零 |
| 4月19日 | 據 DefiLlama 數據,Aave TVL 從約263億美元驟降至約180億美元,兩日蒸發約83億美元 |
| 4月20日 | LayerZero 發布初步調查報告,將攻擊歸因於北韓 Lazarus Group(TraderTraitor) |
| 4月21日 | Arbitrum 安全委員會凍結涉攻擊的30,766枚 ETH(約7,100萬美元) |
此次攻擊之所以能迅速傳導至 Aave 的核心借貸池,與 Aave V3 的 E-Mode 高效借貸模式密切相關。攻擊者利用 rsETH 作為抵押品進入 E-Mode 後,可以以高達93%的貸款價值比(LTV)借出 WETH,幾乎實現了接近1:1的資產置換效率。這一高效性在正常市場條件下是優化資本效率的設計創新,但在抵押品信用斷裂的情況下,卻成為放大損失的加速器。
壞帳規模、利率異動與資金流向的鏈上解構
Aave TVL 的斷崖式下跌
事件前 Aave TVL 約264億美元,事件後兩日內降至約180億美元,降幅逾31%。據鏈上分析師數據,Aave 平台單日資金流出達66億美元,其中穩定幣佔33億美元。同時,全鏈 DeFi 總 TVL 從約994.9億美元下滑至約862.9億美元,減少約132億美元。
Aave V3 中 USDT 與 USDC 資金池的利用率一度達到100%,意味著池中可借出資產被全部借空,存款用戶暫時無法提取資金。
壞帳規模的雙情境估算
根據 Aave 風險服務商 LlamaRisk 發布的報告,Aave 面臨的壞帳規模因損失分配方式不同而呈現兩種情境:
- 情境一(全局均攤): 預計壞帳約1.237億美元,以太坊 Core 市場承壓最大。
- 情境二(損失僅限 L2): 預計壞帳約2.301億美元,Mantle 面臨高達71.45%的 WETH 儲備缺口,Arbitrum 為26.67%。
Aave DAO 國庫目前持有約1.81億美元資產,在情境一具備完全覆蓋能力,在情境二下存在約4,900萬美元的資金缺口,需依賴額外儲備或外部支援。
CDOR 利率飆升至15%
資金大規模撤離導致 Aave 平台上 USDT 和 USDC 的存款利率升至13.4%,借款利率則高達15%。CoinDesk 隔夜利率(CDOR)——一項基於 Aave V3 核心市場穩定幣浮動借貸池計算、由 CoinDesk Indices 發布的基準利率——也隨之升至2024年以來的最高水平,達到15%。
CDOR 的設計初衷是為穩定幣貨幣市場提供標準化隔夜利率基準,支持資金成本對沖、收益鎖定與跨幣種利率策略開發。在正常市場條件下,該利率通常在2%至5%區間波動。當前15%的水平相當於常規水平的3至7倍,反映了流動性供需關係的極度失衡。
資金流向——從 Aave 到 Spark 的結構性遷徙
在 Aave 經歷大規模資金外流的同時,市場上其他主流借貸協議呈現出截然不同的資金流向趨勢:
- Aave:存款總額在三日內從485億美元降至307億美元,淨流出約151億美元,降幅約31%。
- Morpho:從117億美元降至102億美元,淨流出約15億美元,影響相對有限。
- Spark(SparkLend):TVL 逆勢增長,從19億美元上升至32億美元,淨流入約13億美元。
這一數據清晰地揭示了市場參與者在風險感知上的分化:部分從 Aave 撤離的機構資金選擇遷移至被視為相對更安全的替代平台,其中 Spark 成為最大受益者。
輿情觀點拆解:市場各方如何評估 Aave 的恢復前景
主流分析機構的評估:
DefiLlama 創辦人 @0xngmi 提出兩種情境分析,根據 Arbitrum 凍結的約7,100萬美元 ETH 的處置方式不同,Aave 的壞帳範圍可能在1,700萬美元至3.41億美元之間浮動,並認為透過使用協議國庫和必要的調整,受影響協議可以「完全恢復」。
Dragonfly 管理合夥人 Haseeb Qureshi 表示:「AAVE 可能需要吸收部分壞帳,但它有足夠的淨資產來償還。」
Blockworks Research 的分析則指出,Kelp 事件暴露了統一流動性池的結構性風險——在單一借貸池中,損失可能被「社會化」地均攤至所有存款人,導致特定抵押品的風險被系統性低估。
市場情緒指標的量化呈現:
根據 Gate 行情數據,截至2026年4月23日,AAVE 代幣價格為91.64美元,24小時變動為-1.95%,24小時交易額為776萬美元。AAVE 市值為13.8億美元,全流通市值為14.6億美元,市值與全流通市值比值為94.85%。過去7天累計下跌13.81%,過去30天累計下跌16.27%,過去一年累計下跌42.05%。
觀點分歧的核心焦點:
市場對於 Aave 恢復前景的分歧主要集中在三個層面:
第一,壞帳覆蓋能力的邊界。樂觀觀點認為 Aave 國庫(約1.81億美元)足以覆蓋情境一中的1.237億美元壞帳;悲觀觀點則擔憂若損失按情境二(2.301億美元)落地,國庫缺口可能觸發 stkAAVE 質押者承擔剩餘損失。
第二,流動性恢復的時間窗口。部分分析認為,資金池100%利用率的僵局可能持續數週,在此期間存款人的提現權利實際上處於「暫停」狀態;另一部分觀點則認為,CDOR 15%的高利率本身就是最有效的市場調節器,將吸引逐利資金回流。
第三,市場份額的永久性損失。Aave 在3.5天內流失約151億美元存款,而 Spark 同期逆勢吸收約13億美元。這是否標誌著 DeFi 借貸市場的一次結構性洗牌,仍需後續數據驗證。
行業影響分析:CDOR 套利窗口的形成機制與行業結構性啟示
套利邏輯的鏈上拆解:
CDOR 15%的水平為穩定幣持有者創造了一個在 DeFi 歷史上都屬罕見的套利窗口。其基礎邏輯如下:
存入 USDC/USDT 可獲得約13.4%的年化收益率,而傳統金融市場的穩定幣等效收益率(如貨幣市場基金)通常在4%至5%之間。這一約8至9個百分點的利差構成了套利空間的基礎。
然而,套利者必須同時評估三個關鍵風險層面:
第一,流動性鎖定風險。目前 Aave V3 的穩定幣資金池利用率為100%,新增存款雖能立即獲得高息,但提現需等待借款人還款或新存款流入。這意味著套利者實際上承擔了流動性期限錯配的風險——高收益的代價是退出時機的不可控性。
第二,壞帳兜底機制的不確定性。若 Aave 最終以 Umbrella 安全模組或國庫資金覆蓋壞帳,存款人的本金安全性不受影響;但若損失部分由存款人社會化分擔,當前的高利率可能不足以補償本金層面的潛在損失。這一不確定性是制約大規模套利資金入場的最主要障礙。
第三,利率的持續週期。高利率是流動性緊縮的產物,而非協議盈利能力的體現。一旦壞帳解決方案明朗化或市場信心恢復,存款利率可能在數小時內回落至正常區間。套利者需要精確判斷這一窗口的持續時間。
DeFi 借貸協議競爭格局的結構性變化:
Kelp 事件對 DeFi 行業的影響可能遠超單次攻擊事件本身。Blockworks Research 的分析指出,Aave 的存款大幅流失可能標誌著其流動性護城河的首次實質性裂痕。如果存款人越來越將「風險隔離」視為值得為之付費的產品特性,近期事件可能加速資本在借貸協議間的結構性重新配置。
與此同時,Aave V4 預計於2026年中期上線,其「中心輻射」架構將強化跨鏈清算能力與機構級合規框架。V4 的推出節奏與當前危機的恢復週期之間的時間差,將是觀察 Aave 競爭力修復進程的關鍵觀測點。
結語
Aave 經歷的這場危機,本質上是一次對 DeFi 可組合性範式的極限壓力測試。協議本身的核心合約未被攻破,但上游資產的信用斷裂透過抵押品傳導鏈條,在一個數十億美元規模的借貸系統中引發了連鎖反應。這提醒產業:在 DeFi 的世界裡,一個協議的安全性不僅取決於自身程式碼的堅固程度,還取決於它與整個生態系統的連結方式與風險傳導路徑的設計。
CDOR 利率攀升至15%既是危機的警報,也是市場自我修復的啟動信號。高利率正在扮演流動性調節器的角色——它懲罰超額借款行為,獎勵願意承擔流動性鎖定風險的存款人,並最終引導資金回歸。能否在壞帳處置方案明朗化與市場信心恢復之間找到平衡點,將決定 Aave 乃至整個 DeFi 借貸賽道接下來的演進方向。對於市場參與者而言,理解這一事件的完整邏輯鏈條,遠比追逐短期的利率波動更具長期價值。
