KelpDAO rsETH桥接漏洞触发Aave V3逾亿美元坏账,Umbrella机制首次面临真实压力测试
2026年4月18日,攻击者利用LayerZero跨链消息伪造漏洞,从KelpDAO rsETH桥接合约盗取约116,500枚rsETH,随后将其存入Aave V3借出大量WETH,导致Aave V3形成估计1.77亿至2亿美元坏账。Aave安全储备Umbrella中约有5000万美元WETH可用于吸收损失,缺口约在1.27亿至1.5亿美元之间,普通WETH存款人面临本金损失风险。
2026年4月18日17:35 UTC,攻击者向KelpDAO的rsETH桥接合约发送伪造的LayerZero跨链数据包,合约未能识别消息真实性,116,500枚rsETH随即转入攻击者控制地址。攻击目标约为3.9亿美元,攻击者实际获得其中约四分之三。KelpDAO紧急暂停机制在约46分钟后启动,阻止了后续两次合计约1亿美元的额外盗取尝试。
攻击者将盗取的rsETH存入Aave V3作为抵押品,借出大量WETH和ETH。Aave V3对rsETH设定的E-Mode LTV为93%,以116,500枚rsETH为抵押品,理论上最多可借约2.72亿美元WETH,比标准72% LTV上限多出约6200万美元。攻击者开立的借贷仓位总额据报超过2.36亿美元。
攻击消息扩散后rsETH价格下跌,抵押品价值随之缩水,相关仓位无法被正常清算,坏账由此形成。多方来源估计坏账规模在1.77亿至2亿美元之间,但Aave官方尚未正式公布最终数字。
Aave安全机制Umbrella中约有5000万美元WETH可用于吸收损失,与坏账估计规模之间存在约1.27亿至1.5亿美元缺口。Umbrella于2025年底上线,取代旧版Safety Module,此次为其首次面对真实坏账场景。该机制设计为:质押资产被销毁后,剩余WETH供应者可部分提取,但不保证完全恢复,存款人可能面临本金损失(haircut)。具体haircut比例及结算时间节点尚未确定。
攻击当日AAVE代币下跌10.27%,收于105.73美元。SparkLend和Fluid协议均在数小时内完成rsETH市场冻结。
在治理背景方面,2026年1月19日,Aave社区通过治理提案434,将rsETH在LST E-Mode下的最高LTV从92.5%提升至93%,并将WETH加入rsETH的LST E-Mode。该提案由ACI推动,预期通过rsETH/WETH循环策略带来高达10亿美元的rsETH流入,但治理文件中未包含专门针对此次LTV提升的独立风险评估报告。
风险管理层面,Chaos Labs于2026年4月6日宣布与Aave DAO合作正式结束,理由包括风险策略根本性分歧及资源补偿问题。Chaos Labs过去三年主导Aave风险参数管理,期间Aave TVL从52亿美元增长至超过260亿美元。其退出后,LlamaRisk承接全部职责,并于4月9日提交首批常规调整,将rsETH供应上限从48万枚提高至53万枚,理由为链上数据健康、流动性充足——该调整发生在攻击前约9天。
此外,2026年3月10日,Aave的CAPO预言机系统曾出现配置错误,导致34个仓位触发错误清算,损失约2700万美元,Aave随后通过治理对受影响用户进行了全额赔偿。
解读
此次事件的核心风险链条并非单一漏洞,而是多个环节的叠加:桥接合约的消息验证缺失是攻击入口,93% E-Mode LTV为攻击者提供了最大化借贷空间,而风险管理机构交接期恰好与攻击时间窗口重合。 提案434将LTV从92.5%提升至93%,表面上仅是0.5个百分点的调整,但在116,500枚rsETH的规模下,这一差异对应约6200万美元的额外借贷空间,直接放大了坏账上限。治理文件未包含独立风险评估报告,而是依赖横向对标和收入预期,这一决策流程在事后值得审视。 Umbrella机制的首次实战表现将成为DeFi安全储备设计的重要参考案例。约5000万美元的可用资金面对逾1.5亿美元的潜在缺口,意味着普通WETH存款人承担了超出安全储备覆盖范围的损失。这一结果可能推动Aave社区重新评估安全储备规模与高风险资产LTV参数之间的匹配关系。 Chaos Labs退出与LlamaRisk接手之间的过渡期,以及LlamaRisk在攻击前9天刚刚上调rsETH供应上限,将使外界对风险管理连续性问题产生关注,尽管供应上限调整与此次攻击的直接因果关系尚不明确。