Kelp 橋接遭攻擊引爆連鎖反應　Aave TVL 兩日蒸發 66 億美元突顯 DeFi 借貸風險

Aave 未有被入侵，資金卻大幅撤走。據 DefiLlama 數據，Aave 的總鎖倉量（TVL）由 4 月 18 日的 264 億美元，跌至周日美國早上時段接近 200 億美元，短短兩日減少約 66 億美元。AAVE 代幣下挫 16% 至 92 美元；周末清算潮帶動協議單日費用一度升至 199 萬美元。 市場恐慌源於 Kelp 的跨鏈橋遭利用。周六，攻擊者從 Kelp 的橋接系統套取 116,500 枚 rsETH（約值 2.92 億美元），其後把被盜 rsETH 存入 Aave V3 作抵押，並借出 WETH。鏈上追蹤顯示，與 Aave 相關的借貸規模約 1.96 億美元；若計及在 Aave、Compound 及 Euler 的總倉位，規模約 2.36 億美元。 Aave 是 DeFi 最大借貸協議，用戶存入加密資產賺取收益，借款人則以抵押品借出資金。Kelp 屬於「流動再質押」協議，把已在以太坊質押的 ETH 透過 EigenLayer 等機制再作收益操作，並向用戶發行收據代幣 rsETH。rsETH 可在市場交易，亦被部分用戶用作 Aave 抵押品；今次事件正是抵押品來源崩塌後，風險回流至借貸平台。 橋接工具負責在不同區塊鏈之間轉移代幣，往往是安全事件高發點。Aave 起初表示 Umbrella 儲備可彌補任何缺口，其後在周六下午改口稱會「探索彌補缺口的方案」。措辭轉變令市場質疑缺口規模及償付安排未明朗。 Aave 的風險集中亦令衝擊更顯著。協議借貸橫跨 22 條鏈，但未償借款中，以太坊佔 178.2 億美元中的 142.4 億美元；WETH 佔全平台貸款的 39.49%。攻擊者正好利用「抵押品（rsETH）—借出資產（WETH）」這一核心組合，直接衝擊 Aave 的主要借貸結構。 Aave 創辦人 Stani Kulechov 指，事件屬外部漏洞，Aave 合約未被攻破。不過，Aave 接納流動再質押代幣作抵押，而該代幣的資產支撐在 Aave 無法控制的橋接環節被抽走，存款人最終仍要承受風險外溢。 流動再質押代幣因帶有收益、且在以太坊鎖倉佔比上升，已被多個主流借貸協議納入白名單。風險模型通常假設其在正常市況可維持錨定，但未充分反映「橋接被攻擊導致抵押品瞬間歸零」的尾部風險。 交易員 Altcoin Sherpa 在 X 發文稱：「AAVE 是 DeFi 的骨幹，裡面有數十億美元，幾乎所有新鏈上的 DeFi 基礎設施都源自它的分叉。當 AAVE 出現傳染風險，就顯示整個系統有多脆弱。」 眼下市場關注焦點在於：Umbrella 儲備是否足以填補缺口，以及作為該儲備支撐者的 stkAAVE 持有人會否需要承擔損失。