在 2.3 亿美元的 rsETH 利用暴露的过桥风险后，Aave 彻底修改了上市标准

2026 年最昂贵的 DeFi 攻击始于 KelpDAO 的重新抵押以太坊 (rsETH) 桥，而不是 Aave 代码中的错误。贷款协议在本周发布的官方事后分析中指出，这正是该行业需要重新考虑如何衡量风险的原因。

Aave 表示，在 4 月份重新抵押 230 美元的 ETH 漏洞暴露了一类新的 DeFi 风险后，它正在对 V3 上列出的每项资产进行审查，并重写其上市标准。

该协议的事后分析发现，这次攻击不是 Aave 智能合约中的缺陷，而是 LayerZero 桥接验证失败，其中单个验证者批准了一条伪造的跨链消息，释放了 116,500 个无支持的 rsETH。

Aave 表示，展望未来，抵押品评估将权衡桥梁、预言机依赖性、托管人和运营安全，以及传统上筛选的财务和智能合约风险。

KelpDAO 是一项“重新抵押”服务，它允许用户使用已经锁定在以太坊中的以太币来赚取抵押奖励，并将其重新用作抵押品，以从其他协议中获得额外收益。代币 rsETH 代表用户对重新抵押的以太币的认领。为了在区块链之间移动 rsETH，KelpDAO 使用 LayerZero，这是一种称为跨链桥的基础设施，可以在网络之间传递消息，以便在一条链上发行的代币可以显示在另一条链上。

桥接器依赖于一组独立的验证者，他们在接收链释放等效代币之前确认每条消息的真实性。

在 4 月份的攻击中，只有其中一个验证者批准了一条虚假消息，这使得攻击者在没有实际以太币支持的情况下在接收链上铸造了 116,500 rsETH。

然后，这些代币被存入 Aave，这是一种借贷协议，用户可以用他们发布的抵押品进行借贷，一旦 rsETH 被揭露一文不值，Aave 就无法收回贷款。 Aave 自己的代码完全按照设计工作。它接受的抵押品被证明是假的，因为交付抵押品的桥梁已经被破坏。

虽然 LayerZero 本月早些时候承认，它允许自己的验证系统以一对一的配置来保护高价值资产是“犯了一个错误”，但 Aave 的事后分析更进一步，利用这一事件来证明对 DeFi 风险管理进行更广泛改革的合理性。

该协议认为，传统审查侧重于波动性、流动性和智能合约审计，未能捕捉到桥梁、验证网络和应用程序代码之外的其他基础设施所带来的风险。

除了智能合约审计和财务风险分析之外，Aave 表示，在批准或扩大抵押品上市之前，它现在还将评估桥梁基础设施、预言机依赖性、第三方合约、托管安排、运营安全实践和二级市场流动性。

该协议还正在构建新的自动化防御措施，旨在当抵押资产出现困境迹象时更快地做出反应。事后分析中概述的建议之一是建立一个系统，一旦违反预定的风险阈值，该系统就会自动将资产的贷款与价值比率降至零，从而在损失蔓延到更广泛的市场之前消除其借贷能力。

自该漏洞发生以来，Aave 表示，其风险管理人员已在 V3 市场上执行了大约 295 项参数更改，其中包括 168 项供应上限削减和 66 项借贷上限削减，旨在限制个人资产的风险敞口。

随着 DeFi 协议变得更加相互关联，Aave 的事后分析表明，该行业可能不仅需要审查其列出的资产，还需要审查这些资产所依赖的基础设施