4月18日，故事并不是从Aave开始的。起点在更远的地方：Kelp 协议的 LayerZero rsETH 跨链/桥接路径被攻击，攻击者通过这条本应用来搬运资产的通道，制造出了并无真实抵押支撑的 rsETH。这些“凭空生出”的代币，原本属于 Kelp 与跨链环境的安全事故，却很快顺着 DeFi 已经铺好的管道，流向了更大的场景。

跨链之后，无抵押 rsETH 被转移到多条链上，进入了 Aave V3 的相关市场，堂而皇之地出现在借贷仓位中。对外部用户来说，它们看起来与正常的 rsETH 没有区别，却在账面上为 Aave 打开了一扇潜在坏账的大门——一旦这些资产的“空心”本质被完全揭穿，协议就可能需要用真金白银去填一个原本不该存在的窟窿。这是一次典型的风险传导：事故源头不在 Aave，却通过流动性质押和跨链桥的耦合，最终压在了 Aave 的资产负债表上。

Aave 的第一反应是自保。事件曝光后，协议紧急冻结了 V3 市场中的 rsETH 与 wrsETH，试图用技术手段给风险画上一个封闭区间，阻止更多无抵押资产被继续当作可用抵押品。但冻结只能减缓出血，并不能回答一个更现实的问题：如果这些无抵押 rsETH 最终变成真坏账，谁来埋单？埋单的顺序，又该先于什么、晚于什么？

碰巧的是，在这场风暴来临之前，Aave 正在执行一项看起来完全不相干的计划——从市场回购 AAVE 代币，作为金库或生态用途的一部分。4月19日，在还没有任何正式治理表决的情况下，这项回购在实际操作层面悄然按下了暂停键。表面上，这是一个执行层面的技术调整；实质上，已经预示着一个更难绕开的抉择：当协议一边可能需要为外部事故留下救火资金，另一边又有既定的代币回购计划时，金库里的“子弹”到底应该先打向哪里？

4月27日，负责为 Aave DAO 提供服务的 TokenLogic 给出了他们的答案。他们在治理论坛与 Snapshot 上提交了一份 ARFC 提案，建议正式暂停 AAVE 回购计划——把原本“事实上已经停下”的操作，上升为一项有约束力的治理决议。提案的理由明确而直接：在 rsETH 事件的影响和潜在损失尚不明朗的情况下，DAO 需要优先处理与 rsETH 相关的风险，为可能的风险处置预留足够的金库资金和决策灵活性。回购可以晚一点，但如果金库先被花在回购上，之后就很难再有足够火力应对未知的黑洞。

截至4月27日，这份暂停回购的 ARFC 提案仍停留在公开讨论和治理流程阶段，最终的表决结果尚未产生。数字上的损失规模依然模糊不清，但现实已经足够清晰：一场起源于 Kelp 与 LayerZero 的跨链攻击，把无抵押 rsETH 推进了 Aave V3，把技术合约层面的冻结，延伸成治理层面的取舍。接下来围绕 Aave 金库的每一张支出“弹药”，都不再只是单纯的代币经济设计，而是对“先保协议安全，还是先兑现回购承诺”这一优先级顺序的公开审判。

桥被攻破：无抵押rsETH如何冲进Aave

在故事真正压到 Aave 账面之前，链上的链条已经悄悄排好队。
rsETH 本身并不是 Aave 设计的一部分，而是由 Kelp 协议发行的流动性质押代币；为了把这枚代币送到不同链上的用户手中，Kelp 依赖的是 LayerZero 提供的跨链/桥接路径。对 Aave 来说，出现在自家 V3 市场里的 rsETH，只是一个标准资产合约地址，背后那条从 Kelp 到 LayerZero 再到多链的路径，是“外包”的信用基础——一旦这条路径出事，风险就会以外部输入的形式砸在 Aave 的资产负债表上。

2026 年 4 月 18 日，问题就沿着这条外部路径爆发：Kelp 的 LayerZero rsETH 跨链/桥接路线遭到攻击，攻击者在这条通道上生成了无抵押的 rsETH 资产。表面上看，这些 rsETH 与正常铸造出来的并无二致；差别在于，后者对应着真实的质押头寸，而前者背后空无一物，“抵押”这两个字在合约逻辑之外已经失效。

接下来，攻击者顺着同一条基础设施，把这批无抵押 rsETH 桥接到了多条链上。跨链完成之后，所有下游协议——包括 Aave V3——看到的只是不断流入的钱包余额和代币转账：一部分被存入 Aave V3 的 rsETH 市场，作为抵押物开启借贷仓位；另一部分则以资产的身份被借出或在相关市场中形成敞口。Aave 识别的是代币合约，不会区分哪些 rsETH 来自正常质押，哪些来自被攻破的桥；外部安全事故，就这样在接口层被当作“正常流动性”接纳了进来。

从借贷市场的机制看，这种“无抵押资产混入抵押池”的场景，是最典型的坏账引擎：
● 协议预设每一枚 rsETH 背后都有真实资产支撑，于是根据这一假设设定抵押率和清算参数；
● 当攻击者用无抵押 rsETH 抵押并借出其他优质资产时，Aave 账面上记录的是“一笔看似安全的超额抵押借款”；
● 一旦市场开始质疑 rsETH 的价值，或清算机制在价格异动中无法完全覆盖损失，抵押端的 rsETH 就不再足以偿付借出端的资产缺口，差额部分会直接沉淀为协议层的坏账。

更棘手的是，混入池中的不只是单一仓位，而是在多个链、多个账户上展开的资产网络。这意味着坏账并非孤立出现，而是可能沿着清算失败、抵押折价、价格反馈的路径，形成一条向协议资本金层层传导的损失链条——最终落脚点，就是 Aave 自己的风险储备和金库。

事件曝光后不久，Aave 作为借贷协议一方，紧急冻结了 V3 市场中的 rsETH 与 wrsETH，试图在入口处切断更多无抵押资产的涌入，把已经形成的风险圈定在一个可控范围内。但冻结只能停止新的流入，无法抹去已经进入系统的无抵押 rsETH 及其衍生仓位。接下来，如何处理这些潜在坏账、谁来为它们埋单，就不可避免地指向了金库：每一枚 AAVE 是否还该拿去回购，还是要预留出来填补这个从桥上传导而来的黑洞，将成为后文治理博弈的核心。

回购急刹车：Aave先守住金库子弹

在 rsETH 事件之前，Aave 的金库一直在按部就班地执行一套回购计划：用协议收入和金库里一部分可支配资产，到二级市场买回 AAVE，再由金库或生态用途统一调配。对很多 DAO 来说，这样的回购既是“支持价格”的市场信号，也是把分散在外流通的治理权一点点收拢、为未来决策预留筹码的手段。有单一来源声称，这轮计划下累计已回购约 24.4 万枚以上 AAVE、约占总供应量 1.52%，但这一数字目前仍属于待验证信息，不能被视为最终定论。

转折点出现在 4 月 18 日之后。Kelp 的 LayerZero rsETH 跨链路径被攻破，无抵押 rsETH 被制造出来并逐步跨链流入 Aave V3 多条链市场，仓位风险开始在协议内部堆积。表面上，Aave 通过冻结 rsETH 与 wrsETH 市场挡住了新的流入，但已经在系统里的无抵押仓位，依然可能在未来的价格波动中演化为坏账。就在事件爆发的第二天——2026 年 4 月 19 日——一个细节悄然发生：AAVE 回购计划在执行层面被按下了暂停键，却没有任何正式的治理投票宣布“回购终止”。它更像是一种本能反应：在还看不清亏空大小之前，先把手里的子弹攥紧。

TokenLogic 登场，把这种“事实上的暂停”推到了聚光灯下。作为 Aave DAO 的服务商，它在 4 月 27 日于治理论坛和 Snapshot 上提交了一份 ARFC 提案，直指这一状态的尴尬：金库已经不再买入 AAVE，但在治理记录上，回购计划仍然处于“开启”状态。提案的核心目的，是把这段灰色地带变成一条清晰的治理决议——在社区正式表决通过之前，不再恢复任何回购操作。

提案背后的逻辑非常直接：在 rsETH 事件的影响和潜在损失尚不明朗时，金库的每一单位流动性，都应该优先对齐“安全”而不是“市值管理”。公开资料至今没有给出 Aave 在本次事件中的确切损失数字，只有一些基于链上仓位的粗略估算区间在社区流传，其本身也都处于待验证状态。而与此同时，社区已经在讨论是否需要动用金库资金，为可能出现的坏账、风险处置甚至行业层面的救助方案预留弹药——哪怕这些救助提案目前同样只是外部单一来源的设想，并未成为 Aave 的正式决定。

在这样的不确定环境下，回购和救火就成了一道直白的选择题：继续按原计划把资金换成 AAVE，等于把流动性锁进自己发行的代币里；而如果未来真的需要为 rsETH 相关风险买单，再把这些 AAVE 变现，就要付出新的折价和时间成本。TokenLogic 的 ARFC 提案，选择站在风险一侧：它明确建议，在搞清楚无抵押 rsETH 在协议内究竟会留下多大黑洞、以及 DAO 是否需要直接出资之前，正式暂停回购，把金库保留为随时可用的防火墙。

截至 2026 年 4 月 27 日，这份“暂停回购”的 ARFC 仍处于公开讨论阶段，接下来将按 Aave DAO 一贯流程进入 Snapshot 等治理投票，最终由持币人决定是否通过。但无论投票结果如何，一个优先级已经被写在论坛页眉与提案正文之间：在这场由外部桥和流动性质押协议引爆、并通过 rsETH 传导进来的风险面前，Aave 更愿意先守住金库子弹，再谈如何拉高自己代币的曲线。

安全还是市值：治理论坛上的拉锯战

点开这份“正式暂停回购”的 ARFC 提案，很快就能感觉到社区情绪被切成了两半：一边是把 AAVE 回购当作“防跌盾牌”的人，另一边则把每一枚留在金库里的资产都视作对 rsETH 黑洞的最后防线。

支持继续回购的一派，典型论点很直接：
在他们看来，Aave 并不是第一次处在外部风险的风暴眼里，真正支撑协议穿越周期的，是长期的品牌与代币价格曲线。“越是在别人恐慌的时候，越应该让市场看到 DAO 还在按节奏执行既定的回购计划”，这类声音在 Snapshot 评论区并不少见——他们担心，一旦回购被治理决议“盖章叫停”，外部会把这解读为：Aave 自己也对潜在损失心里没底。
这类持币人会不断把回购与“信心锚”绑定：没有稳定的二级市场预期，后续谁还愿意为长期治理投票？他们也会引用 DeFi 过往案例，强调危机期间砍掉回购、结果导致代币价格与社区士气双杀的先例（属一般治理经验类比）。

反对派则紧盯另一条时间线：坏账还没算清楚、清算参数仍在调整、无抵押 rsETH 到底会在账上留下多大窟窿，没人能给出一个确定数字。
在论坛的长帖里，可以看到这种焦虑被不断放大——有人把回购形容为“在不知道火源有多大的情况下，先把消防水带拿去浇自家花园”。他们援引 ARFC 文本本身的逻辑：回购已经自 4 月 19 日起事实上暂停，如今只是把现实操作“抬进”治理流程，明确告诉所有利益相关方：金库的第一优先级，是处理 rsETH 事件带来的风险，而不是维护二级市场曲线（依据当前 ARFC 描述）。

围绕金库支出优先级的争论，很快从“要不要回购”升级成“如果不回购，这笔钱该花在哪里”。
有人在讨论中提到，Aave 可能需要为协议内的坏账提供某种形式的风险补偿，或者参与行业层面的联合救助，以防止 rsETH 带来的连锁反应撕裂更多 DeFi 乐高——比如，有单一来源声称，社区中曾被提议向名为 “DeFi United” 的救助计划提供 25,000 ETH 规模的补偿资金（该说法目前仅为单一来源，尚未经过多方独立确认，需视为待验证信息）。
另有单一来源提到，Aave 或将为恢复 rsETH 抵押能力提供资金支持，以帮助相关仓位恢复正常运转，但这一计划同样尚未被多方证实（待验证）。在这些尚未坐实的支出选项面前，“先把子弹攥在手里”的立场，更容易获得风险敏感型参与者的认同。

而对于坚持回购的一方来说，这些潜在支出本身反而是新的担忧来源：如果 DAO 未来真的大额动用金库去参与救助或补偿，是否等于把长期代币价值让位于一次性的“补洞工程”？单一来源估算的潜在坏账区间高达数亿美元级别（待验证），在这类数字被反复转述的同时，关于“用多少未来增长，去换一次短期止血”的问题，被摆到了台面中央。

金库优先级的博弈，还叠加了一个更现实的治理问题：谁来做最后决定。
有单一来源指出，Aave 在过去多次治理中出现场外关注度远高于链上投票率的情况，部分投票仅有约 5%-10% 的治理权参与（待验证）。在 rsETH 事件这样级别的危机中，这意味着一小撮大户与委托人可能就能左右“保安全”还是“保市值”的方向。于是，在论坛和 Snapshot 的评论里，才会出现那种相互质疑的语气：有人要求“不要让没承担风险的人，替所有人决定不回购”；也有人反驳，“真正承担风险的是协议本身，而不是希望靠回购博反弹的短线资金”。

所有这些拉扯，最后都浓缩在 ARFC 的那几行字里：暂停回购、不预设恢复时间，把金库流动性优先锁定在 rsETH 事件的风险处置上。支持与反对的票，还没有在链上落下最终结果，但这场争论已经清晰勾勒出一条新的分界线——在一个高度耦合、风险可以通过跨链和流动性质押一路传导的世界里，DeFi 协议究竟该先守住安全边界，还是先稳住自己代币的价格叙事。

rsETH余波未平：坏账、清算与信誉阴影

治理层面的投票，只是故事的表层；真正决定 Aave 命运的，是账本深处那串数字：这些无抵押 rsETH 最终会以怎样的路径，变成谁都不愿接手的“洞”。

从机制上看，无抵押 rsETH 在 Aave 体系里演化为坏账，大致有几条可能的链路：

● 第一种路径，是“假抵押，真借走”。攻击者用没有真实背书的 rsETH 抵押，在多个 V3 市场中借走流动性最好的资产。一切在事后被发现之前，清算逻辑仍然正常运转——价格预言机认可 rsETH 价格，仓位表面上是健康的。
一旦事件曝光，Aave 冻结 rsETH 与 wrsETH 市场，新的借贷停止，但那部分已经被借走的资产，如果对应的 rsETH 最终被认定为零或接近零价值，协议就会留下“负权益”：账面上有未偿还借款，却拿不回等值的抵押品，这部分差额就是潜在坏账。

● 第二种路径，是“清算来不及，价格先失灵”。在极端情况下，如果 rsETH 市场情绪出现剧烈折价（即使没有立即归零），预言机价格、市场流动性和清算机器人之间的微小错位，就可能让部分仓位错过最佳清算窗口——抵押价值跌破清算阈值，却因为市场冻结、流动性枯竭或参与者犹豫而无法及时卖出 rsETH。等到系统真正能够处置这些仓位时，可回收价值已经远低于借出资产的名义价值，同样会沉淀出坏账。

● 第三种路径，更偏向治理层面的选择：即便从技术上可以对持有无抵押 rsETH 的账户“强清算”，协议和社区也可能在用户保护与严格执行规则之间摇摆。如果为了尽量避免“误伤”不知情用户而放松追偿力度，或者为受害者设置某种形式的保护阈值，那么部分原本可以通过刚性清算追回的损失，也会被有意识地“社会化”，留在协议资产负债表上。

这些路径的共同点是：只要有一部分借出的资产无法通过处置抵押物完全收回，差额就会落在协议头上，变成需要时间和资金填补的坏账。
然而，截至 2026 年 4 月 27 日，公开资料中仍没有给出此次 rsETH 事件在 Aave 体系内造成的精确损失金额——这是这场争论中最大的未知数。
有单一来源尝试估算潜在坏账区间在 1.237 亿至 2.301 亿美元之间，但这一数字尚未得到多方独立验证，无法作为结论性数据使用，只能被视作社区评估风险量级时的参考猜测，而非“答案”。

在坏账规模悬而未决的前提下，Aave 能做、也必须做的，只能是一系列风险处置动作，而不是立即给出“填窟窿”的承诺。

最直接的一层，是继续通过风险参数与市场结构来“止血”：

● Aave 已经对 rsETH 与 wrsETH 市场进行冻结，以阻止新的无抵押资产继续进入体系，这相当于把现有风险画了一个封闭轮廓，避免它继续扩散到更多仓位。
● 在后续治理中，调整相关资产的 LTV、清算阈值、借款上限甚至彻底隔离资产池，都会是常规选项：用更苛刻的参数来对冲未来类似事件的尾部风险，让外部协议的风险难以轻易穿透到 Aave 的“核心流动性层”。

更具争议的一层，是要不要动用金库来“买单”。
从机制上讲，Aave 的金库可以通过治理决议，用于回购代币、生态激励，也可以在特殊时刻充当坏账缓冲器——用协议积累的资源，去填补因为极端事件出现的资金缺口。
目前，暂停 AAVE 回购的提案，已经明确把“为 rsETH 相关风险处置预留金库弹性”写进理由之中，但这只是在为一系列可能的选择让路，而不是预先宣布“协议一定会救”。

围绕如何用这笔钱，已经出现了各种设想，但多数停留在单点消息和社区讨论层面。有单一来源称，Aave DAO 被提议向名为 “DeFi United” 的救助计划提供 25,000 ETH 级别的补偿资金，也有单一来源提到 DAO 可能为恢复 rsETH 抵押提供资金支持——这些说法目前都未在多方渠道得到充分确认，只能被标注为“待验证”。
在治理流程真正走完之前，外界很难知道 Aave 会在“保护金库、防范道德风险”与“用真金白银修复用户信心”之间划在哪条线。

金库怎么用，是一场利益分配的博弈；而这场博弈的背后，是几方信誉此消彼长的长线问题。

在这次链路中，Kelp 发行的 rsETH、承载跨链路径的 LayerZero，以及作为借贷枢纽的 Aave，被硬生生绑在了一条风险链上。
从纯技术视角看，攻击的源头在 Kelp 与 LayerZero 所构成的跨链/桥接路径，无抵押 rsETH 由此被制造出来，然后才跨链流入多个 Aave V3 市场。
有单一来源声称，Aave 官方强调其核心智能合约本身并未遭到攻击，这一表述尚处于待验证状态。但即使事实如此，对普通用户而言，“代码没出问题”与“我的仓位被波及”之间，并不存在那么清晰的区分：他们看到的，是资产被冻结、可能面临折损，和一连串他们无法控制的外部依赖。

对 Aave 来说，这次事件在信誉层面的伤害，不一定来自漏洞，而来自“让外部风险有机会在协议内落地”的筛选机制：如何评估和上架跨链资产、如何给流动性质押类资产设定风控参数、如何在协议间深度耦合的同时保留缓冲区。
对 Kelp 和 LayerZero 来说，rsETH 以及其跨链路径的安全标签被打上问号，今后无论是被重新接入 Aave，还是接入其他借贷与衍生品协议，都很难避免更高的审查强度、更保守的参数，甚至是额外的“安全附加条件”。

更广泛的 DeFi 生态同样难以置身事外：当一个由流动性质押与跨链桥叠加出来的资产，可以在数条链上被当作抵押大举放大杠杆时，“他人风险变成自己黑天鹅”不再是抽象比喻，而是写在链上的现实案例。
下一次再有协议讨论是否引入某个新型跨链质押资产时，rsETH 的名字，多半会被反复提起——不仅是为了回顾一次安全事故，更是为了提醒所有人：在收益叙事之下，那些被层层封装、远在他处的底层风险，终究会以某种方式回到账本上来。

一场桥接危机，DeFi治理被迫长大

在这场由 Kelp 与 LayerZero 跨链路径引爆、最终压到 Aave 账本上的 rsETH 事件里，真正被摆上桌面的，其实不是某个资产是否「优质」，而是 DAO 在危机中要为谁负责。自 4 月 19 日起，Aave 原本面向二级市场的回购计划在执行层面被按下暂停键，4 月 27 日，服务商 TokenLogic 又把这件事推上治理流程，希望通过一份 ARFC 提案，把「事实上的暂停」变成一项有约束力的集体决议：在损失规模尚未明朗之前，金库不再继续为价格制造买盘，而是把优先级让位给 rsETH 相关风险的处置和缓冲。

这个选择背后的含义远不止「暂时不回购」。对于 Aave 这样的主流借贷协议，金库一直被视作代币经济工具：回购、激励、生态投入，都是在为长期叙事服务。而这一次，DAO 被迫承认一个更朴素但更残酷的角色——当外部跨链桥和流动性质押协议出事、无抵押 rsETH 顺着资产白名单和抵押路径一路传导进来时，金库首先是一道防火墙，而不是一个拉盘机器。安全与偿付能力，被明确排在了短期代币价格管理之前。

从治理史的角度看，这可能会成为一个被长久引用的参照案例。过去几年，DeFi 大多数投票围绕的是「多发一点还是少发一点」「这一类资产要不要上白名单」，风险讨论往往停留在参数层面；而在这次 rsETH 事件中，Aave DAO 要面对的是更具冲突感的抉择：是在不确定的潜在坏账面前保留现金弹药，还是继续执行回购来兑现对持币者的预期。无论暂停回购的提案最终能否通过，它都把一个问题刻在了治理模板上：未来设计金库、回购与风险缓冲机制时，必须预先写明，在什么条件下，协议会毫不犹豫地把资源从价格管理切换到风险兜底。

这起跨链路径被攻击、无抵押资产跨多链扩散再流入借贷市场的过程，也让「互联」这件事第一次以系统性风险的样貌出现。资产白名单不再只是一个增长开关，而是可能决定一条攻击路径能否打穿整个生态的防线；流动性质押资产和跨链桥的安全假设，一旦被现实推翻，传导出去的就不再是单一协议的损失，而是一圈协议的坏账与连锁挤兑预期。可以预见，主流借贷协议会被迫重新审视自己接纳的资产种类、抵押折扣与清算参数，将跨链与流动性质押相关的风险，纳入更保守的模型。

接下来，值得持续盯住的节点已经很清晰。其一，是当前这份暂停回购的 ARFC 在治理流程中的走向：在论坛讨论与 Snapshot 投票里，持币者会如何权衡「价格支撑」与「金库安全」，会不会附带更多对未来回购与风险准备金比例的制度化约束。其二，是 rsETH 风险本身的后续处置：坏账规模如何被进一步量化，是否会出现经多方确认的救助或补偿方案，以及 Aave 是否会选择动用金库资金参与其中。其三，则是这场危机的技术与行业层面的回声——Kelp 与 LayerZero 会怎样调整各自的安全架构和跨链路径设计，借贷与交易协议又会如何在下一轮资产准入讨论中重估跨链与流动性质押的敞口。

当 rsETH 这条攻击链条最终尘埃落定，它留下的不会只有一串被修复的合约地址和一份事件复盘，更可能是一套被迫长大的治理常识：在高度耦合的 DeFi 里，每一份新增收益背后都有跨协议的负债方，而每一个 DAO，都迟早要在「讨好当下的持币者」与「为未来的不确定买保险」之间做出一次清晰的选择。此次 Aave 选择先关掉回购阀门、把注意力拉回金库安全与风险处置，本身就已经给出了一个答案。

加入我们的社区，一起来讨论，一起变得更强吧！
官方电报（Telegram）社群：https://t.me/aicoincn
AiCoin中文推特：https://x.com/AiCoinzh
OKX 福利群：https://aicoin.com/link/chat?cid=l61eM4owQ
币安福利群：https://aicoin.com/link/chat?cid=ynr7d1P6Z

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。