2026年最昂贵的 DeFi攻击 开始于KelpDAO的再次质押以太（rsETH）桥接，而不是Aave代码中的漏洞。该借贷协议在 本周发布的官方事后分析中 辩称，这正是行业需要重新思考如何衡量风险的原因。

Aave表示，在四月份230万美元的再次质押以太攻击暴露出一种新的DeFi风险类别后，它将审查V3上列出的每一个资产，并重新编写其上市标准。

该协议的事后分析追踪到的攻击源头不是Aave智能合约的缺陷，而是LayerZero桥接验证失败，在该失败中，单个验证者批准了一条伪造的跨链消息，释放了116,500个无支持的rsETH。

展望未来，Aave表示抵押品评估将考虑桥梁、预言机依赖、托管人和操作安全，同时也会考虑其传统筛选的金融和智能合约风险。

KelpDAO是一个“再次质押”服务，让用户把已锁定在以太坊上的以太重新利用，以赚取质押奖励，并将其作为抵押品重用，以从其他协议中获得额外收益。代币rsETH代表用户对该再次质押以太的索赔。要在区块链之间移动rsETH，KelpDAO使用LayerZero，这是一种被称为跨链桥的基础设施，可以在网络之间传递消息，以便在一条链上发出的代币能够在另一条上显示。

桥接依赖一组独立的验证者，在接收链释放等值代币之前确认每条消息是否真实。

在四月份的攻击中，这些验证者中的一个批准了一条假消息，这使得攻击者在接收链上铸造了116,500个rsETH，而没有实际以太作为支持。

这些代币随后被存入Aave，这是一个借贷协议，用户可以以他们提交的抵押品进行借贷，并用于获取贷款，Aave无法在rsETH被揭露为无价值后回收。Aave自己的代码完全按设计工作。它接受的抵押品结果被证明是假的，因为交付它的桥接已被破坏。

虽然LayerZero本月早些时候承认它在处理价值较高的资产时 “犯了一个错误”，即允许自己的验证系统以“一对一”的配置来保护高价值资产，但Aave的事后分析进一步利用这一事件，证明了DeFi风险管理需要进行更广泛的改革。

该协议认为，传统评审专注于波动性、流动性和智能合约审计未能捕捉到桥接、验证网络和其他应用代码之外的基础设施所创造的风险。

除了智能合约审计和财务风险分析外，Aave表示现在将评估桥接基础设施、预言机依赖、第三方合约、托管安排、操作安全实践和二级市场流动性，然后再批准或扩展抵押品列表。

该协议还在构建新的自动化防御，旨在在抵押资产出现风险迹象时更快速响应。在事后分析中提出的建议之一是，当预定义的风险阈值被突破时，系统将自动将资产的贷款价值比降至零，在损失能够在更广泛市场传播之前，剥夺其借贷能力。

自攻击以来，Aave表示其风险管理人员已在V3市场上执行了大约295项参数更改，包括168项供应上限减少和66项借款上限减少，旨在限制对单一资产的敞口。

随着DeFi协议的相互关联，Aave的事后分析建议，行业可能需要不仅审查其上市的资产，还需要审查这些资产依赖的基础设施。