文章作者、来源：ChainCatcher

4 月 18 日，攻击者利用 Kelp DAO 跨链桥的验证节点漏洞，凭空释放了约 2.92 亿美元的无抵押 rsETH，随即存入 Aave 借出真实 WETH。

这批无抵押的 rsETH 被当作合规抵押品接受，借出的真实 WETH 却无法被等价覆盖，导致 Aave 面临最高 2.301 亿美元的坏账敞口。

据链上分析师余烬监测，截至4月23日上午，Aave TVL 已跌破 300 亿美元，从事件前的 458 亿美元降至 296 亿美元，流出金额达 162 亿美元，跌幅超过 40%。

恐慌蔓延的范围远不止于此。Morpho、Sky、JupLend 等未直接涉及 rsETH 的协议同样出现大规模流出，连 Solana 上的协议也未能幸免。

不过，这场危机也制造了一个意外的赢家。部分从 Aave 出逃的资金直接流向了 Spark，SPK 代币近 7 天涨幅超过 150%。

1. Aave 首当其冲

Aave 为何成了这次事件的最大承压方，要从它的结构说起。

rsETH 作为 Kelp DAO 的流动性再质押代币（Liquid Restaking Token），其价格走势与 ETH 高度相关，被 Aave 风险模型归类为低波动率、高流动性的优质抵押品。

在 E-Mode（效率模式）下，它享有高达 93%-95% 的贷款价值比（LTV），允许用户以极高的杠杆循环借贷 WETH。

这一参数设定，本质上定价的是 rsETH 与 ETH 的强价格相关性，以及其在二级市场的流动性表现，却忽略了rsETH 对跨链桥接合约（LayerZero V2）的深度依赖。

结果，当攻击者在 4 月 18 日利用 Kelp 配置的单一 DVN 漏洞，凭空铸造约 11.65 万枚无抵押 rsETH（价值约 2.92 亿美元），并将其中的大部分（约 89,567 枚）存入 Aave 借出真实 WETH 时，协议虽按设计正常运行，清算机制和预言机均未触发异常，却直接暴露在数亿美元的坏账敞口之下。

更具讽刺意味的是，就在事件爆发前 9 天（4 月 9 日），新上任的风险服务提供商 LlamaRisk 以“市场需求强劲、链上流动性充足、用户杠杆行为健康”为由，提交 Risk Stewards 提案，将以太坊主网 rsETH 的供应上限从 480,000 枚 上调至 530,000 枚。

此时 rsETH 在 Aave 的供应利用率已接近 99.9%，杠杆再质押策略正如火如荼，却无人对桥接底层的安全假设进行重新审视。

攻击发生后，Aave 迅速暂停 WETH 提款，导致存款凭证 aETHWETH 出现明显折价。链上追踪显示，因 Aave 暂停 WETH 提款，存款凭证 aETHWETH 出现折价，有鲸鱼从交易所提出 13,000 枚 ETH，通过 Swap 买入 aETHWETH 再 1:1 偿还借款，净赚 143 枚 ETH。

传染效应迅速蔓延至稳定币池。Circle 首席经济学家 Gordon Liao 发起紧急治理提案，建议将 Aave V3 以太坊主网 USDC 的最高存款利率上调至约 48.2%，以应对 USDC 池连续多日利用率超过 99.87%、流动性近乎瘫痪的局面。

目前这场风波仍在发酵。Aave 此前提出了两种损失处理路径：一是由全体 rsETH 持有者共同承担约 15% 的折价，坏账规模约 1.237 亿美元；二是将损失隔离至 L2，以太坊主网不受影响，但 Mantle 将面临 71.45% 的 WETH 缺口，Arbitrum 面临 26.67% 的缺口，坏账规模扩大至约 2.301 亿美元。

4 月 21 日，Arbitrum 安全委员会宣布紧急冻结与攻击相关地址持有的 30,766 枚 ETH（约 7100 万美元），并转移至治理控制的中间钱包。

Aave 创始人 Stani Kulechov 表示，团队正与多个合作伙伴推进多项恢复方案，以实现有序回归正常市场条件并保护用户利益。Arbitrum Security Council 已追回价值 7,000 万美元的 ETH，此举可显著降低潜在风险敞口。

DefiLlama 创始人 0xngmi 进一步指出，若冻结资金优先用于 Arbitrum 本地 Aave 市场，在 rsETH 共担减值情况下，该链上的坏账有望减少 80% 甚至接近清零。

尽管如此，Aave 的 Umbrella 安全储备（约 8000 万至 1 亿美元）面对最高 2.301 亿美元的潜在缺口仍显不足。协议已建议暂停 Umbrella 模块，避免自动 slashing 过快触发，转由治理手动处理。

截至目前，以太坊 Core V3 市场的 WETH 储备已部分解除冻结，但 LTV 仍维持为 0；Prime、Arbitrum、Base、Mantle 及 Linea 等链的 WETH 储备仍处于冻结或受限状态。

2. 为什么Spark避免了这场损失？

Spark 在此次 Kelp DAO rsETH 桥接攻击中实现零直接损失，原因可以追溯到 2026 年 1 月。在 Aave 将 rsETH 纳入 E-Mode（效率模式）并开放高杠杆借贷的同一时间窗口，Spark 选择下架 rsETH 等使用率偏低的资产，同时全面收紧抵押品准入标准。

事件发生后，Spark 战略主管 monetsupply.eth 发文解释了当时的逻辑，Spark 长期对 ETH 借贷市场设定较高的最高利率上限，在过去一年主动将部分业务和收入让渡给 Aave（后者曾将 ETH 借款利率压低至 10% 以下，以吸引杠杆用户）。

这一选择当时引发 ETH 循环杠杆策略用户的强烈不满，部分资金选择流出 Spark。但事实证明，下架 rsETH 是极为审慎的举措——SparkLend 的 ETH 提款流动性始终保持充足，而 Aave 的相关市场已陷入高利用率锁仓状态。

monetsupply.eth 同时也警告，ETH 作为核心抵押品，流动性不足绝非单纯的用户不便，更是一个系统性安全风险。

他指出，在 Aave 当前环境下，ETH 市场约 16.5% 的供应由 rsETH 支撑，若 rsETH 相关贷款在主网和 L2 上发生损失均摊，E-Mode 可能面临 10%-15% 的削减。这将促使 ETH 供应者加速退出，导致利用率被锁定在 100%，借贷利率无法有效激励无关 LST 循环偿还以释放流动性。

因此，若 ETH 价格再下跌 15%-20%，Aave 可能面临显著坏账积累。对 Spark 而言，此次零损失同样建立在市场未继续下行的前提之上。

Spark Protocol 团队在接受 ChainCatcher 采访时表示，让 Spark 躲过冲击的并非单一的下架动作，而是整套更保守的风险参数体系。他们指出，Spark 在 onboarding rsETH 时采用了保守的 LTV 和严格的供应上限（rate-limited supply caps），即使未下架，潜在损失也会非常有限且易于恢复。“任何抵押品上线都意味着承担一定程度的风险，假设永远不会出现损失是不现实的。在 SparkLend，我们预期这类事件偶尔会发生，并确保协议对这些场景具备韧性。”

Spark Protocol 团队还透露，Spark 团队配备了包括 AI 检测和自定义监控软件在内的多套预警工具。得知潜在攻击后，他们在 30 分钟内完成对所有直接和间接敞口的排查，并启动全市场退出预案。

对于事故发生后大量资金流入的问题，他们表示，Spark 可随时从 Sky 借入数十亿美元应对任何流动性需求，这类高集中度流入更多是对 Spark Savings 安全性的认可。在整个危机期间，Spark Savings USDT 是唯一全程保持充裕流动性的场所， USDT 的流动性从未低于 4 亿美元。

没有人预料到，这场 Aave 坏账风波最大的短期受益方竟是 Spark。资金从 Aave 大规模出逃后，部分直接流入 Spark。最新 DefiLlama 数据显示，其 TVL 已从事件前的约 19 亿美元快速升至 33-35 亿美元 级别（增长超过 80%），部分归因于孙宇晨等大户的持续注入。

图片来源：Defillama

与此同时，SPK 代币价格出现强劲反弹：截至发稿，SPK 过去 24 小时涨幅一度超过 95%，近 7 天涨幅超过 180%。F2Pool 联合创始人王纯发文感慨，他在过去一年从 Spark 收到 8370 万枚 SPK 奖励，并在 CoWSwap 上全部卖出，换得 663 枚 ETH 和 140 万美元，如今“有点后悔”。

图片来源：RootData

不过，正如 DefiLlama 创始人 0xngmi 所言，这类事件里没有真正的赢家。

Spark 的 TVL 增长，本质上是 DeFi 存量资金在协议之间的重新分配，而非新增资本入场。整个行业的“蛋糕”在短期内缩小，没有人能置身事外。

3. 谁该为这件事负责？

这次攻击的入口在 Kelp DAO 的跨链桥，在 LayerZero 的单一验证节点配置。借贷协议的智能合约没有任何问题，但损失最终落在了借贷协议和它的用户身上。

加密研究员 CM 指出了一个长期被忽视的区分：跨链桥版本的资产和原生资产本质上是两种不同的东西，正如 bridged USDC 并不等同于真正的 USDC，rsETH 的价格可以与 ETH 高度相关，但其安全性却高度依赖桥接合约的可靠性。

这是两件完全不同的事，正如前文所说，Aave 的风险模型精准定价了价格相关性与流动性，却系统性忽略了桥接基础设施风险。

问题还不止于此。Aave 覆盖了 22 条链，每条链有不同的桥接配置、不同的预言机来源、不同的清算路径。这个复杂度已经很难靠人工治理实时监控。当多条链同时出现问题，协议唯一能做的就是冻结市场，因为根本没有提前设计好的机制来决定损失该怎么分。

在责任归属上，Kelp DAO 与 LayerZero 陷入公开的相互指责：Kelp 强调 LayerZero 的默认配置存在隐患，且许多协议都在使用类似设置；LayerZero 则指出 Kelp 选择了低安全性的单一验证器配置，尽管其曾推荐多 DVN 方案。

双方至今未达成明确的责任划分或补偿框架，Polymarket 最新数据显示，市场押注“Kelp 将分担损失”的概率已从事件初期的 50% 进一步降至约 12%。

围绕损失分配，社区里也出现了第三种声音。

资深 DeFi 玩家 @DeFi_Dad 在讨论中提问，为什么两种方案都是让用户承担损失，而不能有一个"白衣骑士"介入，通过债务偿还计划填补缺口？他点名 Bybit、Coinbase、Binance，认为这对 CEX 来说是一个展示存在感的机会。

加密投资人 @anndylian 则提出了一个更具体的方案：Kelp DAO 向 Aave 发行"债务凭证"，承诺用未来的质押佣金收入逐步回购销毁无抵押的 rsETH，把一次性的硬脱锚变成分期偿债，避免 Kelp 代币价格因立即兑付而崩盘。

对于责任边界，业内共识倾向于：Kelp DAO 作为 rsETH 发行方，承保了 LayerZero 官方桥接的配置选择，因此 rsETH 相关损失应主要由全体 rsETH 持有者社会化承担；而 Aave 上产生的坏账，则应由 Aave DAO 为其风险管理决策（包括 rsETH 的 LTV、供应上限和 E-Mode 设置）负责。

说到底，Kelp 和 LayerZero 相互甩锅，点出了 DeFi 当前的一个痛点：在跨链、LRT 和借贷协议深度交织的复杂系统里，一旦出事，没有人说得清楚责任该由谁来扛，最后买单的往往是借贷协议和它的用户。

尽管 Kelp DAO 在最新动态中释放出“用户优先”和积极协商的信号，但事件最终如何收尾，仍高度依赖 Kelp 对剩余背书资产的处置方案以及各方治理投票。

这也印证了一点，在责任边界缺乏行业共识的情况下，借贷协议必须主动将桥接风险等外部依赖内化到自身风控体系中，而非寄望于事后的责任追溯或外部兜底。