Aave 协议遭遇重大危机？Spark Protocol 异军突起：DeFi 借贷格局迎来转折点

一场由“信任捷径”引发的DeFi海啸：当跨链桥单点失效，谁在裸泳？

4月18日清晨，Kelp DAO跨链桥的验证节点被悄然触发。攻击者调用了一个本应受多重签名保护的函数，绕过了所有资产铸造的前置校验。结果呢？大约11.65万枚rsETH凭空生成。没有质押，没有验证，链上甚至找不到任何可追溯其来源的痕迹，唯一的变化，只是合约状态里多出了一串冰冷的余额数字。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

这些凭空而来的代币，旋即被分批转入Aa ve。其中，89,567枚被存入了以太坊主网市场。系统照常运转：抵押确认、LTV计算、WETH放款。一笔笔真实的WETH流向了外部地址，而支撑这笔巨额借贷的抵押品，却是零成本、零抵押、零保障的“空气”。

当链上分析师余烬在凌晨三点收到第一笔异常rsETH入金警报时，Aa ve上的WETH借款总额已经突破了2.3亿美元。讽刺的是，预言机价格平稳，清算引擎沉默，风险参数表上一切正常——原因很简单，那张表里，从来没人把“桥接层单点失效”写进去。

真正的恐慌，往往不是从官方公告开始的，而是从用户钱&包的余额开始的。4月19日上午，Aa ve的ETH存款凭证aETHWETH在Curve池中首次出现3.2%的折价；中午，Morpho的rsETH市场利用率跳升至惊人的99.4%，用户开始批量撤出稳定币；到了下午，Solana上JupLend的用户发现，自己刚借出的USDC正被跨链桥悄悄抽走流动性——这并非因为新的攻击，而是因为有人在同一秒点击了“全部赎回”。

资金像退潮一样离开Aa ve。这不是缓慢流出，而是整片滩涂瞬间裸露。截至4月23日上午，其总锁仓价值从458亿美元断崖式跌至296亿美元。五天，162亿美元蒸发。这已经不是市场波动，而是结构性的坍塌。

然而，潮水退去时，有些礁石反而浮得更高。Spark协议的TVL曲线在4月19日午后陡然上扬，一条近乎垂直的绿线刺穿了图表——从19亿到34亿，中间几乎没有缓冲，只有连续不断的链上转账记录：孙宇晨的钱&包向Spark存入12,000枚ETH；某匿名地址将3.2亿USDT从币安提至Spark Sa vings；另一笔8700万美元的稳定币在短短17分钟内完成了跨链与存入。

1. Aa ve的LTV不是数字，是信任的刻度

rsETH在Aa ve的贷款价值比被设定在93%-95%，这个看似精确的数字背后，其实站立着三重假设：它与ETH的价格联动足够紧密，二级市场深度足够厚实，桥接层的安全足够牢靠。前两个假设被反复回测，而第三个，却从未被放进压力测试的场景里。

早在4月9日，LlamaRisk提交提案上调rsETH供应上限时，链上数据显示该资产在Aa ve的利用率已达99.87%。提案附件里写着“流动性健康”，却只字未提一个关键事实：LayerZero V2的DVN配置，仍是Kelp默认的单节点模式。而那个节点的私钥，当时正躺在Kelp工程师的本地开发环境里，尚未轮换。

攻击发生后两小时，Aa ve暂停了WETH提款。aETHWETH开始折价，套利者闻风而动：有人从Coinbase提出13,000枚ETH，兑换成折价的aETHWETH，再用它偿还等额的WETH借款，最后净赚143枚ETH——整个过程在链上留下7笔交易，耗时仅4分23秒。

USDC池在同一时间濒临枯竭。利用率卡在99.87%不动，每笔存款都让利率跳升0.3%，每笔提款都触发滑点警报。Circle经济学家Gordon Liao的治理提案标题很短：“救liquidity buffer”。他没写“救rsETH”，因为那时所有人都已明白——问题不在抵押品本身，而在它抵达协议的路上，缺了一道最关键的安全门。

Arbitrum安全委员会最终冻结了30,766枚ETH，但这些资产并非直接来自攻击地址，而是从三个二级中转合约里追踪锁定的。这些地址在攻击后11分钟内完成了27次跨链转移，路径覆盖Mantle、Base、Linea，最终在Arbitrum上聚合。冻结的目的不是为了追回全部损失，而是为了让坏账计算有个锚点。否则，损失会像雾气一样弥漫在每条链的WETH储备里，谁也说不清哪一滴该由谁来承担。

Umbrella安全储备的8000万美元仍在合约里，但Aa ve团队选择让它保持静默。自动清算机制被暂停，不是因为钱不够，而是因为没人能确定，清算的对象究竟该是rsETH持有者、Kelp DAO还是LayerZero的验证器运营商。当风险无法被精准切片时，最理性的动作，往往就是按下暂停键。

2. Spark没有躲过风暴，只是提前关上了窗

时间拉回到2026年1月，当Aa ve将rsETH接入E-Mode并开放95%的LTV时，Spark正在做相反的事：下架rsETH、收紧ETH借款利率上限、将新抵押品的初始LTV锁定在70%。当时社区质疑声浪很大，有人发推称“Spark正在把杠杆用户赶向Aa ve”，也有人在Discord里抱怨“我的循环策略崩了”。团队没有公开回应，只是默默更新了风控仪表盘——新增了“桥接依赖度评分”和“跨链验证器冗余系数”两项实时指标。

4月18日晚间，Spark监控系统弹出三级警报：Kelp桥接合约异常调用、LayerZero V2 DVN状态离线、rsETH在多个DEX的滑点突破阈值。当monetsupply.eth在推特发出第一条提示时，SparkLend所有市场的rsETH已不可存入；23分钟后，全链WETH提款限额被动态下调至5000美元；30分钟整，跨链流动性应急通道启动，Sky协议的数十亿美元备用池开始注入Spark Sa vings。

这一切并非运气。在Spark的风控模型里，rsETH从来不被视为“低波动抵押品”，而是被归类为“桥接增强型ETH衍生品”。它的LTV不由简单的价格相关性决定，而是由DVN数量、签名延迟、重放防护等级共同加权计算得出。即便未被下架，其初始LTV也只有68%，且每日供应增量被严格限制在2000枚以内。这意味着，攻击者若想复现相同规模的无抵押铸造，需要连续攻击58天，而每一次，都会触发系统的熔断机制。

SPK代币价格在4月20日凌晨飙升，这背后不是投机炒作，而是链上真实发生的故事：Spark Sa vings的USDT流动性池始终维持在4.2亿美元以上，从未跌破警戒线；同一时段，Aa ve的USDC池深度只剩1700万美元；而Morpho的rsETH市场已完全停止报价。用户在用钱&包投票——他们将资金移向那个提款按钮依然亮着的地方。

F2Pool联合创始人王纯卖出SPK换得663枚ETH后，在CoWSwap上又悄悄买回了一小部分。他在私聊中对ChainCatcher坦言：“卖的时候看的是收益，买回来的时候看的是提款按钮是不是还亮着。”

图片来源：Defillama

SPK价格在24小时内冲高95%，这背后也不是叙事驱动，而是硬核的链上数据：Spark Sa vings的USDT存款地址在12小时内接收了2.1亿次ERC-20转账，平均每秒4800笔；而同期Aa ve的aETHWETH合约仅处理了173笔赎回请求，其中161笔因流动性不足而失败。

图片来源：RootData

DefiLlama创始人0xngmi在Discord里写道：“Spark的TVL增长不是胜利，是幸存者的余震。当Aa ve的WETH储备冻结时，整个DeFi的流动性基座都在晃动——Spark只是晃得轻一点的那个。”

3. 责任不在代码里，而在白皮书第17页的脚注

翻开Kelp DAO的技术文档，第17页写着：“rsETH可通过LayerZero V2桥接至任意支持链，推荐配置为3/5多DVN模式。”而他们在生产环境实际部署的，却是1/1模式。LayerZero的安全指南第3章明确标注：“单一DVN配置仅适用于测试网及低价值资产桥接。”而Kelp将其用于承载超20亿美元的再质押资产。

这本质上不是技术漏洞，而是一个经过权衡的选择。当Kelp选择用1/1的配置换取更快的跨链确认速度时，它实际上就把rsETH的安全性从“密码学保证”降级为了“运营信任”。而Aa ve在将rsETH纳入E-Mode时，并未要求查看Kelp的DVN部署快照，也没有将“桥接层冗余度”设为抵押品准入的硬性条件——它的风险模型里，只有价格、流动性、历史波动率，唯独缺少了“谁在签名”、“签几次”、“密钥储存在哪里”这些更底层的问题。

Polymarket上，“Kelp分担损失”的反赌跌至12%，这并非因为市场相信Kelp无辜，而是因为大家看清了一个残酷现实：Kelp的偿付能力取决于未来的质押用金收入，而Aa ve的偿付能力取决于下一秒有没有新的大额存款进来。两者其实都在赌同一个东西——用户是否还愿意继续相信。

@DeFi_Dad在推文中贴出一张图：Bybit钱&包近七日向Aa ve存入4.2亿USDC，但未参与任何治理投票。他提出了一个尖锐的问题：“如果CEX已经成为DeFi的基础设施提供者，它是否该为基础设施的故障兜底？”

与此同时，@anndylian提出的债务凭证方案正在Aa ve社区被快速传播。这个方案不解决“谁该赔钱”的根本问题，但它巧妙地把“立即崩盘”转化为了“分期履约”——让Kelp用未来三年的rsETH质押用金，购买一份可转让的债务凭证，持有者可在指定时间按比例赎回WETH。这不会让损失消失，但会让它变得可预期、可交易、可对冲。

Kelp DAO的最新公告里有一句被很多人忽略的话：“我们正与Aa ve DAO共同审计rsETH桥接层的所有历史签名事件。”这不仅仅是在事件后的找补，更是在为未来建立档案——为下一次类似事件，留下第一份可追溯的责任链路图。因为所有人都逐渐意识到，当跨链桥、LRT、借贷协议、CEX流动性池深度捆绑时，真正的风险已不是某个合约存在bug，而是没人知道该去哪行代码里寻找那个致命的bug。

或许，这就是为什么Spark团队在采访最后会说出这样一句话：“我们不做‘永不宕机’的承诺，只做‘宕机时你还能提款’的设计。”