rsETH事件对Aave的影响

披露

关于 Chaos Labs 的角色披露。Chaos Labs 与 Aave DAO 的运营风险合作关系已于 4 月 6 日结束，并已公开宣布。随后，Risk steward keys 立即轮换给了 Aave Labs 和 LlamaRisk，risk oracles 也已关闭。

此后，Chaos Labs 对 Aave 已不再拥有任何运营权限，也不再被授权代表协议行事。我们仍可根据 DAO 的请求提供建议，并继续监控受影响场所的情况。

概述

4 月 18 日的 rsETH 事件仍在发展中，但公开记录已经足够，可以有助于讨论发生了什么、为什么 Aave 的所有权模型对存款人和行业如何看待风险很重要，以及当前在利率和市场方面正在处理什么。本文阐述了我们的理解。

本文基于公开信息、我们自己的链上观察，以及我们与当前 stewards 分享的观点。

Aave 上的不良债务将在哪里实现？

公开讨论中已经出现了两条路径。一条是将损失隔离给 L2 持有人，让 mainnet rsETH 保持完全抵押。另一条是将损失统一分摊到整个供应中，不论所在链。Aave 上这两种结果之间的差距很大，因此都值得讨论。

将损失隔离到 L2

从结构上看，Kelp 将在其 token 内部建立优先级：Mainnet 作为 senior tranche，L2 作为 junior tranche。

在这一分配框架下，Aave 将面临约 2.3 亿美元的不良债务，受影响的主要是集中在 L2 部署上的存款人。这一假设的前提是，从 mainnet 通过桥接到 Arbitrum 的 rsETH 将由 Kelp 支持赎回。

统一分摊损失

也存在另一种框架，即损失被统一分摊，Aave 将产生约 1.25 亿美元的不良债务，其中 9200 万美元来自 mainnet 部署。

这个决定由 Kelp 做出，截至撰写时，尚未确认任何决定。

关于 Aave 的利率

自市场冻结以来，我们已将观点与当前 stewards 进行了分享，包括：

• 暂停 reserves
• 降低受影响 WETH 市场的借贷利率压力，可能有助于降低非 Kelp 抵押债务上自我强化式去杠杆的风险。

在 4 月 19 日和 20 日，LlamaRisk 通过手动 Risk Steward 在多个 L2 上调整了 WETH 利率模型，降低了 slope2，并显著下调了这些部署上的最高借款利率。虽然我们也建议暂停 reserve，但进一步的参数决策最终仍由当前 stewards，即 Aave Labs 和 LlamaRisk 负责。

我们承认，在这种情况下并不存在完美解决方案，因为降低利率会伤害那些在 Aave 上提供流动性的 lenders，而从理论上讲，他们本应因承担这种风险而获得回报，尤其是在其资产以折价交易时。这样做也会降低 borrowers 的压力，否则他们可能更有动力把资本返还到平台。

然而，在过去 72 小时内，大约 100 亿美元的资本正从 Aave 撤出，我们正处于显著的存款人外流之中。

此外，更高的利率只有在 borrowers 能够实质性响应时才有效：如果他们被锁定，或者已经最大程度循环杠杆且无法获得流动性来去杠杆，更高的利率只会有可能成为不良债务增长的倍增器。高利率维持的时间越长，系统就越接近级联清算动态及其相关风险。

DAO 服务提供者贡献的支柱

Aave 的工作历史上被拆分给多个贡献者团队，每个团队都有明确的职责范围。理解每个团队覆盖了什么、没有覆盖什么，有助于解释协议中的风险如何被管理，以及责任如何在团队之间分配。

BGD Labs 负责 Aave 的协议技术风险：智能合约本身、访问控制、执行环境、升级路径，以及 Aave V3 codebase。BGD 在多年中以极高的水准处理了这些工作，其严谨性和响应速度为整个行业的技术贡献者树立了标准。Aave 协议合约在此次事件中没有被攻破。BGD 此后已退出 DAO。

ACI 负责增长、治理协调和 DAO 运营：提案撰写、协调，以及激励计划。ACI 此后已退出 DAO。

Chaos Labs 负责经济和市场风险。其范围是对已上线资产进行定量建模：抵押品行为、流动性、清算动态、定价完整性，以及压力下的参数优化。对于 rsETH，这意味着对历史波动率、市场深度、赎回行为和 oracle 配置的分析。所有内容都完整地发布在 Aave governance forum 上。Chaos Labs 与 DAO 的运营合作关系已于 4 月 6 日结束。

TokenLogic 也支持增长、治理协调和 DAO 运营，并继续为 DAO 提供服务。

LlamaRisk 负责定性风险评估：对已上线资产的结构审查、发行方文档以及抵押品风险分析。他们的职责范围随着时间推移有所扩大，在 Chaos Labs 离开后，他们现在也覆盖定量风险。LlamaRisk 在该资产于 2024 年 11 月上线时撰写了最初的 rsETH 抵押品风险评估，并且仍然是 DAO 中活跃的风险提供方。

这些 verticals 是互补的，而不是重复的。每个团队覆盖不同的风险面、不同的失效模式，并由不同团队分别负责。使用 Aave 的存款人可以公开知道哪个团队对哪个 surface 负责，而支撑每个决定的分析都完整地公布在 governance forum 上。

Aave 上的 listing 和参数决定会经过多方审查流程和治理投票。Service providers 在各自职责范围内提出建议，而 DAO voters 进行决策。按设计，没有任何单一 service provider 拥有单方面批准或拒绝资产 listing 的权力。

DeFi 整体应如何在 listing 时评估资产发行方基础设施，即 bridge 架构、跨链消息配置以及发行方侧的 key management，这个问题在此次事件中被清晰地凸显出来。未来几周，这一讨论将在 Aave 和所有其他主要场所展开，而我们关于经验教训和收获的更广泛文章也将另行发布。

这与 curator model 形成鲜明对比，在该模式下，由一方选择资产、设定参数，并端到端控制整个 surface。这是另一种风险形态，用户应当知道自己选择进入的是哪一种形态。

关于 Kelp 的 rsETH 上线与冲突性合作

为明确起见，以免产生歧义：

Chaos Labs 从未与 Kelp DAO 有任何商业、顾问或咨询关系。

我们对 rsETH 的参与仅限于作为 Aave DAO 的风险服务提供者，在治理框架下公开开展工作。我们为 rsETH 提出的每一项参数建议都在 Aave governance forum 上，连同分析和理由一起发布。

我们最近一次在 Aave 上针对 rsETH 的参数工作是在 2026 年 1 月，当时我们验证了 ACI 提出的 E-Mode LTV 调整。那项工作处理的是底层资产的市场和流动性风险，这属于我们的合作范围。它并未评估 Kelp 跨链 bridge 的安全态势。Bridge 安全是资产发行方及其基础设施提供方所负责的基础设施风险。该层发生故障的后果会传播到所有集成了该资产的协议，这是一种 composability 的结构性特征，而不是范围定义问题。更广泛的问题是：鉴于下游协议会承接这些后果，DeFi 整体如何在 listing 阶段评估发行方侧风险。

关于 Aave 和 DeFi 一般意义上的 Looping

过去一周的一些观点认为，Aave 上的 looping 应该被限制或节流。风险总是放在回报的语境中看待，因此我将用数据来说明这一点。

Looping 策略历史上一直占 Aave 策略的重要份额，正如 ACI Transparency Report 所述，它占 Aave 2025 protocol revenue 的 40% 和 TVL 的 35%。Looping 是 Aave 的核心特征之一，也是 DeFi lending 整体上定义性的 product-market fit 之一。DeFi 让愿意承担风险的 lenders 和 borrowers 能够利用链上原语，在基础收益之上构建 carry，而中心化场所从结构上无法复制这一点。把它视为 Aave 可以轻易摆脱且不会产生实质后果的策略，是对 Aave 迄今业务的误解。

对 looping 的需求也在上升，而不是下降，原因与 Aave 无关。链上收益已压缩到接近短期限国债所能提供的无风险利率。选择将资本留在链上的用户，是以一个更难被超越的基准为参照，而 looping 是目前少数仍能生成足以证明链上风险暴露合理性的价差的方式之一。在这样的环境下，限制 looping 不是中性的安全措施。它是一个关于协议愿意在一个已经对 DeFi 不利的收益环境中保持多强竞争力的决定。

更广泛的一点，不仅适用于 Aave 和此次事件，也适用于更广范围：风险与回报必须一起审视。Service providers 在各自职责范围内提出建议。Listings 和参数决定通过 TEMP CHECK、ARFC 以及链上执行推进，由 DAO voters 作为最终权威。最难的治理问题很少是单一资产上的单一参数，而是 DAO 如何化解风险姿态与 business development / growth 之间的张力，而每一个主要 DeFi 场所都存在这种张力。

Pooled 与 Isolated 架构及其权衡

过去几天里，很多观点认为，今天发生的事情证明 pooled model 已经失效，或者 isolated markets 在结构上对用户更安全。它们本质上不同，因此这并不是一个同类比较。

存款人可能面临两类风险。

第一类是流动性风险。你的仓位从结构上是正常的，但因为市场达到 100% utilization，你在想要取出资金时无法访问它们。这会带来糟糕的 UX，尤其是对那些并不深谙加密的用户来说，而且在当下会让人感到害怕。但它是暂时的，principal 仍然完好。

第二类是 principal risk。你的存款会被削减。这个损失是永久性的。没有哪种模型能够同时消除这两种风险。它们只是以不同方式分配风险。pooled model 提供更高的流动性、更高的 capital efficiency，以及获得超额收益的更大可能性。作为交换，你的安全程度只和篮子里最危险的资产一样高。isolated market 则能更清晰地将不良债务限制在出问题的那个特定 market 内。作为交换，你通常会获得更低的流动性和收益。

我们本周所关注的，是 pooled 和 isolated 模型之间的权衡被真实展现出来了。这并不意味着该模型“错误”；然而，它确实让这种 tradeoff 变得真实。用户应当了解自己存入的到底是什么，而不只是 headline APY，因为首页上的那个数字是按某种 risk profile 定价的，而这种 profile 并非处处相同。

我们之前曾在这里写过这件事。

Composability - 一把双刃剑？

普遍认为，我们今天所看到的是 DeFi 最佳特性之一——composability——所固有的权衡。

我想说的是，在某种程度上，你可以兼得两者。

每个资产发行方都应该运行一个 proof-of-reserves oracle，无论你使用哪家 provider。这并不昂贵。它只需要发行方侧一点透明度和一点集成工作。proof of reserves oracle 通过确保 minted supply 始终等于 backing deposits，且 mint 和 burn 不会漂移，从而正好防止这类事件。每条 bridge 和每个 DeFi protocol 都可以实现 sanity checks 和 circuit breakers。应用程序可以连接这些 proof-of-reserve oracles，或者采用动态 risk-oracle switches：当某个阈值被突破时限制存款、将大额提现排队等待流动性审查，或在上游信号失效时完全暂停。存在许多变体，也有更多种类的检查和保障可以在智能合约层面、在栈的每一层实现。我不会把这变成一个解决方案目录。重点在于，行业并不必接受这种结果。Composability 并不强迫你接受 silent insolvency 在各协议之间传播。你只需要负责任地使用 composability。

关于近期 Exploits

用于获得访问权限的方法变得更加复杂，但在 access control 被突破之后的权限提升并没有变。Bridge compromise 和 infinite mint attacks 多年来一直在发生。它们在各生态和协议之间造成的 contagion 也并不新鲜。变化的是 attack surface，而不是 playbook。

关于恢复

我们希望用户资金能够得到尽可能充分的恢复。关于对行业的经验教训和收获的更广泛文章将另行发布，其中包括此类 infrastructure-layer failures 的责任归属，以及为什么这对 DeFi 未来的构建方式很重要。

• 原文链接： x.com/omeragoldberg/stat...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～