最终修复方案出炉，Aave坏账风波终于要结局了

作者|Azuma(@azuma_eth)

折腾了一个多星期的 Aave 坏账风波已基本迎来尾声。

随着 DeFi United 已募集到了足够解决问题的资金(截至发文已募集 132704 ETH,价值约 3.02 亿美元),Aave 官方也在 4 月 28 日中午发布了关于修复 rsETH 抵押状况并恢复市场正常运行的技术实施方案。

• Odaily注:前情提要可参阅《DeFi再次被盗2.92亿美元,这下连Aave都不安全了?》;《2.9亿窟窿下的三方博弈:Aave、L0、Kelp谁能买单?》;《Aave正因自己的愚蠢,拱手让出DeFi借贷的王座》。

背景回溯

关于 Kelp DAO 如何失窃 116500 rsETH 的细节已不用多提,重点在于被盗之后的赃款流向。

黑客得手之后,先是将这 116500 枚 rsETH 分散至多个地址。其中一部分被作为抵押存入以太坊主网上的 Aave V3 并借出 WETH,另一部分被桥接至 Arbitrum 并在该网络上的 Aave 抵押借出 WETH,其余少部分赃款则通过不同渠道转移。

目前,与黑客相关的 7 个地址在 Aave 和 Compound 上仍持有活跃的 rsETH 抵押头寸,约占最初被盗 116500 枚中的 107000 枚。

解决方案

为了实现修复目标,Aave 在拟设的实施方案中设置了两个目标。其一为恢复 rsETH 的抵押支撑;其二为清理 Aave、Compound 等借贷市场中的受影响头寸,以回收约 107000 枚 rsETH 的超额抵押资产,进而修复市场受损情况。

先来说说第一个目标 —— 恢复 rsETH 的抵押支撑。

目前的 rsETH 实质上是属于“资不抵债”状态,虽然底层质押中 ETH 仍然完好,但黑客已通过抵押借贷完成出逃,这部分缺口的存在就导致 rsETH 与 ETH 的兑换报价出现了“脱锚”。

因此 Aave 提到,为了恢复 rsETH 的抵押支撑,就需要将 rsETH 和 ETH 之间的兑换比例拉回到 1 :1.07。这将通过 DeFi United 推动实现,该组织现已获得足够的 ETH 承诺出资,以恢复系统的完整运作,但最终执行仍取决于治理批准、执行时间安排以及相关协议的签署。

若方案能够顺利推进,DeFi United 将通过向 rsETH 的桥接锁仓合约(RSETH_OFTAdapter 0x85d456b2...98ef3)存入 ETH 来完全恢复 rsETH 的抵押支持。具体流程如下:

• 分批将 DeFi United 的 ETH 转换为 rsETH;
• 将这些 rsETH 转入相关锁仓合约;
• 使桥接系统能够安全恢复并全面运行。
• LayerZero 和 Kelp DAO 方面会实施额外安全措施,以确保桥恢复后的安全性。

再来看第二个目标 —— 清理借贷市场中的受影响头寸。

rsETH 的抵押支撑恢复之后,理论上 Aave 的借贷市场便已不存在坏账(此时抵押价值已大于借出价值),但仍需将与黑客相关的几个异常抵押头寸清理(预计可回收 13000 ETH),以恢复市场的正常运行。

对此,Aave 表示将在以太坊与 Arbitrum 依次上发起治理提案,通过“受控的清算流程”来清理异常头寸。具体的解决流程为:

• 暂时调整 rsETH 预言机价格,以触发高效清算;
• 清算过程中会产生暂时性亏空(后续步骤将弥补该亏空);
• 回收的 rsETH 抵押品将转移至 DeFi United 管理的多签地址。

Aave 强调,上述参数调整仅为临时措施,仅用于恢复执行,所有调整将在完成后恢复,不会对 Aave 协议造成长期影响。 在解决问题期间,以太坊主网、Arbitrum、Base、Mantle 和 Linea 上的 WETH 与 rsETH 存款均将保持冻结状态。

完成清算后的理想状况为:rsETH 价格预言机将恢复; 回收的 rsETH 将通过 Kelp DAO 标准赎回流程兑换为 ETH;这些 ETH 将用于填补 Aave 在以太坊和 Arbitrum 市场中的亏空。

至于 Compound,也将采取类似的清理方式,在 DeFi United 提供流动性支持的情况下,预计可额外回收约 16776 ETH。

待两大目标都有效完成后,Aave 解除所有相关市场中的 rsETH 与 ETH 暂停和冻结状态,随后会恢复 ETH 及其他资产的贷款价值比(LTV)等参数配置。

待解问题

Aave 补充提到,尽管上述方案有望在不出现社会化损失的情况下实现修复目标,但仍存在以下几点不确定性。

一是尽管已获得足够 ETH 承诺,但资金部署仍依赖最终协议与治理批准; 二是受影响头寸的清理依赖治理提案顺利通过与执行; 三是攻击者若刻意干扰,可能导致亏空未完全形成,需要额外清算步骤; 四是LayerZero 与 Kelp 已部署额外安全措施,但在生产环境验证前仍存在残余风险;

但无论如何,已搅扰 DeFi 市场许久的“Kelp DAO 被盗,Aave 坏账”事件看起来终于是要有个尾声了,后续需要看的就是方案能否在实际环境下如预期般推进。

正如 The Rollup 创始人 Andy 的评论:“接下来几天对 DeFi 来说至关重要,任务艰巨,且必须既快速又稳妥地完成。这既是一次技术挑战,更是一场社会协同的考验。能实时见证这一切的发展,确实有种不真实的感觉。”

希望好运站在 DeFi 这一侧。