4 月 18 日,Kelp DAO 的跨链桥遭遇攻击,攻击者铸造了 11.65 万枚没有真实资产背书的 rsETH,随即存入 Aave 并借出 WETH。Aave Guardian 在数小时内启动紧急冻结。据 Lookonchain 链上估算,Aave V3 和 V4 面临的潜在坏账约为 1.95 亿美元。
反观 MakerDAO(Sky)生态下的借贷协议 SparkLend,没有损失。
这不是因为 Spark 的团队比 Aave 更聪明,也不是因为他们提前看出了这条跨链桥的漏洞。Spark 退出 rsETH 的理由,写在 3 个月前的治理论坛帖子里,和桥合约的安全性没有任何关系。
2026 年 1 月 29 日是本文的核心日期。这一天,Spark 执行了一个名为 Spell 的治理操作,停止了 rsETH 新供应的接入。同一天,Aave 的 rsETH E-Mode 正式上线,允许用户以 rsETH 为抵押品借出 WETH,最高抵押率(LTV)达到 93%。
一个退出,一个扩张,都在同一天。
Spark 的退出决定,起点是 2026 年 1 月 16 日 PhoenixLabs(Spark 的生态执行机构)提交的一份治理帖。退出理由直白,rsETH 使用率低,几乎所有使用量来自同一个钱包(链上地址 0xb99a),而这个钱包的持有者已经表示愿意使用 wstETH 或 weETH 等替代抵押品。治理帖原文这样写,「退出 rsETH 可以改善 SparkLend 的安全边际,提升风险调整后收益。」这是一次周期性资产清理,同批退出的还有 tBTC、ezETH 和 Gnosis Chain 整个市场,统一理由是「低使用率」。
Aave 的扩张决定,起点更早,来自 2025 年 11 月 17 日 ACI(Aave Chan Initiative,由 Marc Zeller 领导的治理提案机构)发起的提案。提案动机清晰:「恢复 WETH 利用率,预期吸引 10 亿美元 rsETH 流入。」Chaos Labs 在 1 月完成了风险参数确认,确定 E-Mode LTV 93%、清算阈值 95%。参与决策的主体包括 ACI、Chaos Labs、LlamaRisk 和 Aave 社区投票方。这是多方推动的扩张决策,而非某一个机构的失误。
三个月后,市场给出了结果。
Aave 目前的 Umbrella 保险机制中,可用资金约为 5,000 万美元,覆盖这次约 1.95 亿美元的潜在坏账仅有 25%。损失吸收顺序是:aWETH 质押者首先承担,然后是 WETH 存款人按比例分摊,再往后是 stkAAVE 和 DAO 国库。Aave TVL 从 264 亿美元跌至 198 亿美元,其中包含恐慌性提款。USDT 市场利用率在数小时内达到 100%,新增借贷规模约 3 亿美元。
Spark 在 SparkLend 的 rsETH 市场,当前冻结残值为 3.73 万美元,即 15.32 枚 rsETH。0xb99a 这个钱包,在 1 月 29 日禁止新供应后几乎已经全部迁出至 wstETH 和 weETH,与治理帖的预测完全吻合。
Spark 联合创始人 Sam MacPherson(@hexonaut)在 4 月 19 日提醒了一点:声称对 rsETH 没有风险敞口的协议,不等于真的没有风险敞口,如果用户在受影响的借贷市场中存有抵押品,间接暴露仍然存在。Spark 没有直接损失,但间接风险尚在评估中。
两个协议在同一天做出了方向相反的决定,不是说 Spark 和 Aave 谁做了正确的决策,两套体系的问题起点完全不同。
Spark 的风控逻辑,触发器是「边际成本是否超过边际收益」,使用率低于阈值、单一用户集中度超标、风险调整后收益不达标,任何一项命中,该资产就进入退出候选清单。这是一套主动的、以效率为导向的收紧机制,跟这个资产本身有没有安全风险无关。
Aave 的逻辑触发器是「市场增长机会」。WETH 利用率偏低,rsETH 市场体量够大,E-Mode 可以吸引增量资金。从这个入口出发,参数的方向是扩张,LTV 93%、供应上限宽松、多个治理主体共同推进。
这两个协议在回答完全不同的问题,「这个资产值不值得继续持有」还是「这个资产能带来多少增量」。这两套问法,在风险事件触发前,都是合理的商业逻辑,触发后,裁判才出现。
Spark 的安全结果,还有另一层支撑。
Sam MacPherson 在 4 月 19 日宣布「退出 rsETH」的 X 帖子里提到:「SparkLend 设有受速率限制的存入与借出上限。其预言机机制亦采用三方中位数。」这句话指向了 Spark 风控体系的另外两道防线。
一个是运行期间的物理约束。Rate-Limited Supply Cap 限制单位时间内的最大供应量,Borrow Cap 限制最大借贷规模。这两项设计的含义是,即使 Spark 当时没有退出 rsETH,攻击者也无法像在 Aave 那样一次性存入 2.92 亿美元的 rsETH,损失规模会被硬性封顶压缩。
另一个防线在价格信息层,3 方中位数预言机,取 Chronicle、Chainlink、RedStone 三个独立价格源的中位数,极端情况下降级到 Uniswap TWAP 兜底。单一价格源被操控,不影响清算触发。相比之下,Aave 在此次事件中面临过预言机价格滞后导致的暴露窗口,这是一个设计层面的差异,而非执行层面的失误。
三道防线的设计逻辑是一致的:不依赖提前识别具体风险,而是在系统层面限制任何单一风险事件的最大暴露规模。
最终损失数字取决于 Kelp DAO 的损失分配方案。目前并存三个选项,全链 rsETH 持有者社会化损失(坏账规模缩小)、L2 rsETH 持有者独自承担(主网 Aave 坏账不变)、快照回滚(操作难度极高)。这个数字,接下来几周会有答案。
但两种决策哲学的结果,已经可以量化了,差距约为 1.95 亿美元,触发日期相同,在同一天的治理操作里写下了。
