Aave 已经策划并推动了DeFi历史上最雄心勃勃的协调复苏行动之一：动员行业领袖提供超过 #AaveLaunchesrsETHRecoveryPlan 百万美元的抵押支持，用以应对 Kelp DAO 桥接漏洞带来的后果——该漏洞在多个借贷市场中削弱了 rsETH 抵押品。该行动以 “DeFi United” 为品牌命名，标志着跨协议协作的里程碑时刻，并展示了去中心化金融在危机应对方面的成熟度。

此次漏洞源于 2026 年 4 月 18 日对 Kelp DAO 的 LayerZero 桥接基础设施发起的复杂攻击。攻击者与与 “Lazarus Group” 相关，窃取了约 $300 百万美元的 rsETH：他们并非依赖智能合约漏洞，而是通过一种新型攻击向量瞄准链下验证系统。攻击者攻破了内部 RPC 节点，并对外部节点发起了同时的 DDoS 攻击，向单点故障的验证网络注入了虚假跨链消息；该验证网络配置为 1-of-1 的 DVN。

这一技术性突破在 DeFi 中引发了连锁效应。攻击者在 Aave V3 和 V4 市场中使用未被充分担保的 rsETH 作为抵押，借走了以太坊主网上的 52,834 WETH，以及 Arbitrum 上的 29,782 WETH 和 821 wstETH。结果是在 Aave 的 WETH 池中形成了约 $292 百万美元的不可追回不良债务，并引发大规模赎回，导致部分存款人无法取回其资金。

Aave 的回应迅速且全面。Aave 创始人 Stani Kulechov 亲自承诺将 5,000 ETH 投入复苏工作，而 Aave DAO 治理提案则概述了最高 250,000 ETH 的分配，用于修复与补救。这是 DeFi 历史上规模最大的单一协议用户保护承诺之一，体现了 Aave 将存款人安全置于资金保全之上的优先级。

行业参与程度超出了所有预期。Consensys 以及创始人 Joseph Lubin 承诺提供最高 30,000 ETH 的资金支持；Lubin 表示，当以太坊生态系统一起行动时，它的运行方式最好。Lido 提议分配 2,500 stETH，而 EtherFi 正在讨论一项 5,000 ETH 的计划。Mantle 提供 30,000 ETH 的授信额度，Compound 则提议贡献 3,000 ETH。

个人贡献者也以史无前例的规模挺身而出。Aave 的 Emilio Frangella 承诺 500 ETH，BGD Labs 承诺 250 ETH；与此同时，创始人 Ernesto Boado 还额外个人追加 100 ETH；KPK 的 Marcelo Ruiz de Orlano 则贡献了 100 ETH。这些来自关键生态人物的个人承诺，表明他们真正相信复苏行动对于 DeFi 长期可持续性至关重要。

复苏策略包含多个协同组件。Aave Labs 已提议请 Arbitrum 治理解冻网络安全委员会冻结的约 30,765 ETH，并明确的目标是让受影响的 rsETH 持有者得到全额补偿。这是 Layer 2 治理协同来应对跨链安全事件的罕见案例。

Aave 本身的存款也同样来自生态系统参与者。Babylon Foundation 计划存入 $177 百万美元的 USDT，而 Renzo 则从其金库中提供了超过 $3 百万美元。Circle Ventures 正在购买 AAVE 代币以展示支持力度，此外还来自 Avalanche Foundation、Solana Foundation 以及 Justin Sun 的追加存款。

技术层面的响应不仅限于资金承诺。Aave 治理已立即落实保护措施，包括：在 Core 与非核心市场对 WETH 利率进行调整，对受影响资产进行临时冻结，并加强对相关抵押品类型的监控。在复苏计划尚在组织期间，这些举措阻止了进一步的被利用。

Kelp DAO 的漏洞本身代表了一类新的桥接脆弱性，对传统安全假设提出了挑战。与以往针对智能合约漏洞的桥接黑客行为不同，此次攻击利用的是跨链协议依赖的链下基础设施。1-of-1 的 DVN 配置意味着：一旦攻破单个验证环节，就足以授权虚假的跨链消息。

Chainalysis 的分析揭示了攻击方法的精密程度。攻击者操控的 RPC 节点在漏洞窗口关闭后会自毁，从而清除恶意二进制文件和日志，以阻碍取证调查。这种级别的作业安全性表明，攻击者具备与国家支持威胁行为者相一致的高级持续威胁能力。

对桥接安全的更广泛影响十分深远。该漏洞表明：如果验证基础设施仍然是中心化的，那么在智能合约层面的去中心化几乎没有意义。如今，多 DVN 配置以及跨链不变性监控被认为是必需的安全要求，而非可选的优化手段。

市场对复苏行动的反应谨慎乐观。尽管产生了规模可观的不良债务，ETH 仍围绕约 $2,300 保持稳定，显示市场对协调应对的信心。AAVE 代币表现出韧性；随着治理参与复苏提案，协议健康度也得到了体现。

“DeFi United” 这项倡议或许将为未来的危机应对树立先例。竞争协议之间的自愿协调、资金承诺规模之大，以及组织响应速度的快，都超越了此前行业基准。这表明 DeFi 正在从实验性技术走向能够承受重大冲击的、具有韧性的金融基础设施。

至关重要的是，复苏行动在应对其系统性风险的同时，保留了使 DeFi 具备价值的可组合性。响应并非隔离协议或破坏可组合性，而是利用现有治理结构与跨协议关系来分摊损失、并恢复信心。

$10 百万美元这一承诺数字尽管数额巨大，但仅仅是相互连接的 DeFi 协议中风险总价值的一部分。桥接基础设施中的风险集中仍然是一种结构性脆弱点；行业必须通过改进安全标准与多样化验证机制来加以解决。

对存款人而言，复苏时间表仍存在不确定性，取决于治理批准与技术落地。不过，所承诺的支持规模表明，即便过程需要数月的协调与执行，受影响的用户最终也将得到补偿。

Kelp DAO 事件以及 Aave 的应对措施，可能会加快监管机构对 DeFi 系统性风险的关注。单一协议中的不良债务集中、漏洞的跨链属性，以及行业的自愿协调——这些都为政策制定者评估 DeFi 与传统金融融合提供了数据依据。

从技术角度看，该漏洞验证了研究人员多年来提出的桥接安全担忧。1-of-1 验证配置的特定脆弱性现已在大规模场景中得到实证，可能进一步加速对更稳健架构的采用。

复苏行动还强调了危机期间透明沟通的重要性。Aave 对不良债务数据的快速披露、对复苏工作的公开协调，以及对承诺的公开追踪，都与传统金融在类似事件中常表现出的隐蔽性形成了鲜明对比。

从长期来看，“DeFi United”的应对可能比漏洞本身更具影响力。若取得成功，它将证明去中心化金融可以自我组织来应对系统性风险，而无需中心化介入，从而回应了对 DeFi 模型的主要批评之一。

$300 百万美元的漏洞对 restaking 与桥接协议而言是一场严重挫折；但 $292 百万美元的复苏承诺表明，行业已达到足够的规模与成熟度，可以吸收此类冲击。接下来的数月将揭示这种协调响应能否恢复用户信心，并避免对 DeFi 增长路径造成长期损害。

目前，Aave 的复苏计划体现了去中心化金融的韧性，以及其主要参与者选择以相互保护而非竞争优势为优先的承诺。“DeFi United” 倡议或许会被证明是行业的决定性时刻：它展示了行业能够作为一个连贯的生态系统运作，而不只是竞争协议的集合。

LAYOUT REFERENCE (source): total_lines=47, non_empty_lines=24, blank_lines=23