Aave 一夜被打掉兩億八千萬美金:LayerZero 連環爆破,DeFi 終於被逼著長大
TL;DR
- 4/18 Lazarus Group 入侵 LayerZero 的 RPC 節點,用偽造訊息讓 KelpDAO 的 RS ETH 在 L2 上憑空多印了 116,000 顆,再丟進 Aave 借走 2.36 億美金的 WETH,留下 2.8 億美金的壞帳
- KelpDAO 用了 1-of-1 的 DVN 驗證設定(一個節點說了算),LayerZero 的預設值太鬆,Aave 對這種多層包裹資產的風控也太大方,三邊都有錯
- Aave 的 ETH 被擠兌走 50 億美金,TVL 從 260 億掉到 170 億,部分穩定幣池利用率衝到 100%,存款人現在領不出來
- Arbitrum 安全議會用 9-of-12 多簽動用緊急權限,從駭客地址撈回 7,000 萬美金,Code is Law 的中間地帶被正式打破
- 兩位來賓的共識是:未來十二個月是「最危險窗口期」,AI 加速漏洞挖掘速度,每個團隊都得從「寫合約思維」升級到「航太工程思維」
Podcast 與來賓背景
這集在 2026 年 4 月 23 日發佈的 Bankless,主持人 Ryan 跟 David 找了兩位 DeFi 圈的硬底子嘉賓來拆這次震撼業界的駭客事件。Bankless 是英文圈最有影響力的 crypto 教育型 podcast 之一,定位偏向「幫聽眾走進去中心化的世界」,技術深度跟產業洞見都不馬虎。
來賓一是 Dan Elitzer,加密創投基金 Nascent 的共同創辦人,MIT Sloan MBA 出身,之前在設計顧問公司 IDEO 內部創過 IDEO CoLab Ventures,也參與過 YAM Finance 的早期推動,Nascent 目前投了超過一百個 DeFi 跟基礎設施團隊。
來賓二是 Odysseas Lamtzidis(節目中叫 Odysseus),Phylax Systems 的創辦人。Phylax 開發的 Credible Layer 是一套整進 L2 sequencer 的執行期安全機制,讓開發者用 Solidity 寫斷言(assertions),把「絕對不能發生的狀態」釘死在鏈上。Linea 已經是第一個整合上線的 L2,公司在 2024 年從 Nascent 跟 Figment Capital 拿到 450 萬美金種子輪。對,Dan 也投了 Odysseus 這家。
漏洞是怎麼一個一個串起來的
這次事件的劇本從外面看很複雜,但拆開來其實是三個獨立的弱點剛好對齊。
第一層,LayerZero 是一套跨鏈訊息協議,幫不同鏈之間傳遞「這邊鎖了多少資產,那邊就鑄多少對應憑證」的訊息。協議運作時,旁邊掛著一組叫 DVN(Decentralized Verifier Network,去中心化驗證網絡)的驗證層,理論上要交叉檢查訊息真偽。
第二層,KelpDAO 是流動性再質押協議,發行 RS ETH 這個衍生憑證代表用戶在 EigenLayer 上 restake 的 ETH。為了能在多鏈流通,他們用 LayerZero 把 RS ETH 橋到各條 L2。但他們的 DVN 設定是 1-of-1,也就是一個驗證節點點頭就算數。
第三層,Aave 把 RS ETH 收進它的全域抵押池當合格抵押品,沒做太強的折價或上限管控。
駭客做了什麼?他們先深度滲透 LayerZero 的內網(很可能是 Lazarus Group 慣用的社交工程),把 LayerZero 部署的 RPC 節點換成惡意版本,讓那唯一一個 DVN 看到一份偽造的「Unichain 上有人存了一大筆 RS ETH」的訊息。DVN 點頭,Ethereum 主網這邊就把對應的 RS ETH 釋放出來,駭客拿著這 116,000 顆憑空多出來的 RS ETH 跨鏈到 Arbitrum 跟主網的 Aave,質押進去借出 2.36 億美金的 WETH 然後跑了。
更可怕的是,攻擊完成後他們還把 RPC 節點換回原始 binary,把 log 清乾淨,避開 LayerZero 的告警系統。Odysseus 用了一個詞我覺得很到位:「這是我們看過最精緻的一次攻擊。」這已經不是合約寫錯一行那種智能合約層漏洞,而是徹徹底底的人為入侵加上基礎設施層攻擊。
過去兩年的橋接協議駭客大多還是 Solidity 層面的問題,但今年的 Drift 事件、加上這次 LayerZero,真正的攻擊面已經從合約轉到「人」。社交工程、員工筆電、員工帳號、IT 內網,這條鏈裡最弱的環節是人類。
連鎖反應有多慘
說一下後續的擠兌規模。Aave 上 ETH 池被提走超過 50 億美金,光是孫宇晨一個人就提了 1.5 億。TVL 從 260 億掉到 170 億,蒸發掉 90 億。Aave 主動暫停了 RS ETH 跟多鏈上的 WETH 池避免損害擴大,但仍然背了大約 1.8 億的壞帳(後續可能還會調整)。
更尷尬的是 Aave 上的 ETH、USDC、USDT 池利用率衝到 100%,意思是存款人現在想領錢領不出來,因為池子裡的流動性幾乎都被借光了。這不是「資金被偷」,是「資金被卡住」,但對一般用戶體感差不多就是錢進不來。
Aave 旗下的 umbrella 質押池是設計用來吸收壞帳的保險基金,這次很可能直接被燒掉,但具體誰會被砍多少,要看 Aave DAO 後續的決議跟可能的注資談判。Dan 在節目裡的判斷是:Aave 還有 brand equity、AAVE 代幣還有價值、團隊夠強,所以幾乎可以確定他們現在正在閉門開會喬資金注入跟用戶補償方案,只是時間拖得有點久。
擠兌也擴散到其他借貸協議。Morpho、Fluid 都有資金外流,整個 DeFi 借貸板塊都在去槓桿。那些用 ETH loop 開三到五倍槓桿在做利差的對沖基金,現在每個都想搶先逃跑,所以你看到的不只是 Aave 的問題,是整個 DeFi 借貸生態的銀行擠兌。
之前在鏈上收益的風控不只是有沒有審計過有寫過,DeFi 風控的維度比一般人想像的多很多。你以為審計過、抵押物足夠就安全?這次連最頂的 Aave 都中招,原因不在合約本身,而在它的某個抵押品的「上游再上游」。
怎麼分鍋?三邊都有責任
Ryan 在節目裡做了一個很清楚的責任分配,我整理一下:
| 角色 | 該背的鍋 |
|---|---|
| LayerZero | 內網被滲透是底子問題;DVN 預設值給太寬鬆,1-of-1 不該作為產品出貨設定;早期為了快速上市做的妥協沒有隨團隊成熟而升級 |
| KelpDAO | 沒搞清楚 LayerZero 的 trust assumption 就一頭栽進去用 1-of-1 DVN,自己用戶的錢用最低安全等級在跑 |
| Aave | 對 RS ETH 這種「LST 到 Restake 到 LRT 到跨鏈包裝」層層套娃的資產沒有做更謹慎的折價跟風險加權,把它跟普通 wrapped ETH 放在同個風險池裡 |
但 Dan 也提出一個更有啟發性的觀點:「這個產業沒有任何一個團隊敢說『這種事絕對不會發生在我們身上』。」任何一個環節只要更謹慎一點,傷害都會小很多。所以與其追究誰對誰錯,不如承認整個產業的安全標準集體不及格。
這也回到 Odysseus 的觀察:橋接協議之所以成為駭客最愛的目標,不只是因為它是「一大坨資金集中放在一份合約裡」,更因為它的心智模型太繞。IOU 來 IOU 去,誰要信任誰、攻擊面在哪,連專業使用者都搞不清楚,何況一般人。
「Code is Law」的中間地帶被打破
這集最重的話題在後半段。Arbitrum 安全議會用緊急權限把駭客留在 Arbitrum 上的三萬顆 ETH(約七千萬美金)搬到鎖定錢包,等於是議會直接動了鏈狀態。9-of-12 的多簽,9 個人點頭,God mode 一鍵啟動。
這件事在 crypto Twitter 上是兩極反應。一邊歡呼「我們搶回了北韓偷的錢」,一邊驚恐「Pandora's box 被打開了」。
Dan 跟 Odysseus 的判斷我滿認同:這次拿回來是好事,但長期會反噬。
短期反噬是法律。Clarity Act 在華府推進的過程中,很多 L2 都在主張自己「跟 Ethereum、Solana 一樣去中心化,應該被同等規範」。Arbitrum 一動手,這個論述直接破功。下一個對 crypto 不友善的政府上來,這就是現成的把柄。
長期反噬是用戶預期。只要這扇門打開過一次,下次發生小型駭客、用戶搞丟私鑰、甚至有人發起民事訴訟要求 L2 凍結資產,所有 L2 都會被同樣的標準衡量。界線在哪?七千萬以上才動?三千萬?十塊美金?沒有人說得出。
David 在節目裡有一段話講得滿好:中間地帶會被掏空。L2 要嘛走 fintech 化,更積極介入用戶資產跟反詐騙;要嘛真的去中心化到 Stage 2,連自己都動不了用戶資產。中間那種「我們號稱 Code is Law,但其實有後門可以推」的狀態長期不可持續。
但 Odysseus 補了一個很現實的觀察:從技術層面看,L2 短期內幾乎不可能達到 Stage 2。因為 ZK 證明系統超複雜,每次 Ethereum L1 升級都會打壞 L2 的證明系統,要花兩個月修。L2 開發跟 L1 開發是脫鉤的,這個技術債一天不還,Stage 2 就一天到不了。
順便講一個有趣的觀察:這次北韓駭客把錢留在 Arbitrum 兩天才被搬走,但 Drift 那次他們是攻擊完立刻跨回 Ethereum 主網。這代表 Lazarus 自己也沒搞清楚 L2 的安全議會權限。未來這招用不了第二次了,以後駭客成功偷錢,第一件事就是立刻跨到主網或者根本不會把錢留在 L2,避免被凍結。
從寫合約的工程師到造飛機的工程師
Odysseus 寫過一篇文章叫《Crypto Security Needs an Aerospace Mindset》,這集大概是這篇文章的口頭版。我覺得這個比喻是整集最值得記住的一句話。
TradFi 的安全為什麼不用搞得那麼緊?因為它有「長結算」這個緩衝。出事了,開個會、賠個幾百萬、把錯誤交易撤回,可以慢慢修。
Crypto 沒有這個緩衝。鏈上交易是一個物理事件,發生了就發生了,不能撤回。這個結構跟航太工程才像:飛機出問題會死人,所以航太業的工程哲學是 failure is not an option。每個子系統獨立、有冗餘、形式化驗證、極簡設計、不允許灰色地帶。
對應到 DeFi,Dan 跟 Odysseus 給的具體做法是:
- 打掉巨型流動性池:不要再有單一合約裡躺著幾十億美金的設計。Morpho 那種隔離市場的架構、Aave v4 的部分隔離設計,都是往這個方向走
- Rate limit 跟 circuit breaker 變標配:每小時最多能借走多少?某個資產異常波動時要暫停哪些功能?這些以前是 nice-to-have,未來是 must-have
- 針對 vault 跟 curator 層做執行期檢查:核心市場可以保持極簡無法熔斷,但上層的 vault 一定要有能熔斷的機制,把爆炸半徑限制在最小單元
- 多層冗餘:假設任何單一元件都會壞,系統設計要讓「壞了一個」不會導致整個系統崩盤
Phylax 在做的 Credible Layer 就是把這個思路變成基礎設施。它的核心思想反過來:不要試著去列舉所有可能的攻擊向量,而是讓協議定義「絕對不能發生的狀態」(用 Solidity 寫成 assertion,跟 Forge test 長得很像),這些斷言會在 sequencer 出 block 的時候被檢查,違反的交易直接不被打包進區塊。
舉例:「借出去的金額永遠不能大於抵押品價值」這種規則,傳統做法是去 review 所有可能進入合約的路徑、檢查每一條都不會違反;Credible Layer 的做法是直接定義「這個狀態不准出現」,至於怎麼出現的不重要,到了狀態違反那一刻就 revert 整筆交易。這是真的把航太業的 fail-stop 哲學搬進 DeFi。Linea 已經整進去了,未來會不會變成 L2 標配,我滿期待的。
接下來十二個月是「最危險窗口期」
Dan 在收尾時講了一段我覺得每個 DeFi 玩家都該記下來的話:未來十二個月會是整個數位世界(不只是 crypto)的最大危險窗口。
理由:當前世代的 AI 模型,搭配對的 harness,已經能挖出真正的 zero-day 漏洞,而且不只是智能合約,連傳統 Web2 的 OS、瀏覽器、伺服器都在範圍內。目前能力大致集中在「好人」手上,但開源權重模型大概落後六到十二個月,這段時間就是黑帽駭客追上來的窗口。之前在Vitalik 跟 Verdon 辯論 AI 加速主義那篇有討論過類似的時間差問題,攻擊端跟防守端的軍備競賽會比想像中更早來。
過去十年部署的所有合約跟基礎設施,都是在「人類安全假設」下被審計的。一旦超人級 AI 滲透進攻擊端,這些東西全部要重新被掃一遍。所以未來一年,整個產業要打的仗是「白帽 AI 系統能不能比黑帽 AI 更快把存量漏洞清掉」。
那一般使用者怎麼辦?老實說沒有什麼神奇解法,把錢分散在多個協議、避免槓桿循環、追蹤你用的協議是不是有 rate limit 跟 circuit breaker、看到大型資金開始外流就跟著降低曝險。未來一年要記住一個原則:你的 4% 鏈上利率值不值得換掉 FDIC 保險?如果不值得,那就老老實實少賺一點。Odysseus 這個提問問得很狠,但每個放錢進 DeFi 的人都該問一次自己。
回到一開始 David 的提問:DeFi 會不會挺過去?兩位嘉賓的答案都是會。但「會」不是天上掉下來的,是每個團隊把安全預算往上加、產業集體把標準訂出來、像 Phylax 這種執行期防護工具被廣泛採用、L2 把治理規則明文化的結果。
對我自己來說,這集最大的 takeaway 是這句話:我們這個產業已經沒有「這種事不會發生在我們身上」的奢侈了。每個放錢進 DeFi 的人,都該假設你信任的每一層基礎設施都有一天會出事,重點是出事的那天,你的部位有沒有被限制在可承受的範圍內。
如果這類 DeFi 風險拆解跟產業觀察對你有幫助,wilsonhuang.xyz 上還有更多類似的長文整理,歡迎訂閱追蹤。
Sources:
推薦閱讀
喜歡這篇文章嗎?
訂閱電子報,每週收到精選技術文章與產業洞察,直送你的信箱。
💌 隨時可以取消訂閱,不會收到垃圾郵件