Aave预言机异常触发2700万美元清算，Chaos Labs承诺全额赔付

作者：Sanqing，Foresight News

3月11日凌晨，DeFi领域头部借贷协议Aave经历了一场非典型的链上清算风波。在没有任何市场剧烈波动或黑客攻击的情况下，价值约2700万美元的借贷头寸在短时间内被强制平仓。共计34个用户地址持有的10,938枚wstETH资产，遭到链上清算机器人的自动化处置。

（图源：CHAOS LABS 清算数据追踪）

事故根源：内部安全机制意外“反噬”

与通常因价格暴跌引发的清算不同，本次事件的源头指向了协议内部一个旨在保护系统的安全模块。Aave的风险管理合作伙伴Chaos Labs在事后发布的详细分析报告中揭示了根本原因。

问题并非出在获取外部市场数据的底层预言机，其报价准确无误。真正的“肇事者”是一个名为CAPO（Capped Asset Price Oracle）的内部价格上限预言机模块。该模块本是为了防止恶意操纵者人为拉高某些代币（如持续产生质押收益的wstETH）的汇率、虚增抵押品价值而设计的安全护栏。

参数错位如何引发系统性低估

CAPO机制依赖两个关键参数协同工作以计算资产的“允许最高汇率”：

• snapshotRatio（快照汇率）：受链上硬性规则约束，每3天内涨幅不得超过3%。
• snapshotTimestamp（快照时间戳）：标记汇率快照的时间点，其更新不受速率限制。

在理想情况下，两者应同步更新。然而，此次事件中发生了严重的错位：系统试图将快照汇率从约1.1572更新至1.2282，但因速率限制仅能升至1.1919；与此同时，时间戳参数却独立地更新到了一个更早的锚点。这种不同步导致CAPO最终计算出的wstETH最高允许汇率被锁定在约1.1939，较其真实市场价格低了约2.85%。

（图源：Chaos Labs 治理论坛事故报告）

高杠杆模式放大偏差冲击

对于普通借贷仓位，2.85%的价格偏差可能影响有限。但Aave的E-Mode（高效率模式）允许用户针对相关性高的资产对进行高杠杆借贷，仓位健康度对抵押品估值极其敏感。协议对wstETH价值的系统性低估，直接将一批本处于安全线之上的仓位推入了清算阈值，随后被时刻监控的链上机器人自动执行清算。

数据显示，清算者获得了约116枚ETH的标准清算奖励。此外，由于协议内的低估价格与市场公允价格之间存在价差，套利者通过价差套利获利约382枚ETH。两部分合计约499枚ETH（当时约合127万美元）从受影响用户的仓位中流出。尽管用户蒙受损失，但协议层面保持了零坏账，资金池完整性未受影响。

快速响应与全额赔付承诺

事故发生后，Chaos Labs的应对迅速而明确。其首席执行官Omer Goldberg在社交平台X上公开承诺：“不会产生任何坏账，所有受影响的用户都将获得全额赔偿。”他同时承认，作为协议核心基础设施的风险预言机出现配置失误，是一个需要深刻吸取的教训，团队将全面审查相关参数的更新流程。

（图源：Omer Goldberg 推文截图）

在具体赔付方案上，Chaos Labs已通过BuilderNet追回约141.5枚ETH。结合Aave DAO国库的补充资金，预计将筹集约345枚ETH（约合87万美元）的赔偿基金，以确保覆盖所有受损账户的损失。

在技术处置方面，团队第一时间采取了紧急措施：将受影响实例（Core和Prime）中wstETH的借款上限临时降至1，随后通过Risk Steward机制手动校准了错位的快照参数。在完成修复后，借款上限已恢复至原有水平（Core实例18万，Prime实例7万）。

DeFi预言机风险：老问题与新挑战

预言机问题一直是去中心化金融领域的潜在风险点。就在此次事件前不久的2月18日，借贷协议Moonwell因预言机配置错误，将cbETH价格短暂显示为约1美元（实际市价约2200美元），最终导致近180万美元的坏账。更早的Mango Markets操纵事件、Euler Finance漏洞等，也都造成了数亿美元级别的损失，教训深刻。

然而，Aave本次事故呈现出新的特点：风险并非来自外部数据源被攻击或失真，而是源于协议内部专为防范风险而设计的“安全盾牌”本身。在复杂的参数交互和链上约束条件下，这套防护机制意外变成了触发清算的导火索。

“代码即法律”是DeFi的基石，智能合约的自动执行带来了效率与信任，但也意味着任何一行代码或一个参数的微小错配，都可能在用户毫无感知的情况下触发不可逆的金融操作。Chaos Labs的经济赔偿固然能弥补用户损失，但更深层次的修复必须回归工程层面：建立更稳健的参数更新校验机制、确保链上约束的一致性，并开发能够实时预警异常状态的监控系统，防患于未然。