Aave预言机异常触发2700万美元清算，安全机制缘何反噬？

一场由内部安全机制引发的DeFi清算风波

近日，头部去中心化借贷协议Aave经历了一场非典型的链上清算事件。在缺乏市场剧烈波动或外部攻击的情况下，约2700万美元的借贷头寸在短时间内被强制平仓，导致34个用户地址持有的近1.1万枚wstETH资产被清算机器人执行操作。

图源：CHAOS LABS 清算数据追踪

事件发生后，Aave的风险管理合作伙伴Chaos Labs迅速在社交平台X上作出回应。其首席执行官Omer Goldberg明确承诺：“未产生任何协议坏账，所有受影响的用户将获得全额赔偿。”Aave Labs创始人Stani Kulechov随后也发文确认：“Aave协议本身运行正常，未受影响。”

安全卫士的意外“叛变”：CAPO机制详解

与常见的因市场暴跌或预言机喂价错误导致的清算不同，本次事件的根源在于一个旨在保护系统的内部安全模块——CAPO（Capped Asset Price Oracle，资产价格上限预言机）。该机制本意是防止恶意行为者通过操纵收益型代币（如wstETH）的汇率来虚增抵押品价值，却在此次事件中意外成为了清算的导火索。

CAPO的核心工作原理依赖于两个关键参数的协同：

• snapshotRatio（快照汇率）：受到严格的链上规则约束，规定每3天内价格涨幅不得超过3%。
• snapshotTimestamp（快照时间戳）：该参数的更新则没有同等的速率限制。

理论上，这两个参数应同步更新。然而，在一次系统更新过程中，快照汇率因受限于3%的涨幅上限，未能更新至目标值；与此同时，时间戳参数却顺利地更新到了更早的锚定点。这种“错位更新”导致CAPO计算出的wstETH最高允许汇率被系统性地低估了约2.85%。

图源：Chaos Labs 治理论坛 Post-Mortem

高杠杆模式放大风险敞口

对于普通借贷仓位，2.85%的价格偏差可能影响甚微。但问题在于，部分受影响仓位正处于Aave的E-Mode（高效率模式）下。该模式允许用户针对相关性高的资产对（如ETH/wstETH）以更高的抵押率进行借贷，实质上提供了更高的杠杆。这使得仓位对抵押品价值的微小波动都异常敏感。

因此，当协议内部对wstETH的估值持续低于市场真实价格时，一批原本健康的仓位被错误地判定为低于清算门槛，从而触发了自动化清算程序。据分析，清算者从中获得了约116枚ETH的正常清算奖励，另有约382枚ETH的利润源于套利者利用协议估价与市场价之间的差额进行套利。

危机响应与全额赔付方案

Chaos Labs在此次事件中的应对堪称迅速。其CEO不仅公开承诺全额赔付，更揭示了赔付的具体资金来源与方案：

• 通过BuilderNet已追回约141.5枚ETH。
• Aave DAO国库将提供补充资金，预计赔付总资金池约为345枚ETH（约合87万美元），足以覆盖所有受损用户。

在技术处置上，团队立即采取了紧急措施：首先将受影响实例（Core和Prime）中wstETH的借款上限临时降至1，随后通过Risk Steward机制手动修正了错位的快照参数，在完成修复后再将借款上限恢复至原有水平。

图源：Omer Goldberg 推文

DeFi预言机之殇：历史教训与深层反思

预言机问题始终是去中心化金融领域的“阿喀琉斯之踵”。就在此次事件前一个月，借贷协议Moonwell因预言机配置错误，将cbETH价格短暂显示为约1美元（实际市价约2200美元），最终导致了近180万美元的坏账。更早的Mango Markets操纵事件、Euler Finance漏洞等，均造成了数亿美元级别的损失，教训惨痛。

然而，Aave本次事件的特殊性在于，问题并非源于外部数据源被攻击或失真，而是协议内部专为防御而设计的安全机制本身出现了逻辑裂缝。这引发了更深层次的行业思考：“代码即法律”的范式在消除人为干预的同时，也意味着任何一行代码或一个参数的微小错配，都可能在用户毫无感知的情况下，自动执行不可逆的金融操作。

Chaos Labs的赔付承诺固然能在经济层面弥补用户的损失，但根本性的修复必须回归工程层面。这包括：建立更健壮的参数更新校验流程、强化链上约束条件的一致性检查，以及开发能够在错误发生前及时预警的实时监控系统。对于整个DeFi行业而言，如何在追求效率与创新与控制复杂系统风险之间找到平衡，将是永恒的命题。