Aave表示，随着3亿美元的应急资金填补了被提取的资产缺口，运营已恢复正常

漏洞事件剖析

去中心化金融（DeFi）先驱 Aave 已成功将其借贷池的流动性完全恢复，这标志着在经历了一起威胁该协议现金储备的 3 亿美元跨链攻击后，历时数周的积极稳定工作圆满结束。开发者于 6 月 1 日宣布了这一消息。

Aave在事后分析报告中表示，通过调动3亿美元的行业救援基金并获得联邦法院的紧急禁令，该协议得以补充被抽走的资产，保护存款人免受损失，并恢复了协议范围内的正常借贷运营。

此次发布事后分析报告，距攻击者利用Kelp和Layerzero运营的第三方跨链桥发起攻击已过去一个多月。该黑客通过伪造跨链消息，铸造了116,500枚伪造的rsETH代币，并将其存入Aave的V3平台作为抵押品。

攻击者随即利用这些伪造的 rsETH 作为抵押品，抽走高流动性资产，借出了 82,650 个包装以太坊（WETH）和 821 个包装质押以太坊（wstETH）。 这笔突如其来的巨额提款从根本上削弱了 Aave 的核心流动性池，迫使风险管理人员冻结受影响的市场，以防止平台资金出现连锁性挤兑。 为填补这一漏洞，Aave Labs 协助组建了一个由 Lido、Ether.fi、Ethena 和 Compound 等主要行业参与者组成的紧急联盟。 该联盟共同设立了3亿美元的恢复基金。这笔注资有效为受损的rsETH资产提供了担保，确保用户每笔存款仍由真实的储备金提供全额抵押。

解冻资金

然而，在5月1日，恢复流动性的进程遭遇了法律障碍：一桩无关的联邦案件中的判决债权人拦截了恢复程序。这些债权人获得了一项限制令，冻结了约7100万美元的以太币——这笔资金原本是从攻击者手中追回的，并计划用于补充Aave的资金池。

Aave 随即于 5 月 4 日向美国联邦法院提交紧急动议，四天后，法官批准了一项关键的冻结令修改，允许将这 7100 万美元立即转回 Aave 直接托管。 这一法律突破使开发者能够立即将资金重新注入协议的活跃借贷池，恢复了市场安全运行所需的流动性深度。 随着资本储备的全面补充以及漏洞利用前市场参数的恢复，Aave正在全面改造其风险架构，以保护其流动性免受未来第三方系统性故障的影响。

为防止未来攻击者将受攻击的代币转换为协议的流动资产，Aave开发人员执行了295项独立参数更新，大幅下调了168个独立资产池的借款和供应上限。 此外，该协议正在实施自动化的LTV0（贷款价值比为零）断路器机制。 今后，若任何资产的底层跨链基础设施遭遇安全漏洞，系统将立即剥夺该资产的抵押价值。这确保了受损代币无法再被用于从 Aave 市场借贷或抽走真实流动性。