预言机异常触发 Aave遭遇2700万美元清算事故

原文作者：Sanqing，Foresight News

3月11日凌晨，去中心化借贷协议Aave发生了一起罕见的异常清算事件。在没有市场暴跌、外部攻击或喂价数据失真的情况下，约2700万美元的借贷仓位在数小时内被强制平仓，涉及34个账户，合计约10,938枚wstETH遭到链上清算机器人“收割”。

图源：CHAOS LABS 清算数据追踪

Aave的风险管理合作方Chaos Labs率先在X上作出回应，其CEO Omer Goldberg明确表示：“无坏账产生，所有受影响用户将获全额赔付。”Aave Labs创始人Stani Kulechov随后也在X上发文：“Aave协议本身不受任何影响。”

守护者变成了收割者

与大多数清算事件不同，这次事故并未伴随市场暴跌或外部攻击。Aave风险管理合作方Chaos Labs在治理论坛发布的Post-Mortem报告中揭示了真相。

底层预言机的报价完全准确，真正的肇事者是一个名为CAPO（Capped Asset Price Oracle）的内部安全模块。这套机制专为防范价格操纵而设计，却意外成为用户的清算触发器。

Aave在处理wstETH这类持续积累质押收益的收益型代币时，为防止有人通过人为拉高代币汇率来虚增抵押品估值，设置了价格增速上限。

CAPO依赖两个参数协同运作：snapshotRatio（快照汇率，受链上硬性约束，每3天最多上涨3%）与snapshotTimestamp（快照时间戳，无同等速率限制）。两者本应同步更新，一旦错位，计算出的“允许最高汇率”就会偏离真实市价。

这次错位正是如此发生的。系统尝试将快照汇率从约1.1572更新至目标值1.2282，但受速率约束只能推进至1.1919；与此同时，时间戳却径直跳至对应7天前的锚点，毫无阻碍。

两个参数各自更新、互不对齐，导致CAPO最终推算出的wstETH最高允许汇率约为1.1939，比市场真实价格低约2.85%。

图源：Chaos Labs 治理论坛 Post-Mortem

在普通仓位下，2.85%的偏差或许只是噪音；但在Aave的E-Mode（高效率模式）下，用户能够以远高于普通模式的杠杆率借贷，仓位对价格偏差极度敏感。

协议对wstETH估值的系统性低估，将一批本处于安全阈值之上的仓位推过了清算线，链上机器人完成了剩下的一切。

从利润流向看，清算者获得约116枚ETH的正常清算奖励；另有约382枚ETH源于套利者对协议低估价与市场真实价之间价差的套利获利。

两项合计约499枚ETH（折合约127万美元）从受损用户的仓位中流出。协议层面的结果干净利落：零坏账，资金池毫发无损，全部损失仅影响34位被清算用户地址。

Chaos Labs：我们全赔

事故中表现最为直接的反而是风险管理方Chaos Labs。CEO Omer Goldberg在X上明确表态：“每一位受影响的用户都将获得全额赔付。”他同时坦言，风险预言机作为协议核心基础设施，此次配置失误是一个严肃的教训，团队将全面审查参数更新流程。

图源：Omer Goldberg 推文

在赔付执行层面，Chaos Labs已通过BuilderNet追回约141.5枚ETH，结合Aave DAO国库补充资金，赔付上限预计约为345枚ETH（约合87万美元），用于覆盖全部受损账户。

在紧急处置阶段，团队率先将受影响实例（Core和Prime）的wstETH借款上限临时削减至1，通过Risk Steward机制手动重新对齐两个快照参数，完成修复后再将借款上限恢复至原值（Core：18万，Prime：7万）。

预言机问题，从不是新话题

这并非DeFi世界第一次被预言机问题掀翻。就在前不久（2月18日），借贷协议Moonwell因预言机配置错误，将cbETH短暂标价为约1美元（市价约2200美元），最终造成近180万美元坏账。更早的Mango Markets操纵事件、Euler Finance漏洞，都留下了数亿美元的教训。

但Aave此次事故有其特殊性。出错原因并非外部数据，而是协议内部专为对抗操纵而构建的安全层本身。这层“盾牌”在特定条件下，反而成了伤人的刀刃。

“Code is Law”是去中心化金融的信条，智能合约的自动化执行消除了人为干预的空间，但也意味着每一行参数的错配，都可能在用户毫无察觉的情况下完成一次不可撤销的操作。

Chaos Labs的赔付承诺或许能在经济层面修复这道裂缝，但更根本的修复必须发生在工程层。参数更新的校验、链上约束的一致性检查，以及一套能在错误酿成之前就发出警报的实时监控机制。