KelpDAO遭巨额攻击事件折射DeFi生态信任危机

近期发生的KelpDAO攻击事件导致2.92亿美元资产流失，迅速引发整个去中心化金融领域的深度反思。部分市场声音将焦点投向主流数据聚合平台DefiLlama，质疑其对Aave协议总锁仓价值的统计可能因流动性循环而被高估。

数据透明性争议：总锁仓价值是否虚高？

自4月18日以来，Aave的总锁仓规模从264亿美元下滑至约170亿美元，这一剧烈波动被归因于rsETH相关风险敞口项目引发的连锁反应，被视为典型的“去中心化金融风险传导”案例。

Defillama澄清数据处理机制

针对外界质疑，Defillama创始人0xngmi在社交平台上作出正式回应，强调平台并未将借贷环节计入总锁仓价值。他举例说明：若一方存入100万枚ETH，另一方以等值stETH借款，实际净锁定资产应为100万枚，而非叠加计算的200万或更高。

他还披露，平台曾识别出一个特殊情形——当Ethena将其抵押资产注入Aave并触发循环操作时，曾造成数据膨胀。为此，Defillama已建立专项规则，将Ethena相关资产完全排除在Aave统计之外。0xngmi表示：“我们的核算模型已主动规避循环逻辑影响，目前不存在系统性夸大。”

尽管如此，业内仍呼吁提升数据透明度。链上研究员Karina建议增设“循环流动性占比”视图，以便用户识别潜在风险。另有分析师主张，应将循环价值单独分类呈现，因其具备更高的系统性风险特征。但截至目前，尚无证据显示当前数据存在偏差。

真正漏洞藏于风险管理执行环节

然而，事件后续追责中最具冲击力的批评并未落在数据提供商身上，而是直指风险管理机构Chaos Labs。有分析指出，该机构作为Aave核心风险顾问，年费高达240万美元，却未在批准75%贷款价值比时核查rsETH在LayerZero网络中的验证节点部署模式——即是否采用1/1分布式架构。

这一疏忽直接导致2.36亿美元坏账形成。目前，在Aave治理提案中已有68%的参与者支持对其审查甚至更换，反映出社区对其履职能力的严重质疑。

更深层次的问题在于：桥接适配器代码本身基于标准模板，合约逻辑并无缺陷，问题出在部署配置阶段。这超出了传统Solidity审计的范畴。现行的DeFi风险评估框架主要聚焦智能合约漏洞，却普遍忽视了跨链通证依赖单点或多重验证节点这类关键配置差异。

LayerZero方面已宣布终止对1/1验证节点架构应用的签名授权，并推动所有项目迁移至多节点方案。与此同时，尽管Aave V3已于3月30日在以太坊主网上线，关于其将在4月30日正式启用新抵押机制、致使现有40至60亿美元桥接资产因无法满足至少3/5验证节点要求而失效的说法，尚未获得官方证实。

正如业内人士所言，当前的风险管理角色“既未深入参与底层博弈，也无需承担最终财务后果，更缺乏超越常规审计与预言机检查的深层调查驱动力”，暴露出制度设计上的结构性缺陷。