根據 CoinDesk 於 13 日（當地時間）的報導，疑似與北韓相關的「駭客攻擊」正持續在「去中心化金融（DeFi）」領域擴散，導致借貸協議「詞Aave(AAVE)」的「詞總鎖倉價值（TVL）」大幅下滑，整體「詞流動性」出現明顯緊縮。事件起於「詞Kelp DAO」的「詞流動質押代幣」rsETH，在跨鏈「詞橋接（Bridge）」漏洞被盜，市場對後續「詞借貸與清算風險」的恐慌迅速升溫。

根據報導，事故源頭是透過「LayerZero」跨鏈橋，約 2.9 億美元規模的 rsETH 被不明攻擊者轉移。該攻擊者其後將竊取的 rsETH 存入「詞Aave」，再以此為抵押，借出約 2.36 億美元的「詞包裝以太幣 WETH」。在這一連串操作下，協議內的「詞流動性池」迅速被抽乾，普通使用者被迫提回抵押資產、調整借款部位。統計顯示，自週末以來，Aave 協議中已流出約 90 億美元資金，凸顯市場對系統性風險的擔憂。

本次攻擊的幕後黑手，被多方研判為隸屬北韓偵察總局的駭客組織「拉撒路集團（Lazarus Group）」。LayerZero 則表示，Kelp DAO 在設計上採用了「單一 DVN（去中心化驗證網路）」配置，成為關鍵弱點；不過部分開發者認為，這種說法有轉嫁責任之嫌，批評焦點應放在「橋接驗證機制」缺乏足夠冗餘與多重驗證，才會導致一次入侵就波及多個「詞DeFi 協議」。

這起事件的外溢效應，已明確反映在 Aave 的市場結構之中。由於 rsETH 市場已暫停運作，Aave 平台上的 WETH 流動性急遽萎縮，多個「詞穩定幣（Stablecoin）」池被擠壓至近乎「滿載」狀態，資金進出空間有限。「詞DeFi 風險管理」平台 Spark 指出，Aave 近期調整後的借貸利率機制，可能在高壓情境下放大連鎖失靈的可能性。數據聚合平台 DeFiLlama 開發者 0xngmi 則估算，在最悲觀情境下，Aave 平台內的「詞壞帳規模」恐高達 3.41 億美元。

目前，相關損失究竟由誰買單仍未有定論。Aave 團隊已表示，將考慮啟用自家的「詞後備保險基金 Umbrella」以及部分社群資金，作為填補缺口的方案之一，但多數觀點認為，現有規模難以完全覆蓋潛在虧損。業界分析人士預估，依最壞情境推算，Aave 存款人可能面臨約 5% 至 8% 的本金減記風險。

評論

此次 rsETH 跨鏈攻擊與 Aave 流動性緊縮，凸顯了「詞DeFi 結構性脆弱性」：從「詞跨鏈橋配置」、抵押品認定，到「詞清算與流動性防禦機制」，彼此環環相扣，卻在真正發生損失時，仍缺乏清楚的「詞責任分攤與賠付框架」。LayerZero 事後建議業者儘速導入「多重 DVN」架構，本質上也是對現行單點驗證模式的反思。

不少觀察人士指出，這起事件已超出單純的「詞資安事故」範疇，而是再次暴露出 DeFi 生態在「詞治理」、「詞風險管理」與「詞協議設計」上的成熟度仍然不足。如何在追求資本效率與收益的同時，避免單一基礎設施故障演變為多協議連鎖危機，將成為後續 DeFi 協議與基礎建設開發團隊必須正面回應的關鍵課題。