AAVE分析：Kelp駭客事件後的DeFi借貸 | Edgen

摘要

• 在4月19日Kelp DAO橋接攻擊之前，Aave的總鎖定價值為$264億，該攻擊導致Aave V3產生$1.96億壞帳，引發$66億TVL流出，AAVE代幣一度下跌16-20%至約$91的低點，隨後恢復至當前約$113水準。
• 該協議的核心智能合約在Kelp事件中未被攻破——攻擊針對的是Aave外部的Kelp跨鏈橋，利用該橋鑄造虛假rsETH抵押品——治理回應迅速：在發現攻擊後數小時內凍結rsETH儲備、移除借貸能力並將LTV降至零。
• 「Aave Will Win」治理框架於4月13日以超過75%的支持率通過，將Aave Labs 100%的收入導入DAO金庫，並實施費用轉換以直接分配協議收入——這一結構性里程碑解決了數月來關於收入所有權的內部分歧，使代幣持有者與協議開發之間的激勵保持一致。
• 我們將AAVE評級為買入，目標價$160，基於日協議費用$150萬、約9,700日活躍用戶、約1,600萬流通代幣的淨零通膨供應量，以及即將推出的Aave V4主網將該協議定位為「DeFi作業系統」——駭客事件後的回調在約$17.5億市值為去中心化金融最大借貸協議提供了有吸引力的進場點。

2026年4月的DeFi格局：跨鏈風險暴露

2026年春季的去中心化金融在一個與2021年投機狂潮或2022年生存危機截然不同的環境中運作。所有DeFi協議的總鎖定價值穩定在$1,000億以上，機構參與不再是實驗性的，產生收入的協議已取代收益耕作龐氏騙局成為該領域的重心。然而，4月19日的Kelp DAO攻擊暴露了行業多年來理論上討論但從未在這種規模上經歷過的漏洞：跨鏈橋故障可以傳播到可組合DeFi協議中，並在本身從未被攻破的系統中產生傳染效應的系統性風險。

攻擊向量並非Aave借貸邏輯、清算引擎或預言機基礎設施的缺陷。它是Kelp跨鏈橋的缺陷——一個發行rsETH（代表質押以太坊的流動性再質押代幣）的獨立協議。攻擊者利用該橋漏洞竊取了116,500枚rsETH，價值約$2.92億，並將被盜代幣作為抵押品存入Aave V3。然後他們用這些虛假抵押品借出wETH，有效地從Aave的借貸池中提取了真實資產，而這些抵押品在攻擊被發現且rsETH價值崩潰後將變得一文不值。結果是Aave產生了約$1.96億的壞帳——對協議流動性提供者的債務，無法從現已毫無價值的抵押品中收回。

2026年DeFi的更廣泛宏觀背景是在壓力下走向成熟。美國、歐盟和主要亞洲市場的監管框架正在推進。SEC對去中心化協議不斷演變的立場、歐盟的加密資產市場監管法案以及香港的虛擬資產服務提供商許可制度，共同創造了一個協議必須展示技術韌性和治理可信度才能生存的環境。Aave對Kelp危機的回應——以及其更廣泛的治理軌跡——將決定機構資本是否將其視為關鍵金融基礎設施還是不可接受的對手風險。

從借貸協議到DeFi作業系統：Aave的演變

Aave於2020年1月推出，是ETHLend的品牌重塑，ETHLend是Stani Kulechov於2017年創立的點對點借貸協議。該協議引入了借貸池概念——共享流動性儲備，借款人以發布的抵押品從中提取——並迅速成為DeFi中的主導借貸平台，於2021年中超越Compound。將Aave與同行區分開來的不僅是執行速度，還有架構雄心。閃電貸、可變利率和固定利率之間的利率切換，以及跨Ethereum、Polygon、Avalanche、Arbitrum、Optimism和Base的跨鏈部署，賦予了Aave任何競爭對手都無法匹敵的多鏈存在。

該協議的當前版本Aave V3引入了效率模式（e-mode）、新資產上架的隔離模式以及跨鏈流動性移動的portal功能。這些功能旨在提高資本效率的同時控制風險——這一平衡在Kelp攻擊中受到了極限考驗。即將推出的Aave V4，團隊將其描述為「DeFi作業系統」，承諾統一流動性層、模組化風險管理和原生跨鏈功能，將消除對外部橋的需求——正是這種基礎設施，如果早已存在，本可以防止Kelp的傳染效應波及Aave。

Kulechov的願景超越了協議升級。Aave App是一款面向消費者的行動應用，目標是1,000萬用戶，代表著DeFi可以通過熟悉的使用者介面而非歷來限制參與者為加密原生用戶的web3前端來實現主流採用的押注。通過嵌入式金融合作關係向拉丁美洲擴張——將Aave的借貸基礎設施整合到現有金融科技應用中——遵循了Stripe和Plaid用於將傳統金融基礎設施嵌入消費產品的策略。一個建立在Ethereum上的借貸協議是否能複製這一軌跡仍是一個開放性問題，但策略方向很明確：Aave正試圖成為全球去中心化借貸的基礎設施層，而不僅僅是加密交易者的dApp。

2026年4月推出的Babylon原生BTC抵押品增加了另一個維度。通過使比特幣持有者無需通過中心化託管方包裝即可在Aave上使用BTC作為抵押品，該協議觸達了加密貨幣中最大的資本池——比特幣$1.3萬億的市值——同時消除了與wBTC等包裝資產相關的對手風險。這是基礎設施級別的創新，如果成功，可以有意義地擴大Aave的可尋址市場。

鏈上表現：TVL、收入和用戶指標

在Kelp攻擊之前，Aave的鏈上基本面展示了一個以工業規模運營的協議。$264億的總鎖定價值使Aave成為DeFi中最大的單一借貸協議，遙遙領先——Morpho約$60億，Compound約$30億遠遠落後。日均協議費用約$150萬，折合年化收入約$5.48億——這一數字使Aave在收入生成方面與中等市值SaaS公司並列，儘管成本結構截然不同且沒有傳統意義上的員工。

約9,716名日活躍用戶與消費應用相比可能顯得不多，但在DeFi借貸中，每個用戶代表著重大的經濟活動。Aave上的平均交易規模遠超零售金融科技平台，協議在主要資產池——ETH、USDC、USDT、DAI——的利用率持續超過80%，表明對借貸服務的需求強勁。

協議收入——定義為借貸利率之差減去清算罰金後的差額——每日約$196,000。該收入歸入協議金庫，並在「Aave Will Win」治理投票後，將越來越多地通過直接分配機制流向代幣持有者。費用轉換的啟動——長期以來代幣持有者希望分紅與開發者主張金庫再投資之間的爭議焦點——代表著一個成熟里程碑，類似於成長型公司啟動首次分紅。

駭客事件後$66億的TVL下降令人痛苦但並非災難性的。歷史先例表明，DeFi TVL在攻擊驅動的資金流出後4-8週內恢復，前提是核心協議未被攻破。Aave的情況——協議本身未被入侵——類似於傳統銀行因通過其系統的詐欺資產而遭受損失，而非銀行金庫被闖入。這一區別對恢復動態至關重要。

安全危機與治理轉型：Kelp駭客事件及其後續

4月19日的Kelp DAO攻擊是Aave歷史上最重大的安全事件，理解其影響需要從三個維度審視：技術攻擊向量、協議的回應機制以及危機發生的治理背景。

技術序列在概念上很直接，但執行上很複雜。攻擊者發現了Kelp跨鏈橋合約中的漏洞——該基礎設施允許rsETH在以太坊主網以外的鏈上鑄造。通過利用該漏洞，他們在沒有相應質押ETH支持的情況下鑄造了116,500枚rsETH。這些虛假鑄造的rsETH隨後作為抵押品存入Aave V3，由於rsETH代幣合約本身是有效的，Aave的預言機和風險系統將其視為合法。攻擊者用這些抵押品借出wETH，提取wETH後消失。當攻擊被發現且rsETH價格崩潰以反映不足抵押時，Aave留下了約$1.96億的壞帳——由現在價值僅為面值一小部分的抵押品支持的貸款。

按照DeFi治理標準，Aave的回應是迅速的。協議的Umbrella安全模組——一個質押AAVE代幣池，正是為此類事件設立的後盾——被啟動。rsETH儲備被凍結，阻止進一步的存款或借款。rsETH的借貸能力被設為零，貸款價值比被降至零，防止開設新部位。Stani Kulechov在數小時內通過社群媒體聲明：「攻擊是外部的；Aave合約未被攻破。」這一定性——準確但不完整——成為協議恢復組織圍繞的核心敘事。

現在的關鍵問題是Aave的Umbrella儲備是否足以吸收$1.96億的壞帳。如果不夠，不足部分可能會被社會化到stkAAVE持有者——那些將AAVE代幣鎖定在安全模組中以換取收益的質押者，接受其質押代幣可能被削減以覆蓋協議損失的尾部風險。這一機制自成立以來一直是Aave風險架構的理論性特徵，但從未在這一規模上經受考驗。如果stkAAVE削減發生，它將代表DeFi風險管理的決定性時刻：證明去中心化保險機制可以按設計運作，或者證明它們無法承受現實世界的壓力事件。

治理背景同時放大了危機和機遇。Aave的核心開發團隊BGD Labs於4月1日離開，已經引發了社群內的中心化擔憂。BGD Labs的離開，加上此前風險管理方Chaos Labs的退出，使Aave暫時失去了兩個最關鍵的服務提供商。一項$200,000的安全保留金提案——僅覆蓋兩個月的緊急安全服務——凸顯了去中心化協議在關鍵貢獻者離開時維持營運連續性的脆弱性。

然而，「Aave Will Win」治理框架於4月13日以超過75%的支持率通過，就在Kelp駭客事件前幾天，代表了對這些中心化擔憂的建設性回應。通過將Aave Labs 100%的收入導入DAO金庫並實施費用轉換以直接分配收入，該框架為新的服務提供商和開發者填補BGD Labs和Chaos Labs留下的空缺創造了經濟激勵。該框架還解決了數月來關於誰控制協議收入——DAO還是Labs實體——的內部辯論，有利於DAO，建立了一個加強去中心化的治理先例，即使營運連續性挑戰依然存在。

估值：代幣經濟學與情境分析

對DeFi治理代幣進行估值需要與股票估值根本不同的框架。AAVE的價值來源於三個方面：對$260億以上借貸協議的治理權、通過費用轉換對協議收入的經濟索取權，以及Umbrella安全模組的保險溢價。流通量約1,600萬枚，市值約$17.5億，完全稀釋估值約$18.4億，AAVE相對於流通供應量的溢價不大，反映了淨零代幣通膨——在充斥著激進解鎖計畫的領域中實屬罕見。

我們的情境分析模擬了12個月內三種結果，機率總和為100%。

機率加權期望值為$161（0.30 x $220 + 0.50 x $160 + 0.20 x $75），在考慮駭客後治理過渡和Aave App消費者推出時間不確定性的適度執行風險折扣後，取整為我們的$160目標價。以當前約$113的價格計算，這代表約42%的上漲空間。

與Morpho的比較具有啟發性。Morpho通過最初建立在Aave和Compound之上的資本高效點對點匹配層，將TVL增長至超過$60億，代表著最可信的競爭威脅。然而，Morpho的方法——優化個別貸款匹配而非池化流動性——服務於不同的市場細分。Aave的池化模型提供即時流動性和更廣泛的資產支持，而Morpho的模型為耐心的大額借款人提供更好的利率。兩個協議在實踐中更多是互補而非競爭關係，儘管Morpho的成長軌跡值得關注。

在協議收入倍數基礎上，AAVE約$17.5億的市值對比約$5.48億的年化收入，產生約3.2倍的價格收入比。相比之下，Compound以Aave TVL和功能集的一小部分交易約8倍收入，而Morpho在二級市場的隱含估值暗示倍數超過15倍。以此衡量，AAVE可以說是相對於其收入生成能力最便宜的主要DeFi協議。

風險

智能合約與跨鏈橋風險。 Kelp駭客事件表明，Aave的風險敞口不僅限於其自身的智能合約，還延伸到它接受作為抵押品的整個資產生態系統。雖然Aave的核心合約經過廣泛審計，已處理數千億美元的累計交易量而未發生直接攻擊，但使DeFi強大的可組合性也使其脆弱。在Aave上架的任何資產——無論是流動性質押衍生品、包裝代幣還是再質押產品——都將發行協議的風險概況引入Aave的系統。將rsETH的LTV降至零是被動的，而非預防性的。在Aave V4的模組化風險管理框架部署之前，該協議仍然容易受到Kelp攻擊所展示的同類跨協議傳染的影響。$1.96億的壞帳不僅是資產負債表問題；它是一個信任問題，可能減緩機構對DeFi借貸的採用。

治理中心化與營運連續性。 BGD Labs和Chaos Labs在同一季度的離開暴露了Aave治理模型中的結構性脆弱。一個擁有$260億TVL的協議暫時沒有其核心開發團隊和主要風險管理方——這種情況在同等規模的傳統金融機構中是不可想像的。雖然「Aave Will Win」框架為新的服務提供商的出現創造了經濟激勵，但過渡期存在執行風險。協議升級可能被延遲，安全回應可能更慢，風險參數管理的品質可能在交接期間下降。僅覆蓋兩個月的$200,000安全保留金提案凸顯了營運安全網已變得多麼薄弱。AAVE代幣持有者實際上在押注去中心化治理可以取代中心化的組織能力——這一賭注在這一規模上尚未得到充分驗證。

監管與宏觀經濟逆風。 DeFi借貸協議在一個正在迅速收窄的監管灰色地帶運營。SEC對去中心化協議的態度、歐盟的MiCA框架以及新興的亞洲監管制度都有可能施加合規要求——KYC/AML義務、許可授權、準備金要求——這可能從根本上改變Aave的運營方式。一個在190個國家匿名服務借款人和貸款人的協議在任何單一監管管轄區內都處於不舒適的位置，協調的執法行動可能分裂流動性並大幅降低TVL。在宏觀經濟方面，DeFi借貸需求與加密市場狀況相關：ETH和BTC的持續熊市將同時降低抵押品價值、借貸需求和協議收入。

結論

Kelp DAO攻擊是Aave沒有選擇但必須通過的壓力測試。$1.96億的壞帳意義重大——這種規模的損失無法粉飾——但關鍵區別在於Aave自身的合約沒有被攻破。協議的借貸邏輯、清算引擎和預言機基礎設施按設計運行。失敗在於一個外部橋協議，其代幣被Aave接受為抵押品，這一風險管理決策將在V4架構中被重新審視。對於願意承受4-8週恢復期、等待TVL正常化和治理通過Umbrella機制處理壞帳的投資者而言，當前約$113的價格為進入去中心化金融最大且收入最高的借貸協議提供了有吸引力的進場點。

「Aave Will Win」治理投票、費用轉換啟動、Babylon BTC抵押品整合和V4主網發布共同構成了未來12個月催化劑豐富的路線圖。Aave已不是2021年的那個協議——它更成熟、經歷了更多考驗，現在通過直接收入分享對代幣持有者更加負責。我們將AAVE評級為買入，目標價$160。對於感興趣的平行敘事，我們對Netflix平台轉型的分析展示了主導平台如何將其基礎設施優勢貨幣化，我們對英特爾代工轉型的報導探討了傳統科技企業如何在治理壓力下重塑自我——這些動態呼應了Aave從借貸協議到DeFi作業系統的自身演變。

Kelp DAO駭客事件後AAVE值得買入嗎？

我們將AAVE評級為買入，目標價$160，較當前約$113的價格有約42%的上漲空間。4月19日的Kelp DAO攻擊導致Aave V3產生$1.96億壞帳，但Aave自身的智能合約未被攻破。攻擊利用的是Kelp的跨鏈橋，而非Aave的借貸邏輯。協議通過凍結rsETH儲備、移除借貸能力並將LTV降至零作出了回應。雖然壞帳必須被吸收——可能通過Umbrella安全模組和stkAAVE削減——但協議的基本收入生成能力（每日$150萬費用）、治理改進（費用轉換啟動）和即將推出的V4主網支持恢復論點。歷史先例表明，當核心協議未被入侵時，DeFi TVL在攻擊驅動的資金流出後4-8週內恢復。

Aave因Kelp攻擊產生了多少壞帳？

Kelp DAO橋接攻擊導致Aave V3產生了約$1.96億的壞帳。攻擊者通過Kelp跨鏈橋的漏洞竊取了116,500枚rsETH（約$2.92億），將虛假鑄造的rsETH作為抵押品存入Aave，並借出wETH。當攻擊被發現且rsETH價值崩潰時，貸款變成了不足抵押。Aave的Umbrella安全模組——一個旨在為此類事件提供後盾的質押AAVE代幣池——是吸收這一損失的主要機制。如果Umbrella儲備不足，stkAAVE持有者可能面臨其質押代幣被削減的風險，這一機制自成立以來一直是Aave風險架構的一部分，但從未在這一規模上經受考驗。

什麼是「Aave Will Win」治理投票？

「Aave Will Win」框架是一項治理提案，於2026年4月13日以超過75%的支持率通過。它將Aave Labs 100%的收入導入DAO金庫，並實施費用轉換以直接向代幣持有者分配協議收入。這解決了數月來關於誰控制協議收入——Aave Labs實體還是去中心化DAO——的內部辯論。該框架有效地為AAVE代幣持有者建立了結構性分紅，使代幣成為對協議現金流的直接索取權，而不僅僅是治理權。它是在BGD Labs（Aave核心開發團隊）和Chaos Labs（風險管理方）相繼離開的背景下通過的，兩者都加劇了社群對中心化和問責制的擔憂。

Aave與Morpho和Compound相比如何？

Aave是最大的DeFi借貸協議，當前TVL約$200億（駭客後；駭客前$264億），相比Morpho約$60億和Compound約$30億。Aave每日產生約$150萬的費用，遠超兩個競爭對手。Morpho代表最可信的競爭威脅，通過資本高效的點對點匹配層快速增長，但它服務於不同的市場細分——為大額、耐心的借款人優化利率，而非提供即時池化流動性。Compound曾是主導借貸協議，但在多鏈部署和功能創新方面已落後。在價格收入比基礎上，AAVE以約3.2倍的年化收入交易，相比Compound約8倍，使其成為相對於收入生成能力最便宜的主要DeFi協議。

2026年有哪些催化劑可能推動AAVE上漲？

四個主要催化劑支持超越我們$160基準情境目標的上漲空間。第一，Aave V4主網發布——被描述為具有統一流動性、模組化風險管理和原生跨鏈功能的「DeFi作業系統」——可能擴大Aave的可尋址市場並消除使Kelp攻擊成為可能的跨鏈橋依賴。第二，Babylon原生BTC抵押品整合允許比特幣持有者無需包裝即可使用BTC作為抵押品，觸達比特幣$1.3萬億的市值。第三，Aave App消費者發布目標1,000萬用戶和向拉丁美洲的嵌入式金融擴張可能推動用戶增長超越當前約9,700日活躍用戶。第四，「Aave Will Win」框架下的費用轉換啟動為代幣持有者創造了直接收益機制，可能吸引尋求具有現金流支撐的DeFi敞口的機構資本。

免責聲明：本文僅供參考，不構成投資建議、邀約或買賣任何證券或數位資產的推薦。分析反映作者基於截至發布日期的公開資訊、鏈上數據和Edgen專有研究的觀點。數位資產投資承擔重大風險，包括所有投資資本的潛在損失。DeFi協議面臨智能合約風險、治理風險、監管風險和市場風險。過去的表現不代表未來的結果。讀者在做出投資決策前應進行自己的盡職調查並諮詢合格的財務顧問。Edgen及其分析師可能持有所討論的數位資產部位。價格目標和評級反映12個月遠期預期，可能會被修訂。