原文作者：Sanqing，Foresight News

3 月 11 日凌晨，Aave 的链上清算机器人突然密集启动。没有暴跌警报，没有攻击告示，没有预言机异常弹窗——只有交易池里一连串高频、精准、近乎沉默的清算调用。短短数小时内，34 个地址被逐个击穿，10,938 枚 wstETH 被强制退出抵押池，对应借贷仓位价值约 2700 万美元。链上痕迹清晰可溯：每一笔清算都严格遵循协议规则，每一步执行都经由验证器签名，每一次扣减都写入状态树。

欧意官网地址：点击进入〉〉〉

欧意app下载地址：点击下载〉〉〉

币安官网地址：点击进入〉〉〉〉

币安app下载地址：点击下载〉〉〉

图源：CHAOS LABS 清算数据追踪

X 平台上的第一条公开回应来自 Chaos Labs CEO Omer Goldberg，时间戳是 UTC 凌晨 3:17。他写道：“No bad debt. Full reimbursement for all affected users.” 几分钟后，Stani Kulechov 转发并附言：“The protocol is operating as designed.” ——两句话之间，没有解释，没有归因，只有一份对系统确定性的确认。

守护者，变成了收割者

这一次，市场没动。ETH 价格在 3200–3280 美元区间平稳横盘；wstETH/ETH 市场价波动幅度不足 0.4%；Chainlink 和 Redstone 的主流喂价源均未偏离中位数超 0.15%。所有外部信号都安静如常。

真正开始偏移的，是 CAPO（Capped Asset Price Oracle）内部的一组快照参数。

CAPO 不是外部数据管道，而是 Aave 内嵌的速率熔断器。它不质疑价格本身，只约束价格变化的速度。当 wstETH 因持续累积质押收益而自然升值时，CAPO 会拦截那些“涨得太快”的报价，防止有人借质押收益的惯性拉盘套利。它的逻辑很朴素：取一个基准汇率，再设一个三天内最多上浮 3% 的硬顶。

但 CAPO 实际依赖两个变量协同工作：一个是 snapshotRatio（快照汇率值），受链上合约强制限速；另一个是 snapshotTimestamp（快照时间戳），仅作记录，无速率锁。二者本应原子更新——要么一起变，要么都不变。可这一次，它们分开了。

系统尝试将 snapshotRatio 从 1.1572 向目标值 1.2282 推进。速率限制卡住了它：三日窗口内最多允许涨到 1.1919。与此同时，snapshotTimestamp 却毫无阻碍地跳转到了一个更早的时间锚点——相当于把“参考时间”往回拨了整整 7 天。

结果是：CAPO 计算出的“当前最高允许汇率”定格在 1.1939。而真实链上成交价稳定在 1.2282 左右。差值 0.0343，折合约 2.85%。

图源：Chaos Labs 治理论坛 Post-Mortem

这个偏差在普通模式下几乎不可见。用户抵押 wstETH 借 USDC，安全系数仍高于 1.5；清算线离市价尚有余量。但在 E-Mode 下，杠杆被放大至 5x 甚至更高，抵押品估值的微小下修，足以让整条清算阈值曲线向下塌陷一截。

于是，一批本在安全水位之上的仓位，被 CAPO 自己划出的那条线，推过了清算边界。链上机器人没有犹豫，它们读取的是协议状态，不是新闻快讯，也不是 Discord 群里的喊单。它们只是照章办事——检查健康因子，触发清算，拍卖抵押品，分发奖励。

清算所得 ETH 流向分作两支：一支是协议设定的 5% 清算激励，共约 116 枚；另一支来自套利者捕捉价差——他们以 CAPO 低估价拍下 wstETH，立刻在 Uniswap 和 Balancer 上按市价卖出，净赚约 382 枚 ETH。总计流出约 499 枚 ETH（约合 127 万美元），全部源自那 34 个地址的仓位余额。

资金池毫发无损。没有坏账。没有流动性枯竭。没有治理投票紧急暂停。整个协议像一台校准过的钟表，继续走时——只是某些指针，在某个瞬间，指向了不该指的方向。

Chaos Labs：我们全赔

Omer Goldberg 的推文发出后不到两小时，Chaos Labs 工程团队已定位到参数错位路径。他们没有等待治理讨论，也没有提交 AIP，而是直接启动 BuilderNet 追踪清算收益流向。首批 141.5 枚 ETH 在链上被识别、冻结、返还至临时赔付金库。

图源：Omer Goldberg 推文

赔付上限很快敲定：345 枚 ETH（约 87 万美元），覆盖全部受损账户本金与清算滑点损失。资金来源包括 BuilderNet 追回部分 + Aave DAO 国库拨款 + Chaos Labs 自筹补足。赔付流程不设门槛，不验 KYC，不走申述——链上地址匹配即自动发放。

技术修复同步进行。Risk Steward 权限被手动激活，临时将 Core 与 Prime 实例中 wstETH 的借款上限压至 1。这不是停机，而是降频：让 CAPO 参数在低负载下完成一次强制重对齐。待 snapshotRatio 与 snapshotTimestamp 再次咬合，借款上限才逐步恢复至 Core 18 万、Prime 7 万。

预言机问题，从不是新话题

2 月 18 日，Moonwell 的 cbETH 喂价跳变为 0.98 美元。链上日志显示，错误源于一个被遗忘的测试配置项，上线时未清除。180 万美元坏账在十分钟内生成，无人能撤回。

更早些，Mango Markets 的价格操纵发生在 Serum DEX 的订单簿深度层；Euler Finance 的漏洞藏在清算函数的递归调用里。它们都指向同一个事实：DeFi 的风险从来不在黑天鹅振翅，而在灰犀牛踱步时，你脚下的地面是否悄悄松动了一颗铆钉。

Aave 这一次不同。出错的不是外部数据源，不是第三方桥接器，不是未审计的升级合约。是 CAPO——那个被设计出来专门对抗价格操纵的模块，那个在白皮书中被称作“adaptive safety layer”的组件，自己成了故障源。

它没有崩溃，没有报错，没有抛出 revert。它只是忠实地执行了自己的逻辑：用过期的时间戳，配合受限的汇率值，算出一个偏低的上限。然后，协议照单全收，用户照单被清。

“Code is Law” 依然成立。问题不出在代码不被执行，而出在被执行的代码，其前提假设已在静默中失效。参数更新缺乏交叉校验，时间戳与汇率值之间没有一致性断言，链上约束与业务语义之间缺少语义桥接层——这些空缺不会在测试网报错，却会在主网上，把一笔笔 wstETH 变成清算列表里的哈希值。