全球

Aave 在 KelpDAO 事件后全面改革资产上市标准,呼吁全行业跟进

Posted on by Aiying快讯
08
5 月

Aave KelpDAO DeFi资产上市标准改革

四月的 KelpDAO 跨链桥攻击,给 DeFi 借贷龙头 Aave 留下了一笔近三亿美元坏账的烂摊子。但更值得关注的是 Aave 事后的反应——不是简单的”修 bug、补漏洞”,而是从资产上市标准的底层逻辑出发,推动了一场可能影响整个 DeFi 行业的风险管理范式转变。在 Consensus Miami 2026 的会场上,Aave Labs 首席法律与政策官 Linda Jeng 的发言释放了一个清晰信号:DeFi 的自我监管能力,正在从”出了事再补救”进入”在出事之前就建立系统性防线”的新阶段。

Aave 到底改了哪些标准?

在 KelpDAO 事件中,攻击者利用 KelpDAO 跨链桥的漏洞铸造了 116,500 枚无支持的 rsETH 代币(价值约 2.93 亿美元),并将这些代币存入 Aave 作为抵押品,借出了真实的 WETH(CoinDesk,2026-05-07)。Aave 协议因此承担了数亿美元的坏账,成为 2026 年迄今最大的 DeFi 安全事件。

但问题的根源并不复杂:Aave 原有的风险框架虽然完善,却过于聚焦在金融风险维度——价格波动、流动性深度、市值规模。KelpDAO 的 rsETH 在这些指标上的表现并没有明显问题,真正出问题的是它的跨链桥安全性和代币发行架构——而这两个维度在旧的上市标准中几乎是一片盲区。

Aave 此次宣布的资产上市标准改革,核心是在传统的金融风险评估之外,新增三个维度的审查:

  • 互操作性评估:资产在不同协议和链之间的交互方式是否存在系统性风险;
  • 网络安全漏洞审查:资产本身、其依赖的跨链桥、以及发行协议的安全态势;
  • 底层技术架构分析:代币的铸造机制、桥接设计是否存在单点故障或恶意操纵空间。

除此之外,Aave 还将发布一份面向资产发行方的正式”最低标准手册”(formal playbook),明确项目方必须在哪些维度达标才能上线 Aave。同时,Aave 也宣布将改变过去”按池评估、各自独立”的做法,转而采用系统性互联分析——考察一个角落的风险如何通过 DeFi 的可组合性传导到另一个角落。

用 Linda Jeng 在 Consensus Miami 上的原话说:”Going forward, every asset seeking to be listed on Aave will face a broader assessment covering interoperability, cybersecurity vulnerabilities, and the underlying architecture of the asset.”

为什么这件事的法律意义被低估了?

市场对这则新闻的第一反应可能是”Aave 在做一个技术升级”,但我认为这件事的法律信号远比技术信号强。

DeFi 自律 vs 外部监管:边界正在被重新定义

过去几年,DeFi 行业在面对监管压力时,最常见的论调是”去中心化协议无法像中心化实体一样承担合规义务”。这个说法在法律上有一定道理——没有法人实体、没有办公地址、没有可识别的管理层,监管机构确实很难找到执法抓手。

但 Aave 这次的做法,实际上是在主动回答一个监管机构迟早会问的问题:如果一个 DeFi 协议被用作系统性金融基础设施,它有没有能力(以及意愿)建立内部的、可执行的资产安全标准?

Linda Jeng 本人曾是 2008 年金融危机期间的监管官员,她在 Consensus 上明确将这次事件与 2008 年做了对比:”2008 年我们不得不救助银行。而这一次,我们作为一个生态系统团结起来,自己救助了自己。”这个表述的潜台词很明确:DeFi 正在试图证明,行业自律可以替代政府救助和外部强制监管

但这把双刃剑的另一面是:如果 Aave 建立了新标准,未来再发生类似事件,监管机构和法院在判断 Aave 是否尽到”合理注意义务”时,这些公开宣示的标准将成为重要的参考依据。

从”纯金融风险”到”全维度尽调”——DeFi 治理的范式转变

在传统金融领域,资产上市审查是一个高度成熟的流程:证券交易所对拟上市公司的审查涵盖财务状况、公司治理、信息披露、关联交易等几十个维度。但在 DeFi 世界里,直到 KelpDAO 事件之前,资产上市标准几乎等同于”这个币会不会归零”。

Aave 这次改革最有意思的地方,在于它引入的网络安全和架构审查维度。这本质上是将传统金融 DD(尽职调查)中的操作风险技术风险评估框架,引入了 DeFi 的资产上市流程。这意味着:

  • 未来在 Aave 上架资产的团队,需要像拟 IPO 的公司一样准备技术文档和安全审计报告;
  • DAO 治理投票不再只是”你觉得这个币能涨吗”,而是要对资产的技术架构和跨链依赖关系做出实质性的专业判断;
  • 那些依赖复杂跨链桥或多层代币包装的资产,可能面临更高的上架门槛甚至被拒之门外。

对于习惯了 DeFi “无许可”叙事的人来说,这看起来像是退步。但从合规从业者的角度看,这是一个行业走向成熟必须经历的阶段——当 DeFi 协议管理的资产规模达到数百亿美元级别时,无许可不等于无责任

如果 Aave 采用了新标准,但仍发生类似事件,法律上怎么算?

这是一个从业者一定会问,但目前还没有明确答案的问题。

从法律角度看,Aave 公开宣布新标准这件事本身,在法律上会产生两个方向的影响:

有利的一面:Aave 可以主张自己已经建立了行业领先的风险管理框架,尽到了合理的审慎义务。在面临监管调查或诉讼时,这构成了有力的”安全港”抗辩材料。

不利的一面:一旦标准被公开宣示,未能达到自己设定的标准本身就可能构成过失。换句话说,如果未来再有资产因为网络安全或架构缺陷导致 Aave 产生坏账——而 Aave 的新标准本来应该能识别这个问题——那么监管机构和原告律师会说:”你们自己定的标准都没做到,这难道不是过失?”

这正是 DeFi 协议在”安全保障义务”问题上面临的核心困境:不设标准会被认为缺乏责任意识,设了标准则给未来的法律评估提供了标尺。传统金融用了几十年时间在判例法中逐步厘清”合理注意义务”的边界,而 DeFi 正在用一次次危机事件加速走这个过程。

行业标准化趋势:DeFi SRO 的雏形?

Aave 在宣布自身改革的同时,明确呼吁整个 DeFi 行业采用类似标准。Linda Jeng 的措辞不是”建议”而是”希望其余 DeFi 跟进”(”wants the rest of DeFi to follow”)。

在传统金融领域,行业标准的形成通常有两种路径:一是监管机构自上而下地制定规则(如 SEC 的 Reg BI、欧盟的 MiCA);二是行业自发成立自律组织(SRO,如 FINRA 对证券经纪商的监管、NFA 对期货行业的自律)。

Aave 这次的动作,更像是后一条路径的早期信号。结合 KelpDAO 事件后“DeFi United”联盟的出现——Lido、EtherFi、Ethena 等协议联合起来共同消化坏账——我们可以看到 DeFi 行业正在形成一种 “危机驱动型集体行动”模式

但这种模式离真正的 SRO 还有几个关键差距:

  • 标准的强制执行机制:Aave 可以在自己的协议内执行标准,但无法强制 Compound、Morpho 或其他借贷协议也这样做。没有跨协议的约束力,”行业标准”就只是倡议;
  • 独立的监督和裁决机构:真正的 SRO 需要有独立于任何单一协议的治理结构和争议解决机制,而 DeFi United 目前更像是一个临时联盟;
  • 监管机构的认可:要让 SRO 具有法律效力,通常需要监管机构的正式授权或至少是默许。在美国当前的监管环境下(SEC 对 DeFi 的强硬立场),这条路不容易走。

但我认为方向是对的。DeFi 如果不想被当作”无监管的金融活动”而被一刀切禁止,就需要向监管机构展示一种可被审计、可被问责的自我监管能力。Aave 的资产上市标准改革和 DeFi United 的诞生,都是从”我们不需要监管”到”我们可以自己管好自己”的信号转变。

从 KelpDAO 到 Aave:安全责任的传导链条

我们在之前的文章(KelpDAO 事件与 LayerZero 跨链责任分析)中讨论过一个问题:当跨链桥出问题时,安全责任应该落在哪个环节?是跨链协议(LayerZero)、资产发行方(KelpDAO)、还是使用该资产作为抵押品的借贷协议(Aave)?

Aave 这次的改革给出了一个务实的回答:与其在法律上争论责任归属,不如在技术上把风险阻断在上游。通过在资产上市环节就审查跨链桥的安全性和代币的铸币架构,Aave 实际上是在告诉市场——”我不依赖别人的安全承诺,我自己来把关。”

这是一种典型的”纵深防御”思维,也是传统金融风险管理的核心理念。银行在接受抵押品时,从来不会只看抵押品的市场价值,还会审查抵押品的法律权属、流动性、以及在极端市场条件下的变现能力。Aave 现在做的事情,本质上就是把银行的抵押品管理逻辑搬到了链上。

全球监管机构怎么看?

这件事在不同司法管辖区可能产生截然不同的监管反应。

美国:SEC 和 CFTC 对 DeFi 的态度一直偏强硬,但 Aave 的做法可能成为一个微妙的分水岭。如果一个 DeFi 协议主动建立并公开自己的风险管理标准,它在监管谈判中的站位会比”我们只是代码”的协议好得多。尤其是 Linda Jeng 本人的前监管官员身份,Aave 很清楚自己在向谁、传递什么信号。

欧盟:MiCA 框架对 DeFi 的覆盖范围仍在讨论中,但欧盟监管机构一贯倾向于鼓励行业自律作为正式立法的补充。Aave 的做法在布鲁塞尔可能获得比在华盛顿更积极的评价。

亚太:新加坡 MAS 和香港 SFC 在加密监管上采取了”渐进式监管”路线,更关注持牌机构的合规而非协议层面的自我治理。但 Aave 的改革如果被证明有效,可能影响亚太监管机构在 DeFi 监管沙盒中的评估标准。

一个值得关注的后续信号是:如果 Aave 的新标准在接下来一年内有效阻止了类似 KelpDAO 的事件,那么”自律有效”的叙事将获得强有力的实证支撑。反之,如果类似事件再次发生,则可能加速外部监管的介入。

一句话总结

Aave 将资产上市标准从”纯金融风险评估”扩展到网络安全和架构审查,表面上是技术升级,实质上是 DeFi 协议在监管压力和行业危机双重驱动下,从”被动抗辩”走向”主动建标准”的关键一步——这一步走得好,DeFi 自律的故事就成立了;走不好,留给监管机构的空白只会被更严苛的规则填满。

Aiying 艾盈团队原创,作者 Tony,转载需授权。

参考来源:

  1. CoinDesk, “Aave to Overhaul Collateral and Listing Standards After KelpDAO Exploit”, 2026-05-07, 原文链接
  2. Aiying 艾盈, “KelpDAO 2.93亿美元跨链桥攻击事件:谁来为 LayerZero 的安全背书?”, 2026-05-06, 原文链接
Aiying快讯