Aave 和 CoW Swap 週六分別發布了關於 3 月 12 日交換事件的事故分析報告,該事件中,一名用戶通過 Aave 介面上的 CoW Swap 驅動的交換小工具,將超過 5,000 萬美元的 aEthUSDT 轉換為約 36,000 美元的 aEthAAVE。這起事件被廣泛認為是 DeFi 歷史上同類事件中最大的執行損失。
這兩份報告在基本事實上大體一致,但在強調的重點和語氣上有所不同。Aave 的分析主要將損失歸咎於「流動性不足的市場」,並在價格影響(price impact)和滑點(slippage)之間做出了技術區別。CoW Swap 的事故分析則描繪了一幅更複雜的圖景,指出了一連串複合式的基礎設施故障,這些故障導致最終執行結果遠比預想中的初始報價還要糟糕。
根據 CoW 的報告,損失源於「對非流動性交易對發出的大額即時成交或取消(fill-or-kill)訂單、一個過時的 Gas 上限導致拒絕了報價更優的驗證系統、一個中標的求解器(solver)隨後未能鏈上執行訂單,以及一筆可能從私人記憶池(private mempool)洩漏的交易。」
在初始報價階段,三個求解器(即代表用戶執行交易的綁定第三方)做出了回應。最佳未經驗證的報價本可以為這 5,000 萬美元的訂單返回約 500-600 萬美元的 AAVE,這仍然是約 90% 的損失。但報價驗證系統強制執行了一個硬編碼的 1,200 萬 Gas 單位上限,CoW 形容其為「早於當前 Gas 消耗模式的舊代碼」,這導致報價更優的路線未能通過驗證。CoW 指出,他們此後已修復了硬編碼的 Gas 限制。
唯一通過驗證的報價來自「求解器 A」,提供了約 329 個 AAVE,比未經驗證的替代方案差了約 150 到 200 倍。該報價被用於設定訂單的限價。
隨後在執行過程中情況惡化。CoW 識別為「求解器 E」的求解器找到了一條更有利的路線,並連續贏得了兩次拍賣,但未能將兩筆交易中的任何一筆提交到鏈上。沒有觀察到鏈上回滾,這意味著交易從未被提交。兩次失敗後,求解器 E 完全停止了競標,導致只剩下一個較弱求解器逐漸惡化的出價作為唯一選擇。
CoW 在其事故分析報告中指出:「拍賣系統沒有機制來檢測或升級這種模式。」「這個序列代表了一種複合式故障;擁有更好路線的求解器贏得了兩次競標,但未能交付,隨後放棄了訂單,導致最差的執行結果成為唯一剩餘的選擇。」
CoW 的事故分析報告還指出了一個可能的記憶池洩漏的證據。儘管交易是通過私人 RPC 提交的,但 Etherscan 顯示了一個「30 秒內確認」的標籤,這個標籤只在交易被區塊包含之前在公共記憶池中被觀察到時才會出現。CoW 表示,洩漏可能促成了在執行區塊中觀察到的顯著的回溯運行(backrun)活動。CoW 稱,這項調查仍在進行中。
Aave 的事故分析報告側重於流動性不足的市場動態以及用戶不顧警告仍舊執行的決定。報告詳細說明了鏈上路由:CoW Swap 的求解器將用戶的 aEthUSDT 在 Aave V3 上兌換為原始 USDT,通過 Uniswap V3 流動性池將 USDT 交換為 WETH,然後將 WETH 路由通過一個總流動性約 73,000 美元的 SushiSwap AAVE/WETH 池。
Aave 強調,交換小工具顯示了「高價格影響(99.9%)」的警告,並要求用戶勾選一個方框,確認他們接受可能 100% 的價值損失。根據事故分析報告,內部審計記錄證實用戶在行動裝置上自行確認了該警告。資金目前由團隊保管,該用戶尚未與團隊聯繫。
作為回應,Aave 表示正在部署「Aave Shield」,該系統預設會阻止任何價格影響超過 25% 的交換。希望繼續的用戶必須手動導航到設定並禁用該保護功能。
Aave 事故分析報告中一個值得注意的細節是費用數字。3 月 12 日,Kulechov 曾表示團隊將嘗試退還約 60 萬美元的費用。事故分析報告現在將實際交換費用定為 110,368 美元,這是基於 CoW Swap 元數據中可驗證的 25 個基點費用,稱早先的數字為「早期粗略估計」。
這個 25 個基點的費用結構正是一場持續中的治理爭議的焦點,該爭議關於 Aave 的 CoW Swap 整合所產生的交換費用是流向 Aave DAO 財庫,還是流向 Aave Labs 控制的私人地址。這場爭議始於 2025 年 12 月,當時一位 Orbit 代表提出了這個問題,此後引發了關於協議治理、吸收 Aave Labs 的「毒丸(poison pill)」提案,以及 Aave Chan Initiative(DAO 最重要的服務提供商之一)的離去等更廣泛的討論。
兩份事故分析報告都沒有完全詳細說明從該交易中獲利的 MEV 機器人。根據報導,Arkham Intelligence 分析的鏈上數據顯示,區塊構建者 Titan Builder 從該交易中提取了約 3,400 萬美元的 ETH,而另一個 MEV 機器人通過三明治攻擊(sandwich attack)賺取了約 990 萬美元。
CoW 的事故分析報告指出,執行後出現了「顯著的回溯運行(backrun)活動」,並列出了該區塊中獲得 ETH 數量最多的前五個地址,但沒有使用「三明治攻擊(sandwich attack)」一詞,也沒有詳細說明 MEV 機制。
考慮到 CoW Swap 與 Aave 的整合部分是基於其 MEV 保護能力進行推廣的,MEV 角度值得關注。當該合作夥伴關係在 2025 年 12 月擴展時,雙方團隊將其描述為通過「抗 MEV 執行」提供「免受搶先交易(frontrunning)和三明治攻擊(sandwich attacks)的保護」。
CoW 的事故分析報告比 Aave 的報告表現出明顯更強的自我批評語氣,指出「技術上正確不應該是我們努力的上限」,並承認當風險達到 5,000 萬美元時,確認勾選框是「一種遲鈍的工具」。
執行該交換的用戶顯然沒有聯繫任何一方團隊。這場交換災難發生在 Aave 遭受另一起獨立事件的僅兩天後,該事件涉及神諭機(oracle)配置錯誤,導致 34 個帳戶中約 2,600 萬美元的 wstETH 被不公平清算。
免責聲明:The Block 是一家獨立媒體機構,提供新聞、研究和數據。截至 2023 年 11 月,Foresight Ventures 是 The Block 的主要投資者。Foresight Ventures 投資加密領域的其他公司。加密貨幣交易所 Bitget 是 Foresight Ventures 的主要有限合夥人。The Block 繼續獨立運作,提供關於加密行業客觀、有影響力且及時的資訊。這是我們目前的財務披露。
© 2026 The Block。保留所有權利。本文僅供參考。本文不作為或無意作為法律、稅務、投資、金融或其他建議使用。