Condividi questo articolo
Aave rivede gli standard di quotazione dopo che l'exploit da 230 milioni di dollari su rsETH ha evidenziato i rischi legati ai bridge
Un post mortem ufficiale ha attribuito l’exploit a un malfunzionamento nella verifica del bridge LayerZero e ha delineato una revisione completa degli standard di quotazione degli asset di Aave, in quanto i rischi della DeFi si spostano oltre i bug nei smart contract.
Cosa sapere:
- Aave ha dichiarato che l'exploit record del 2026 su rsETH è derivato da un malfunzionamento nel bridge di KelpDAO basato su LayerZero, e non da un bug nei propri smart contract, inducendo una revisione approfondita di tutti gli asset V3 e degli standard di quotazione.
- Nel suo resoconto postumo, Aave ha dettagliato come gli aggressori abbiano sfruttato un singolo verificatore LayerZero per falsificare un messaggio cross-chain e creare 116.500 rsETH non garantiti su Ethereum, esponendo rischi nascosti nelle bridge e in altre infrastrutture off-chain.
- Aave prevede di ristrutturare il proprio quadro di gestione del rischio per esaminare attentamente i bridge, gli oracoli, i custodi e la sicurezza operativa, aggiungendo difese automatizzate in grado di revocare istantaneamente il potere di prestito del collaterale, e ha già apportato centinaia di modifiche ai parametri per contenere l’esposizione.
Il più costoso Attacco DeFi del 2026 è iniziato con il ponte dell'ether reinvestito (rsETH) di KelpDAO, non da un bug nel codice di Aave. Questo, sostiene il protocollo di prestito in un post mortem ufficiale pubblicato questa settimana, è esattamente per questo motivo che il settore deve ripensare il modo in cui misura il rischio.
Aave ha annunciato l’avvio di una revisione di ogni asset elencato su V3 e la riscrittura dei criteri di quotazione dopo che l’exploit da 230 milioni di dollari su ETH restaked di aprile ha messo in luce una nuova tipologia di rischio nel settore DeFi.
Il postmortem del protocollo ha attribuito l'attacco non a una falla nei smart contract di Aave, ma a un malfunzionamento nella verifica del bridge LayerZero, dove un singolo verificatore ha approvato un messaggio cross-chain contraffatto che ha liberato 116.500 rsETH non garantiti.
In futuro, Aave afferma che le valutazioni del collaterale prenderanno in considerazione i bridge, le dipendenze dagli oracoli, i custodi e la sicurezza operativa insieme ai rischi finanziari e dei smart contract che ha tradizionalmente analizzato.
KelpDAO è un servizio di “restaking”, che consente agli utenti di utilizzare il proprio ether già bloccato su Ethereum per guadagnare ricompense di staking e riutilizzarlo come collaterale per ottenere rendimenti aggiuntivi da altri protocolli. Il token rsETH rappresenta la rivendicazione di un utente su quell’ether restaked. Per trasferire rsETH tra blockchain, KelpDAO utilizza LayerZero, un’infrastruttura nota come ponte cross-chain che trasmette messaggi tra reti affinché un token emesso su una catena possa comparire su un’altra.
I bridge si basano su un insieme di verificatori indipendenti che confermano l'autenticità di ogni messaggio prima che la catena ricevente rilasci i token equivalenti.
Nell'attacco di aprile, solo uno di quei verificatori ha approvato un messaggio falso, consentendo all'attaccante di coniare 116.500 rsETH sulla catena ricevente senza alcun ether reale a supporto.
Quei token sono stati quindi depositati in Aave, un protocollo di prestito in cui gli utenti prendono in prestito contro la garanzia che forniscono, e sono stati utilizzati per ottenere prestiti che Aave non è riuscita a recuperare una volta che l'rsETH si è rivelato privo di valore. Il codice di Aave ha funzionato esattamente come progettato. La garanzia accettata si è rivelata falsa perché il bridge che l'ha consegnata era stato compromesso.
Mentre LayerZero ha riconosciuto all'inizio di questo mese che esso "ha commesso un errore" consentendo al proprio sistema di verifica di proteggere asset di alto valore in una configurazione unica nel suo genere, l'analisi post-mortem di Aave va oltre utilizzando l'incidente per giustificare una revisione più ampia della gestione del rischio in DeFi.
Il protocollo sostiene che le revisioni tradizionali, incentrate sulla volatilità, liquidità e audit dei smart contract, non sono riuscite a cogliere i rischi creati dai bridge, dalle reti di verifica e da altre infrastrutture che si trovano al di fuori del codice applicativo.
Oltre alle revisioni dei contratti intelligenti e all'analisi del rischio finanziario, Aave ha dichiarato che valuterà ora l'infrastruttura dei bridge, le dipendenze dagli oracle, i contratti di terze parti, gli accordi di custodia, le pratiche di sicurezza operativa e la liquidità del mercato secondario prima di approvare o espandere le quotazioni di collateral.
Il protocollo sta inoltre sviluppando nuove difese automatizzate progettate per reagire più rapidamente quando gli asset collaterali mostrano segni di difficoltà. Tra le proposte delineate nel post-mortem vi è un sistema che ridurrebbe automaticamente a zero il rapporto prestito-valore di un asset una volta superate soglie di rischio predefinite, rimuovendo il suo potere di indebitamento prima che le perdite possano propagarsi nel mercato più ampio.
Dall'exploit, Aave dichiara che i suoi gestori del rischio hanno già eseguito circa 295 modifiche ai parametri nei mercati V3, inclusi 168 riduzioni dei limiti di offerta e 66 riduzioni dei limiti di prestito volte a limitare l'esposizione verso singoli asset.
Con l’aumento dell’interconnessione tra i protocolli DeFi, l’analisi post mortem di Aave suggerisce che il settore potrebbe dover esaminare non solo gli asset che vengono elencati, ma anche l’infrastruttura da cui tali asset dipendono
More For You
Il tuo sguardo su ciò che sta arrivando nella settimana che inizia il 1° giugno.
What to know:
Crypto Week Ahead è un elenco completo di ciò che accadrà nel mondo delle criptovalute e della blockchain, oltre ai principali eventi macroeconomici che influenzeranno i mercati degli asset digitali.
Storie Da Non Perdere
