Поделиться этой статьей
Aave пересматривает стандарты листинга после того, как эксплойт на $230 миллионов в rsETH выявил риски мостов
Официальный постмортем выявил, что эксплуатация уязвимости произошла из-за сбоя в проверке моста LayerZero, и изложил масштабную реформу стандартов листинга активов Aave в связи с изменением рисков DeFi, выходящих за рамки ошибок смарт-контрактов.
Что нужно знать:
- Aave заявил, что рекордная эксплуатация rsETH 2026 года произошла из-за сбоя в мосте KelpDAO на базе LayerZero, а не из-за ошибки в смарт-контрактах Aave, что вызвало всесторонний пересмотр всех активов V3 и стандартов листинга.
- В своем отчете о происшествии Aave подробно рассказал, как злоумышленники воспользовались одним проверяющим LayerZero для подделки межцепочного сообщения и выпуска 116 500 необеспеченных rsETH на Ethereum, что выявило скрытые риски в мостах и другой внецепочной инфраструктуре.
- Aave планирует реформировать свою систему управления рисками для тщательного анализа мостов, оракулов, кастодианов и операционной безопасности, добавить автоматизированные средства защиты, способные мгновенно лишать залог возможности заимствования, а также уже внесла сотни изменений параметров для ограничения риска.
Самый дорогой Атака на DeFi в 2026 году началось с моста для повторно стейканного эфира (rsETH) KelpDAO, а не с ошибки в коде Aave. Об этом, как утверждает протокол кредитования, говорится в официальный постмортем, опубликованный на этой неделе, именно поэтому индустрии необходимо пересмотреть методы оценки рисков.
Aave объявила о проведении проверки каждого актива, размещённого на V3, и пересмотре своих стандартов листинга после того, как в апреле была выявлена уязвимость с кражей $230 млн в виде повторно застейканных ETH, что выявило новый класс рисков в DeFi.
В послематериале протокола было установлено, что атака произошла не из-за уязвимости в смарт-контрактах Aave, а из-за сбоя в проверке моста LayerZero, когда один единственный проверяющий одобрил поддельное межсетевое сообщение, выпустившее 116 500 незалоговых токенов rsETH.
В дальнейшем Aave заявляет, что при оценке залогов будут учитываться мосты, зависимости от ораклов, кастодианы и операционная безопасность наряду с финансовыми рисками и рисками смарт-контрактов, которые традиционно подвергались проверке.
KelpDAO — это сервис «рестейкинга», который позволяет пользователям использовать эфир, уже заблокированный в Ethereum для получения вознаграждений за стейкинг, повторно в качестве залога для получения дополнительной прибыли от других протоколов. Токен rsETH представляет собой право пользователя на этот повторно заблокированный эфир. Для перемещения rsETH между блокчейнами KelpDAO использует LayerZero — инфраструктурный компонент, называемый кроссчейн-мостом, который передает сообщения между сетями, чтобы токен, выпущенный на одном блокчейне, мог появиться на другом.
Мосты опираются на набор независимых проверяющих, которые подтверждают подлинность каждого сообщения перед тем, как принимающая сеть выпустит эквивалентные токены.
В атаке в апреле лишь один из проверяющих одобрил поддельное сообщение, что позволило злоумышленнику создать 116 500 rsETH на принимающей цепочке без реальной поддержки эфиром.
Эти токены затем были депонированы в Aave, протокол кредитования, где пользователи берут займы под залог, который они предоставляют, и использовались для получения кредитов, которые Aave не смогла вернуть после того, как rsETH оказался бесполезным. Собственный код Aave работал точно так, как было задумано. Залог, который он принимал, оказался фальшивым, поскольку мост, через который он был доставлен, был взломан.
В то время как LayerZero признала ранее в этом месяце, что она "совершил ошибку" позволив своей собственной системе верификации защищать высокоценные активы в уникальной конфигурации, постмортем Aave идет дальше, используя инцидент для обоснования более широкой реформы управления рисками в DeFi.
Протокол утверждает, что традиционные обзоры, сосредоточенные на волатильности, ликвидности и аудитах смарт-контрактов, не смогли учесть риски, связанные с мостами, сетями верификации и другой инфраструктурой, находящейся за пределами кода приложения.
Помимо аудитов смарт-контрактов и анализа финансовых рисков, Aave заявил, что теперь будет оценивать инфраструктуру мостов, зависимости от оракулов, контракты третьих сторон, кастодиальные соглашения, практики операционной безопасности и ликвидность на вторичном рынке перед одобрением или расширением списка залогов.
Протокол также разрабатывает новые автоматизированные механизмы защиты, предназначенные для более быстрой реакции при признаках нестабильности залоговых активов. Среди предложений, изложенных в постмортеме, — система, которая автоматически снизит коэффициент заемных средств по активу до нуля при превышении заранее определенных порогов риска, устраняя его возможность заимствования до того, как убытки смогут распространиться на более широкий рынок.
С момента эксплуатации команда Aave сообщает, что её менеджеры по рискам уже реализовали примерно 295 изменений параметров на рынках V3, включая 168 сокращений лимитов на поставку и 66 сокращений лимитов заимствования, направленных на ограничение экспозиции к отдельным активам.
По мере того как протоколы DeFi становятся все более взаимосвязанными, анализ после инцидента Aave указывает на то, что отрасли, возможно, следует внимательно изучать не только активы, которые она размещает, но и инфраструктуру, от которой зависят эти активы
More For You
Ваш обзор предстоящих событий на неделю, начинающуюся 1 июня.
What to know:
Crypto Week Ahead — это комплексный список предстоящих событий в мире криптовалют и блокчейна, а также основных макроэкономических событий, которые окажут влияние на рынки цифровых активов.
Главное
