Поділитися цією статтею
Aave переглядає стандарти лістингу після експлойту rsETH на $230 мільйонів, що виявив ризики мосту
Офіційний постмортем виявив, що експлойт стався через збій у верифікації мосту LayerZero, та окреслив масштабну ревізію стандартів лістингу активів Aave у зв’язку з тим, що ризики DeFi виходять за межі помилок смарт-контрактів.
Що варто знати:
- Aave заявив, що рекордний експлойт 2026 року з rsETH стався через збій у мості KelpDAO на базі LayerZero, а не через помилку у власних смарт-контрактах Aave, що призвело до комплексного перегляду всіх активів версії V3 та стандартів лістингу.
- У своєму посмертному звіті Aave детально описала, як зловмисники скористалися одним верифікатором LayerZero для підробки крос-чейн повідомлення та випуску 116 500 незабезпечених rsETH на Ethereum, виявивши приховані ризики у мостах та іншій офчейн інфраструктурі.
- Aave планує переглянути свою систему управління ризиками для ретельного контролю мостів, оракулів, кастодіальних сервісів та операційної безпеки, додати автоматизовані механізми захисту, які можуть миттєво позбавити заставу позикової спроможності, а також уже здійснила сотні змін параметрів для обмеження експозиції.
Найдорожчий Атака DeFi 2026 року почалося з мосту restaked ether (rsETH) від KelpDAO, а не через помилку в коді Aave. Саме так запевняє протокол кредитування в офіційний звіт про розбір польотів опубліковано цього тижня, саме тому галузі необхідно переглянути підходи до оцінки ризиків.
Aave повідомила про початок перегляду кожного активу, який зареєстрований на V3, а також про переписування стандартів листингу після того, як у квітні була викрита вразливість в $230 restaked ETH, що виявила новий клас ризиків у DeFi.
Постмортем протоколу виявив, що атака сталася не через помилку в смарт-контрактах Aave, а через збій у верифікації моста LayerZero, де один верифікатор схвалив підроблене міжланцюгове повідомлення, яке призвело до випуску 116 500 необґрунтованих rsETH.
В подальшому Aave заявляє, що оцінки застави враховуватимуть мости, залежності від оракулів, кастодіанів та операційну безпеку поряд із фінансовими ризиками та ризиками смарт-контрактів, які традиційно аналізувалися.
KelpDAO — це сервіс «рестейкінгу», який дозволяє користувачам використовувати їхній ефір, вже заблокований в Ethereum для отримання винагород за стейкінг, повторно в якості застави для отримання додаткового доходу від інших протоколів. Токен rsETH представляє права користувача на цей рестейкований ефір. Для переміщення rsETH між блокчейнами KelpDAO використовує LayerZero, інфраструктуру під назвою крос-чейн міст, який передає повідомлення між мережами, щоб токен, випущений на одній ланцюжку, міг з’явитися на іншій.
Мости покладаються на набір незалежних верифікаторів, які підтверджують достовірність кожного повідомлення перед тим, як ланцюг отримувач випустить еквівалентні токени.
У квітневій атаці лише один із цих верифікаторів затвердив підроблене повідомлення, що дозволило зловмиснику створити 116 500 rsETH на приймаючому ланцюгу без фактичного покриття ефіром.
Ці токени було потім внесено до Aave, кредитного протоколу, де користувачі позичають під заставу, яку вони надають, і використано для отримання позик, які Aave не змогла повернути після того, як rsETH виявився марним. Власний код Aave працював саме так, як було задумано. Застава, яку він прийняв, виявилася фальшивою, оскільки міст, який її доставив, був скомпрометований.
У той час як LayerZero визнав раніше цього місяця, що він "зробив помилку" дозволяючи своїй власній системі верифікації забезпечувати безпеку активів великої вартості у конфігурації один-єдиний, постмортем Aave йде далі, використовуючи інцидент для виправдання більш широкого перегляду управління ризиками в DeFi.
Протокол стверджує, що традиційні огляди, зосереджені на волатильності, ліквідності та аудитах смарт-контрактів, не змогли охопити ризики, створені мостами, мережами верифікації та іншою інфраструктурою, яка знаходиться поза кодом додатків.
Окрім аудитів смарт-контрактів та аналізу фінансових ризиків, Aave повідомила, що тепер буде оцінювати інфраструктуру містків, залежності оракулів, контракти третіх сторін, умови зберігання, практики операційної безпеки та ліквідність вторинного ринку перед затвердженням або розширенням переліку застави.
Протокол також розробляє нові автоматизовані засоби захисту, які покликані швидше реагувати у разі появи ознак проблем з заставними активами. Серед пропозицій, викладених у звіті після інциденту, є система, яка автоматично зменшуватиме коефіцієнт позики до вартості активу до нуля після перевищення заздалегідь визначених порогів ризику, позбавляючи його можливості позичання до того, як збитки поширяться на широкий ринок.
З моменту експлойту компанія Aave повідомляє, що її менеджери з ризиків вже здійснили приблизно 295 змін параметрів на ринках V3, включаючи 168 зниження лімітів на постачання та 66 зниження лімітів на позики, спрямованих на обмеження експозиції до окремих активів.
Оскільки протоколи DeFi стають більш взаємопов’язаними, посмертний аналіз Aave свідчить про те, що галузі, ймовірно, слід ретельніше перевіряти не лише активи, які вона перераховує, а й інфраструктуру, від якої ці активи залежать
Mehr für Sie
Ваш огляд подій, які настануть у тиждень, що починається 1 червня.
Was Sie wissen sollten:
Crypto Week Ahead — це комплексний перелік подій, що наближаються у світі криптовалют і блокчейну, а також основних макроекономічних подій, які впливатимуть на ринки цифрових активів.
Головне
