Aave teeb DeFi riskikontrolli rangeks pärast LayerZero rsETH rünnaku kaotusi

KOKKUVÕTE

• Aave teatas, et aprillis toimunud rsETH-ekspluateerimine pärines LayerZero sildi kontrollimise ebaõnnestumisest, mitte oma koodis esinenud veast.
• Rünnaku läbi kasutas rünnakuteostaja 116 500 tagatiseta rsETH-i Aave’is tagatiseks, jättes protokolli taastumatute laenudega.
• Aave üle vaatab kõiki V3-varasid ja laiendab tagatise kontrolli, et see hõlmaks ka sildu, orakleid, hoiustajaid ning operatsioonilisi riske.
• LayerZero tunnistas, et kõrgväärtuslike varade turvalisuse tagamiseks oli tema ühekordne kontrollimise seadistus viga.
• Aave teatas, et ekspluateerimise järel on tehtud juba 295 muudatust riskiparameetrites kogu V3-turgudel.

Aave on alanud oma tagatisreeglite ümberkirjutamist pärast aprillis toimunud rsETH-silda ekspluateerimist, mis põhjustas protokollile taastumatuid DeFi-kaotusi.

Aave kirjeldas postmortem’is, et insident ei tulenud tema lepingute ebaõnnestumisest. Laenamisprotokoll jälgis ekspluateerimist KelpDAO restaked etheri (rsETH) tokeni ja selle vara üle ahnade liigutamiseks kasutatava LayerZero silla kaudu. Aave’i andmetel läbis vale ristahelate sõnum kontrolli ja vabastati 116 500 rsETH-i ilma tegeliku etherita, mis neid tokenid tagaks.

Aave süüdistab välist infrastruktuuri riski

Postmortem’is öeldi, et rünnakuteostaja sisestas Aave V3-sse tagatiseta rsETH-i ja kasutas seda tagatiseks varade laenamiseks, mida ei saanud hiljem taastada pärast seda, kui võltsitud tagatis selgus. Aave ütles, et tema lepingud töötasid nii, nagu oli mõeldud, kuid tagatis sisenes tema turgudele infrastruktuuri kaudu, mis asub tema koodibaasist väljaspool.

LayerZero tunnistas, et oli viga lubada kõrgväärtuslikul varal tugineda ühekordsele kontrollimise seadistusele. Aave raport kasutas seda juhtumit argumendina selleks, et DeFi riskianalüüsid peavad nüüd uurima ka loetletud varade taga olevaid süsteeme, mitte ainult varasid ise.

KelpDAO silla ebaõnnestumine paljastas rsETH nõrkused

KelpDAO pakub restakinguteenuseid, mis võimaldavad kasutajatel kasutada oma stakingutud etheri ekspositsiooni uuesti täiendava tulu saamiseks teistes protokollides. Selle rsETH token tähistab restakingutud etheri nõuet, samas kui LayerZero haldab sõnumite saatmise protsessi, mis võimaldab rsETH-i liikumist erinevate blokiahelate vahel.

Aprillis toimunud ekspluateerimises ütles Aave, et üks verifikaator kinnitas vale sõnumi. Saavahel vabastas seejärel rsETH-i, mille taga ei olnud vastavat etherit. Kui need tokenid jõudsid Aave’i, siis käsitati neid laenaturul vastuvõetavana tagatisena kehtivate reeglite kohaselt.

Aave ütles, et ta üle vaatab nüüd kõiki V3-le loetletud varasid. Protokoll ütles, et tulevased tagatisekontrollid hõlmavad sildu, oraklite sõltuvusi, kolmandate osapoolte lepinguid, hoiustajaid, operatsioonilist turvalisust ja sekundaarset turu likviidsust.

Eelnevalt keskendusid Aave kontrollid peamiselt finantsriskele, likviidsusele, volatiilsusele ja nutilepingute audititele. Postmortem’is öeldi, et need kontrollid ei olnud piisavad varade jaoks, mis sõltuvad verifitseerimisvõrkudest ja ristahelate süsteemidest.

Automaatsed kaitsemeetmed arenduses

Aave ütles, et riskimeeskonnad on teinud ekspluateerimise järel 295 parameetri muudatust V3-turgudel. Nende uuenduste hulka kuulus 168 tarnepiirangu vähenemist ja 66 laenupiirangu vähenemist.

Protokoll ütles, et kaalub automaatselt aktiveeruvaid kaitsemeetmeid, mis võiksid kindlaksmääratud riskipiiride ületamisel vähendada varade laenamisvõimalust väärtuseni null. Aave ütles, et see meetme eemaldaks laenamisvõimaluse hädaolukorras olevast tagatisest enne, kui kaotused leviksid.

Postitus „Aave tugevdab DeFi riskikontrolle pärast LayerZero rsETH ekspluateerimise kaotusi“ ilmus esimesena CoinCentral’is.