Aave Înăsprește Verificările de Risc DeFi după Pierderile din Exploatarea rsETH prin LayerZero

TLDR

• Aave a declarat că exploitul rsETH din aprilie a provenit dintr-o defecțiune de verificare a bridge-ului LayerZero, nu dintr-un bug în propriul cod.
• Atacatorul a folosit 116.500 rsETH neacoperit drept garanție pe Aave, lăsând protocolul cu împrumuturi irecuperabile.
• Aave va revizui fiecare activ V3 și va extinde verificările de garanție pentru a include bridge-uri, oracole, custozi și riscuri operaționale.
• LayerZero a recunoscut că configurația sa de verificare unu-la-unu a fost o greșeală pentru securizarea activelor de mare valoare.
• Aave a declarat că a efectuat deja 295 de modificări ale parametrilor de risc pe piețele V3 de la exploit.

Aave a început să rescrie regulile sale de garanție după ce un exploit de bridge rsETH din aprilie a lăsat protocolul cu pierderi DeFi irecuperabile.

Aave a declarat în postmortemul său că incidentul nu a provenit dintr-o defecțiune a contractelor sale. Protocolul de creditare a urmărit exploitul până la tokenul de ether restacat al KelpDAO, rsETH, și configurația bridge-ului LayerZero folosită pentru a muta acel activ între lanțuri. Conform Aave, un mesaj cross-chain falsificat a trecut verificarea și a eliberat 116.500 rsETH fără ether real care să susțină tokenii.

Aave Acuză Riscul Infrastructurii Externe

Postmortemul a arătat că atacatorul a depus rsETH neacoperit în Aave V3 și l-a folosit drept garanție pentru a împrumuta active, care nu au putut fi recuperate după ce susținerea falsă a devenit evidentă. Aave a declarat că contractele sale au funcționat conform proiectului, dar garanția a intrat pe piețele sale prin infrastructură din afara bazei sale de cod.

LayerZero a recunoscut că a făcut o greșeală permițând unui activ de mare valoare să se bazeze pe o configurație de verificare unu-la-unu. Raportul Aave a folosit incidentul pentru a argumenta că revizuirile de risc DeFi trebuie să examineze acum sistemele din spatele activelor listate, nu doar activele în sine.

Defecțiunea Bridge-ului KelpDAO a Expus Vulnerabilitatea rsETH

KelpDAO oferă servicii de restaking care permit utilizatorilor să reutilizeze expunerea la Ether stacat pentru randament suplimentar pe alte protocoale. Tokenul său rsETH reprezintă o creanță asupra etherului restacat, în timp ce LayerZero gestionează procesul de mesagerie care permite rsETH să se deplaseze între blockchain-uri.

În exploitul din aprilie, Aave a declarat că un verificator a aprobat un mesaj fals. Lanțul receptor a eliberat apoi rsETH care nu avea ether corespunzător în spatele său. Odată ce acei tokeni au ajuns la Aave, piața de creditare i-a tratat ca garanție acceptabilă conform regulilor existente.

Aave a declarat că va revizui acum fiecare activ listat pe V3. Protocolul a declarat că verificările viitoare de garanție vor include bridge-uri, dependențe de oracole, contracte terțe, custozi, securitate operațională și lichiditate pe piața secundară.

Anterior, Aave a declarat că revizuirile sale s-au concentrat în principal pe riscul financiar, lichiditate, volatilitate și audituri de contracte inteligente. Postmortemul a afirmat că acele verificări nu au fost suficiente pentru activele care depind de rețele de verificare și sisteme cross-chain.

Apărări Automate în Curs de Dezvoltare

Aave a declarat că echipele sale de risc au efectuat 295 de modificări ale parametrilor pe piețele V3 de la exploit. Acele actualizări au inclus 168 de reduceri ale plafonului de ofertă și 66 de reduceri ale plafonului de împrumut.

Protocolul a declarat că ia în considerare protecții automate care ar putea reduce raportul împrumut-la-valoare al unui activ la zero după depășirea limitelor de risc prestabilite. Aave a declarat că măsura ar elimina puterea de împrumut din garanțiile aflate în dificultate înainte ca pierderile să se răspândească.

Postarea Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses a apărut prima dată pe CoinCentral.