Aave เพิ่มความเข้มงวดในการตรวจสอบความเสี่ยง DeFi หลังความสูญเสียจากการโจมตี LayerZero rsETH

TLDR

• Aave ระบุว่าการโจมตี rsETH ในเดือนเมษายนเกิดจากความล้มเหลวในการยืนยันของ LayerZero bridge ไม่ใช่จากข้อบกพร่องในโค้ดของตนเอง
• ผู้โจมตีใช้ rsETH จำนวน 116,500 ที่ไม่มีสินทรัพย์หนุนหลังเป็นหลักประกันบน Aave ทำให้โปรโตคอลมีสินเชื่อที่ไม่สามารถเรียกคืนได้
• Aave จะตรวจสอบสินทรัพย์ทุกรายการบน V3 และขยายการตรวจสอบหลักประกันให้ครอบคลุม bridge, oracle, custodian และความเสี่ยงด้านการดำเนินงาน
• LayerZero ยอมรับว่าการตั้งค่าการยืนยันแบบหนึ่งต่อหนึ่งเป็นความผิดพลาดสำหรับการรักษาความปลอดภัยของสินทรัพย์มูลค่าสูง
• Aave ระบุว่าได้ทำการเปลี่ยนแปลงพารามิเตอร์ความเสี่ยงแล้ว 295 รายการในตลาด V3 นับตั้งแต่เกิดการโจมตี

Aave เริ่มเขียนกฎหลักประกันใหม่หลังจากการโจมตี rsETH bridge ในเดือนเมษายนทำให้โปรโตคอลได้รับความสูญเสียใน DeFi ที่ไม่สามารถเรียกคืนได้

Aave ระบุในรายงานหลังการวิเคราะห์ว่าเหตุการณ์นี้ไม่ได้เกิดจากความล้มเหลวในสัญญาของตนเอง โปรโตคอลการให้กู้ยืมสืบสาวการโจมตีไปยังโทเค็น rsETH ของ KelpDAO และการตั้งค่า LayerZero bridge ที่ใช้ในการโอนสินทรัพย์ข้ามเชน ตามที่ Aave ระบุ ข้อความข้ามเชนที่ปลอมแปลงผ่านการยืนยันและปล่อย rsETH จำนวน 116,500 โดยไม่มี ETH จริงหนุนหลังโทเค็นเหล่านั้น

Aave โยนความผิดให้ความเสี่ยงของโครงสร้างพื้นฐานภายนอก

รายงานหลังการวิเคราะห์ระบุว่าผู้โจมตีฝาก rsETH ที่ไม่มีสินทรัพย์หนุนหลังเข้าสู่ Aave V3 และใช้เป็นหลักประกันในการกู้ยืมสินทรัพย์ ซึ่งไม่สามารถเรียกคืนได้หลังจากที่สินทรัพย์หนุนหลังปลอมถูกเปิดเผย Aave ระบุว่าสัญญาของตนทำงานตามที่ออกแบบไว้ แต่หลักประกันเข้าสู่ตลาดผ่านโครงสร้างพื้นฐานที่อยู่นอกฐานโค้ดของตน

LayerZero ยอมรับว่าได้ทำความผิดพลาดด้วยการยอมให้สินทรัพย์มูลค่าสูงพึ่งพาการตั้งค่าการยืนยันแบบหนึ่งต่อหนึ่ง รายงานของ Aave ใช้เหตุการณ์นี้เป็นข้อโต้แย้งว่าการตรวจสอบความเสี่ยงใน DeFi ต้องตรวจสอบระบบที่อยู่เบื้องหลังสินทรัพย์ที่จดทะเบียน ไม่ใช่เพียงแค่ตัวสินทรัพย์เอง

ความล้มเหลวของ KelpDAO Bridge เปิดเผยจุดอ่อนของ rsETH

KelpDAO ให้บริการ restaking ที่ช่วยให้ผู้ใช้สามารถนำ ETH ที่ stake ไว้มาใช้ประโยชน์เพิ่มเติมเพื่อรับผลตอบแทนสูงขึ้นในโปรโตคอลอื่น ๆ โทเค็น rsETH ของบริษัทเป็นตัวแทนการเรียกร้องต่อ ETH ที่ restake ไว้ ในขณะที่ LayerZero จัดการกระบวนการส่งข้อความที่ช่วยให้ rsETH เคลื่อนที่ระหว่างบล็อกเชน

ในการโจมตีเดือนเมษายน Aave ระบุว่าผู้ยืนยันรายหนึ่งอนุมัติข้อความปลอม เชนที่รับจึงปล่อย rsETH ที่ไม่มี ETH รองรับ เมื่อโทเค็นเหล่านั้นมาถึง Aave ตลาดการให้กู้ยืมก็ถือว่าเป็นหลักประกันที่ยอมรับได้ภายใต้กฎที่มีอยู่

Aave ระบุว่าจะตรวจสอบสินทรัพย์ทุกรายการที่จดทะเบียนบน V3 โปรโตคอลระบุว่าการตรวจสอบหลักประกันในอนาคตจะรวมถึง bridge, การพึ่งพา oracle, สัญญาของบุคคลที่สาม, custodian, ความปลอดภัยในการดำเนินงาน และสภาพคล่องในตลาดรอง

ก่อนหน้านี้ Aave ระบุว่าการตรวจสอบของตนมุ่งเน้นหลักที่ความเสี่ยงทางการเงิน สภาพคล่อง ความผันผวน และการตรวจสอบ smart contract รายงานหลังการวิเคราะห์ระบุว่าการตรวจสอบเหล่านั้นไม่เพียงพอสำหรับสินทรัพย์ที่พึ่งพาเครือข่ายการยืนยันและระบบข้ามเชน

กำลังพัฒนาระบบป้องกันอัตโนมัติ

Aave ระบุว่าทีมความเสี่ยงได้ทำการเปลี่ยนแปลงพารามิเตอร์ 295 รายการในตลาด V3 นับตั้งแต่เกิดการโจมตี การอัปเดตเหล่านั้นรวมถึงการลด supply cap จำนวน 168 รายการ และการลด borrow cap จำนวน 66 รายการ

โปรโตคอลระบุว่ากำลังพิจารณาระบบป้องกันอัตโนมัติที่สามารถลดอัตราส่วน loan-to-value ของสินทรัพย์ลงเป็นศูนย์หลังจากที่ขีดจำกัดความเสี่ยงที่กำหนดไว้ล่วงหน้าถูกละเมิด Aave ระบุว่ามาตรการนี้จะลบอำนาจการกู้ยืมออกจากหลักประกันที่มีปัญหาก่อนที่ความสูญเสียจะแพร่กระจาย

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.