Aave verschärft DeFi-Risikoprüfungen nach LayerZero rsETH-Exploit-Verlusten

TLDR

• Aave erklärte, dass der rsETH-Exploit im April auf einen Verifizierungsfehler der LayerZero Cross-Chain Brücke zurückzuführen ist, nicht auf einen Fehler im eigenen Code.
• Der Angreifer nutzte 116.500 ungedeckte rsETH als Sicherheiten bei Aave, wodurch dem Protokoll uneinbringliche Kredite entstanden.
• Aave wird jeden V3-Vermögenswert überprüfen und die Kollateralprüfungen auf Bridges, Oracles, Verwahrer und operationelle Risiken ausweiten.
• LayerZero räumte ein, dass sein One-of-One-Verifizierungssetup ein Fehler für die Absicherung hochwertigere Vermögenswerte war.
• Aave gab an, seit dem Exploit bereits 295 Änderungen an Risikoparametern in den V3-Märkten vorgenommen zu haben.

Aave hat begonnen, seine Sicherheitenregeln zu überarbeiten, nachdem ein rsETH-Bridge-Exploit im April das Protokoll mit uneinbringlichen DeFi（Dezentralisierte Finanzen）-Verlusten zurückgelassen hat.

Aave erklärte in seinem Postmortem, dass der Vorfall nicht auf einen Fehler in seinen Verträgen zurückzuführen ist. Das Kreditprotokoll führte den Exploit auf KelpDAOs Restaking-Ether-Token rsETH und das LayerZero-Bridge-Setup zurück, das verwendet wurde, um diesen Vermögenswert Cross-chain zu bewegen. Laut Aave passierte eine gefälschte Cross-chain-Nachricht die Verifizierung und gab 116.500 rsETH frei, ohne dass echter Ether die Token deckte.

Aave macht externes Infrastrukturrisiko verantwortlich

Das Postmortem besagt, dass der Angreifer ungedeckte rsETH in Aave V3 eingezahlt und als Sicherheiten verwendet hat, um Vermögenswerte zu leihen, die nach Aufdeckung der gefälschten Deckung nicht mehr zurückgewonnen werden konnten. Aave erklärte, seine Verträge hätten wie vorgesehen funktioniert, aber die Sicherheiten gelangten über Infrastruktur außerhalb seiner Codebasis in seine Märkte.

LayerZero räumte ein, einen Fehler begangen zu haben, indem es zuließ, dass ein hochwertiger Vermögenswert auf ein One-of-One-Verifizierungssetup angewiesen war. Aaves Bericht nutzte den Vorfall, um zu argumentieren, dass DeFi（Dezentralisierte Finanzen）-Risikoprüfungen nun die Systeme hinter gelisteten Vermögenswerten untersuchen müssen, nicht nur die Vermögenswerte selbst.

KelpDAO-Bridge-Ausfall legte rsETH-Schwäche offen

KelpDAO bietet Restaking-Dienste an, die es Nutzern ermöglichen, ihr gestaktes Ether-Engagement für zusätzliche Erträge in anderen Protokollen wiederzuverwenden. Sein rsETH-Token repräsentiert einen Anspruch auf restaktes Ether, während LayerZero den Nachrichtenprozess verwaltet, der es rsETH ermöglicht, sich zwischen Blockchains zu bewegen.

Beim Exploit im April erklärte Aave, dass ein Verifizierer eine falsche Nachricht genehmigt habe. Die empfangende Chain gab daraufhin rsETH frei, hinter dem kein entsprechender Ether stand. Sobald diese Token Aave erreichten, behandelte der Kreditmarkt sie als akzeptable Sicherheiten gemäß den bestehenden Regeln.

Aave erklärte, es werde nun jeden auf V3 gelisteten Vermögenswert überprüfen. Das Protokoll gab an, dass zukünftige Kollateralprüfungen Bridges, Oracle-Abhängigkeiten, Drittanbieterverträge, Verwahrer, operationelle Sicherheit und Sekundärmarktliquidität umfassen werden.

Bisher konzentrierten sich Aaves Überprüfungen laut eigenen Angaben hauptsächlich auf finanzielle Risiken, Liquidität, Volatilität und Smart Contract Audits. Das Postmortem erklärte, dass diese Prüfungen für Vermögenswerte, die von Verifizierungsnetzwerken und Cross-chain-Systemen abhängen, nicht ausreichten.

Automatisierte Abwehrmechanismen in Entwicklung

Aave erklärte, seine Risikoteams hätten seit dem Exploit 295 Parameteränderungen in den V3-Märkten vorgenommen. Diese Updates umfassten 168 Reduzierungen der Angebotsobergrenzen und 66 Reduzierungen der Kreditobergrenzen.

Das Protokoll erklärte, es erwäge automatisierte Schutzmaßnahmen, die den Beleihungsauslauf (LTV) eines Vermögenswerts auf null senken könnten, nachdem voreingestellte Risikolimits überschritten wurden. Aave erklärte, die Maßnahme würde die Kreditkraft von notleidenden Sicherheiten entfernen, bevor sich Verluste ausbreiten.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.