Aave Renforce les Contrôles de Risque DeFi Après les Pertes de l'Exploit rsETH sur LayerZero

TLDR

• Aave a déclaré que l'exploit rsETH d'avril provenait d'un échec de vérification du Bridge LayerZero, et non d'un bug dans son propre code.
• L'attaquant a utilisé 116 500 rsETH non adossés comme collatéral sur Aave, laissant le protocole avec des prêts irrécouvrables.
• Aave va examiner chaque actif V3 et étendre les vérifications de collatéral pour inclure les bridges, les oracles, les dépositaires et les risques opérationnels.
• LayerZero a admis que sa configuration de vérification one-of-one était une erreur pour sécuriser des actifs de haute valeur.
• Aave a déclaré avoir déjà effectué 295 modifications des paramètres de risque sur les marchés V3 depuis l'exploit.

Aave a commencé à réécrire ses règles de collatéral après qu'un exploit du Bridge rsETH en avril a laissé le protocole avec des pertes DeFi irrécouvrables.

Aave a indiqué dans son post-mortem que l'incident ne provenait pas d'une défaillance de ses contrats. Le protocole de prêt a retracé l'exploit jusqu'au token ether restaké de KelpDAO, rsETH, et la configuration du Bridge LayerZero utilisée pour déplacer cet actif entre les chaînes. Selon Aave, un message cross-chain forgé a passé la vérification et a libéré 116 500 rsETH sans ether réel adossant les tokens.

Aave met en cause le risque lié à l'infrastructure externe

Le post-mortem indique que l'attaquant a déposé des rsETH non adossés dans Aave V3 et les a utilisés comme collatéral pour emprunter des actifs, qui n'ont pas pu être récupérés une fois la fausse garantie révélée. Aave a précisé que ses contrats ont fonctionné comme prévu, mais que le collatéral est entré dans ses marchés via une infrastructure extérieure à sa base de code.

LayerZero a reconnu avoir commis une erreur en permettant à un actif de haute valeur de reposer sur une configuration de vérification one-of-one. Le rapport d'Aave a utilisé l'incident pour soutenir que les évaluations des risques DeFi doivent désormais examiner les systèmes qui sous-tendent les actifs listés, et pas seulement les actifs eux-mêmes.

La défaillance du Bridge KelpDAO a exposé la faiblesse du rsETH

KelpDAO propose des services de restaking qui permettent aux utilisateurs de réutiliser leur exposition à l'Ether staké pour obtenir un rendement supplémentaire sur d'autres protocoles. Son token rsETH représente une créance sur l'ether restaké, tandis que LayerZero gère le processus de messagerie permettant au rsETH de se déplacer entre les blockchains.

Lors de l'exploit d'avril, Aave a indiqué qu'un vérificateur a approuvé un faux message. La chaîne réceptrice a ensuite libéré des rsETH sans ether correspondant en contrepartie. Une fois ces tokens parvenus à Aave, le marché de prêt les a traités comme un collatéral acceptable selon les règles en vigueur.

Aave a déclaré qu'il va désormais examiner chaque actif listé sur V3. Le protocole a indiqué que les futures vérifications de collatéral incluront les bridges, les dépendances aux oracles, les contrats tiers, les dépositaires, la sécurité opérationnelle et la liquidité du marché secondaire.

Auparavant, Aave a indiqué que ses examens portaient principalement sur le risque financier, la liquidité, la volatilité et les audits de smart contracts. Le post-mortem a précisé que ces vérifications n'étaient pas suffisantes pour les actifs qui dépendent de réseaux de vérification et de systèmes cross-chain.

Des défenses automatisées en cours de développement

Aave a déclaré que ses équipes de gestion des risques ont effectué 295 modifications de paramètres sur les marchés V3 depuis l'exploit. Ces mises à jour comprenaient 168 réductions de plafond d'approvisionnement et 66 réductions de plafond d'emprunt.

Le protocole a indiqué qu'il envisage des protections automatisées qui pourraient réduire le ratio Loan-To-Value d'un actif à zéro après que des limites de risque préétablies soient franchies. Aave a précisé que cette mesure supprimerait le pouvoir d'emprunt du collatéral en difficulté avant que les pertes ne se propagent.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.