Aave Zaostrza Kontrole Ryzyka DeFi Po Stratach Spowodowanych Exploitem rsETH na LayerZero

TLDR

• Aave poinformowało, że kwietniowy exploit rsETH wynikał z błędu weryfikacji mostu LayerZero, a nie z usterki w jego własnym kodzie.
• Atakujący wykorzystał 116 500 niepokrytych rsETH jako zabezpieczenie na Aave, pozostawiając protokół z nieodzyskiwalnymi pożyczkami.
• Aave dokona przeglądu każdego aktywa V3 i rozszerzy kontrole zabezpieczeń o mosty, wyrocznie, powierników i ryzyka operacyjne.
• LayerZero przyznało, że konfiguracja weryfikacji jeden-do-jednego była błędem w przypadku zabezpieczania aktywów o wysokiej wartości.
• Aave poinformowało, że od czasu exploita wprowadzono już 295 zmian parametrów ryzyka na rynkach V3.

Aave rozpoczęło przepisywanie zasad dotyczących zabezpieczeń po tym, jak kwietniowy exploit mostu rsETH pozostawił protokół z nieodzyskiwalnymi stratami DeFi.

Aave stwierdziło w swoim raporcie powypadkowym, że incydent nie wynikał z awarii jego kontraktów. Protokół pożyczkowy powiązał exploit z tokenem restakowanego etheru KelpDAO, rsETH, oraz konfiguracją mostu LayerZero używaną do przenoszenia tego aktywa między łańcuchami. Według Aave, sfałszowana wiadomość cross-chain przeszła weryfikację i uwolniła 116 500 rsETH bez prawdziwego etheru zabezpieczającego tokeny.

Aave Obwinia Ryzyko Zewnętrznej Infrastruktury

Raport powypadkowy wskazał, że atakujący zdeponował niepokryty rsETH w Aave V3 i wykorzystał go jako zabezpieczenie do pożyczania aktywów, których nie można było odzyskać po ujawnieniu fałszywego pokrycia. Aave stwierdziło, że jego kontrakty działały zgodnie z założeniami, jednak zabezpieczenie trafiło na jego rynki poprzez infrastrukturę znajdującą się poza jego bazą kodu.

LayerZero przyznało, że popełniło błąd, pozwalając aktywowi o wysokiej wartości opierać się na konfiguracji weryfikacji jeden-do-jednego. Raport Aave wykorzystał ten incydent, aby argumentować, że przeglądy ryzyka DeFi muszą teraz badać systemy stojące za notowanymi aktywami, a nie tylko same aktywa.

Awaria Mostu KelpDAO Ujawniła Słabość rsETH

KelpDAO oferuje usługi restakingu, które pozwalają użytkownikom ponownie wykorzystywać ekspozycję na stakowany Ether dla dodatkowego zysku w innych protokołach. Jego token rsETH reprezentuje roszczenie do restakowanego etheru, podczas gdy LayerZero obsługuje proces przesyłania wiadomości umożliwiający przemieszczanie rsETH między blockchainami.

W kwietniowym exploicie Aave poinformowało, że jeden weryfikator zatwierdził fałszywą wiadomość. Łańcuch odbiorczy następnie uwolnił rsETH, za którym nie stał żaden odpowiadający ether. Gdy tokeny te dotarły do Aave, rynek pożyczkowy potraktował je jako akceptowalne zabezpieczenie zgodnie z obowiązującymi zasadami.

Aave poinformowało, że dokona teraz przeglądu każdego aktywa notowanego na V3. Protokół wskazał, że przyszłe kontrole zabezpieczeń będą obejmować mosty, zależności od wyroczni, kontrakty stron trzecich, powierników, bezpieczeństwo operacyjne oraz płynność rynku wtórnego.

Wcześniej Aave stwierdziło, że jego przeglądy skupiały się głównie na ryzyku finansowym, płynności, zmienności i audytach smart kontraktów. Raport powypadkowy wskazał, że te kontrole były niewystarczające dla aktywów zależnych od sieci weryfikacyjnych i systemów cross-chain.

Automatyczne Zabezpieczenia w Opracowaniu

Aave poinformowało, że jego zespoły ds. ryzyka wprowadziły 295 zmian parametrów na rynkach V3 od czasu exploita. Te aktualizacje obejmowały 168 redukcji limitów podaży i 66 redukcji limitów pożyczek.

Protokół poinformował, że rozważa automatyczne zabezpieczenia, które mogłyby obniżyć wskaźnik wartości kredytu do wartości aktywa do zera po przekroczeniu z góry ustalonych limitów ryzyka. Aave stwierdziło, że środek ten usunąłby zdolność pożyczkową z zagrożonych zabezpieczeń przed rozprzestrzenieniem się strat.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.