Aave reforça verificações de risco em DeFi após perdas com exploit rsETH da LayerZero

TLDR

• A Aave afirmou que o exploit de rsETH de abril resultou de uma falha de verificação na bridge LayerZero, e não de um bug no seu próprio código.
• O atacante utilizou 116.500 rsETH sem cobertura como garantia na Aave, deixando o protocolo com empréstimos irrecuperáveis.
• A Aave irá rever todos os ativos V3 e expandir as verificações de garantia para incluir bridges, oráculos, custodiantes e riscos operacionais.
• A LayerZero admitiu que o seu sistema de verificação um-para-um foi um erro para proteger ativos de alto valor.
• A Aave afirmou que já realizou 295 alterações nos parâmetros de risco nos mercados V3 desde o exploit.

A Aave começou a reescrever as suas regras de garantia após um exploit de bridge rsETH em abril ter deixado o protocolo com perdas DeFi irrecuperáveis.

A Aave afirmou no seu relatório pós-incidente que o acontecimento não resultou de uma falha nos seus contratos. O protocolo de empréstimo rastreou o exploit até ao token de ether em restaking da KelpDAO, rsETH, e à configuração da bridge LayerZero utilizada para mover esse ativo entre cadeias. De acordo com a Aave, uma mensagem cross-chain forjada passou na verificação e libertou 116.500 rsETH sem cobertura real em ether por parte dos tokens.

A Aave responsabiliza o risco de infraestrutura externa

O relatório pós-incidente indicou que o atacante depositou rsETH sem cobertura na Aave V3 e utilizou-o como garantia para contrair empréstimos de ativos, os quais não puderam ser recuperados após a cobertura falsa ter ficado clara. A Aave afirmou que os seus contratos funcionaram conforme previsto, mas que a garantia entrou nos seus mercados através de infraestrutura externa à sua base de código.

A LayerZero reconheceu ter cometido um erro ao permitir que um ativo de alto valor dependesse de um sistema de verificação um-para-um. O relatório da Aave utilizou o incidente para argumentar que as avaliações de risco DeFi devem agora examinar os sistemas subjacentes aos ativos listados, e não apenas os próprios ativos.

A falha da bridge KelpDAO expôs a vulnerabilidade do rsETH

A KelpDAO oferece serviços de restaking que permitem aos utilizadores reutilizar a exposição em ether em staking para obter rendimento adicional noutros protocolos. O seu token rsETH representa uma reivindicação sobre ether em restaking, enquanto a LayerZero gere o processo de mensagens que permite ao rsETH mover-se entre blockchains.

No exploit de abril, a Aave afirmou que um verificador aprovou uma mensagem falsa. A cadeia recetora libertou então rsETH sem cobertura em ether correspondente. Assim que esses tokens chegaram à Aave, o mercado de empréstimos tratou-os como garantia aceitável ao abrigo das regras existentes.

A Aave afirmou que irá agora rever todos os ativos listados na V3. O protocolo indicou que as futuras verificações de garantia incluirão bridges, dependências de oráculos, contratos de terceiros, custodiantes, segurança operacional e liquidez no mercado secundário.

Anteriormente, a Aave afirmou que as suas análises se focavam principalmente no risco financeiro, liquidez, volatilidade e auditorias de contratos inteligentes. O relatório pós-incidente indicou que essas verificações não eram suficientes para ativos que dependem de redes de verificação e sistemas cross-chain.

Defesas automatizadas em desenvolvimento

A Aave afirmou que as suas equipas de risco realizaram 295 alterações de parâmetros nos mercados V3 desde o exploit. Essas atualizações incluíram 168 reduções de limite de oferta e 66 reduções de limite de empréstimo.

O protocolo afirmou estar a considerar proteções automatizadas que poderiam reduzir a relação empréstimo-valor de um ativo a zero após a violação de limites de risco predefinidos. A Aave afirmou que a medida eliminaria o poder de contração de empréstimos de garantias em dificuldades antes que as perdas se propagassem.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.