Aave ужесточает проверки рисков DeFi после потерь от эксплойта rsETH через LayerZero

TLDR

• Aave заявил, что апрельский эксплойт rsETH произошёл из-за сбоя верификации Кроссчейн-моста LayerZero, а не из-за ошибки в собственном коде.
• Злоумышленник использовал 116 500 необеспеченных rsETH в качестве залогового актива на Aave, оставив протокол с невозвратными кредитами.
• Aave проверит каждый актив V3 и расширит проверки обеспечения, включив мосты, оракулы, кастодианов и операционные риски.
• LayerZero признал, что допустил ошибку, позволив высокоценному активу полагаться на схему верификации «один из одного».
• Aave заявил, что уже внёс 295 изменений в параметры рисков на рынках V3 с момента эксплойта.

Aave начал пересматривать свои правила обеспечения после апрельского эксплойта моста rsETH, который оставил протокол с невозвратными потерями в DeFi（Децентрализованные финансы）.

Aave заявил в своём постмортеме, что инцидент произошёл не из-за сбоя в его контрактах. Кредитный протокол связал эксплойт с токеном рестейкинга эфира rsETH от KelpDAO и настройкой Кроссчейн-моста LayerZero, используемой для перемещения этого актива между сетями. По данным Aave, поддельное кросс-чейн сообщение прошло верификацию и выпустило 116 500 rsETH без реального эфира, обеспечивающего токены.

Aave обвиняет риски внешней инфраструктуры

В постмортеме говорится, что злоумышленник внёс необеспеченные rsETH в Aave V3 и использовал их в качестве обеспечения для заимствования активов, которые не удалось вернуть после того, как стала очевидна фиктивность обеспечения. Aave заявил, что его контракты работали в штатном режиме, однако залоговые активы попали на его рынки через инфраструктуру, находящуюся за пределами его кодовой базы.

LayerZero признал, что допустил ошибку, позволив высокоценному активу полагаться на схему верификации «один из одного». Отчёт Aave использовал этот инцидент как аргумент в пользу того, что проверки рисков DeFi теперь должны охватывать системы, стоящие за листинговыми активами, а не только сами активы.

Сбой моста KelpDAO обнажил уязвимость rsETH

KelpDAO предлагает услуги рестейкинга, позволяющие пользователям повторно использовать позицию застейканного Ether для получения дополнительного дохода в других протоколах. Его токен rsETH представляет собой требование на рестейкнутый эфир, а LayerZero обеспечивает процесс обмена сообщениями, позволяющий rsETH перемещаться между блокчейнами.

В апрельском эксплойте Aave сообщил, что один верификатор одобрил ложное сообщение. Принимающая сеть затем выпустила rsETH, за которыми не стоял соответствующий эфир. Как только эти токены достигли Aave, кредитный рынок принял их в качестве допустимого обеспечения в соответствии с действующими правилами.

Aave заявил, что теперь проверит каждый актив, включённый в листинг V3. Протокол сообщил, что будущие проверки обеспечения будут включать мосты, зависимости от оракулов, сторонние контракты, кастодианов, операционную безопасность и ликвидность вторичного рынка.

Ранее Aave сообщал, что его проверки были сосредоточены главным образом на финансовом риске, ликвидности, волатильности и аудите смарт-контрактов. В постмортеме говорится, что этих проверок было недостаточно для активов, зависящих от сетей верификации и кросс-чейн систем.

Автоматизированные средства защиты в разработке

Aave заявил, что его команды по рискам внесли 295 изменений параметров на рынках V3 с момента эксплойта. Эти обновления включали 168 сокращений лимитов предложения и 66 сокращений лимитов заимствования.

Протокол сообщил, что рассматривает автоматизированное управление рисками в виде защитных механизмов, которые могут снизить отношение суммы кредита к стоимости актива до нуля после превышения заранее установленных лимитов риска. Aave заявил, что эта мера позволит устранить возможность заимствования под проблемное обеспечение до того, как убытки распространятся.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.