Aave посилює перевірки ризиків DeFi після втрат через експлойт rsETH у LayerZero

TLDR

• Aave заявив, що квітневий експлойт rsETH стався через збій верифікації моста LayerZero, а не через помилку у власному коді.
• Зловмисник використав 116 500 незабезпечених rsETH як забезпечення на Aave, залишивши протокол із неповерненими позиками.
• Aave перевірить кожен актив V3 та розширить перевірки забезпечення, включивши мости, оракули, кастодіанів і операційні ризики.
• LayerZero визнав, що налаштування верифікації «один до одного» було помилкою для захисту активів із високою вартістю.
• Aave повідомив, що вже вніс 295 змін до параметрів ризику на ринках V3 після експлойту.

Aave розпочав переписування правил забезпечення після того, як квітневий експлойт моста rsETH залишив протокол із невідшкодовними збитками у DeFi (Децентралізовані фінанси).

Aave зазначив у постмортемі, що інцидент не стався через збій у його контрактах. Протокол кредитування пов'язав експлойт із токеном рестейкнутого ефіру rsETH від KelpDAO та налаштуванням Кросчейн моста LayerZero, що використовувався для переміщення цього активу між мережами. За даними Aave, підроблене кросчейн повідомлення пройшло верифікацію та вивільнило 116 500 rsETH без реального ефіру на підкріплення токенів.

Aave звинувачує зовнішню інфраструктурну ризики

У постмортемі зазначено, що зловмисник вніс незабезпечені rsETH до Aave V3 і використав їх як забезпечення для запозичення активів, які неможливо було повернути після того, як фальшивість підкріплення стала очевидною. Aave зазначив, що його контракти працювали відповідно до задуму, однак забезпечення потрапило на його ринки через інфраструктуру поза межами його кодової бази.

LayerZero визнав, що допустив помилку, дозволивши активу з високою вартістю покладатися на налаштування верифікації «один до одного». У звіті Aave цей інцидент використано як аргумент на користь того, що перевірки ризиків у DeFi (Децентралізовані фінанси) тепер мають охоплювати системи, що стоять за лістинговими активами, а не лише самі активи.

Збій моста KelpDAO виявив слабкість rsETH

KelpDAO пропонує послуги рестейкінгу, що дозволяють користувачам повторно використовувати рестейкнуті позиції в ефірі для отримання додаткового доходу в інших протоколах. Його токен rsETH представляє право вимоги на рестейкнутий ефір, тоді як LayerZero обробляє процес передачі повідомлень, що дозволяє rsETH переміщатися між блокчейнами.

Під час квітневого експлойту Aave повідомив, що один верифікатор схвалив хибне повідомлення. Після цього приймаюча мережа вивільнила rsETH без відповідного ефірного підкріплення. Щойно ці токени потрапили до Aave, кредитний ринок визнав їх прийнятним забезпеченням відповідно до чинних правил.

Aave заявив, що тепер перевірить кожен актив, лістингований на V3. Протокол повідомив, що майбутні перевірки забезпечення включатимуть мости, залежності від оракулів, сторонні контракти, кастодіанів, операційну безпеку та ліквідність вторинного ринку.

Раніше Aave зазначав, що його перевірки зосереджувалися переважно на фінансових ризиках, ліквідності, волатильності та аудиті смартконтрактів. У постмортемі зазначено, що цих перевірок було недостатньо для активів, які залежать від верифікаційних мереж і кросчейн систем.

Автоматизований захист у розробці

Aave повідомив, що його команди з управління ризиками внесли 295 змін до параметрів на ринках V3 після експлойту. Ці оновлення включали 168 скорочень ліміту постачання та 66 скорочень ліміту запозичень.

Протокол зазначив, що розглядає автоматизований захист, який міг би знизити коефіцієнт співвідношення позики до вартості активу до нуля після порушення заздалегідь встановлених лімітів ризику. Aave заявив, що цей захід позбавить запозичувальної сили проблемне забезпечення до того, як збитки поширяться.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.