Протокол Aave пересмотрел стандарты листинга активов после апрельского инцидента с rsETH, который поставил проект под угрозу возникновения безнадежного долга на сотни миллионов долларов.
https://x.com/aave/status/2060901386611499378
Причиной происшествия стал сбой верификации в мосте LayerZero, используемом проектом Kelp, а не уязвимость в смарт-контрактах самой лендинговой платформы. Злоумышленник воспользовался ошибкой конфигурации одного из верификаторов для подделки кроссчейн -сообщения и выпуска 116 500 необеспеченных токенов rsETH ($293 млн).
Активы были внесены в Aave в качестве залога. Поскольку rsETH находился в режиме eMode с высоким LTV (93%), атакующий занял ликвидные активы, которые протокол не смог бы вернуть после обесценивания rsETH.
Новый фреймворк для версий V3, V4 и Horizon расширяет критерии оценки рисков. Теперь, помимо волатильности и ликвидности, Aave будет учитывать:
- надежность инфраструктуры мостов и количество уровней обертки токена;
- зависимости от внешних оракулов и кастодианов;
- техническую архитектуру (соответствие ERC-20, права админа и возможность апгрейда кода);
- оперативную безопасность эмитента активов.
Команда также предложила внедрить автоматизированные защитные механизмы. Они позволят мгновенно обнулять LTV актива при достижении критических порогов риска, не дожидаясь решения управления.
Риск-менеджеры уже внесли около 295 правок в параметры рынков V3, включая сокращение лимитов на поставку и заимствование для минимизации последствий подобных инцидентов.
Аудиторы OpenZeppelin подтвердили , что инцидент стал следствием просчетов в конфигурации инфраструктуры и управлении рисками, а не багов в коде Aave или Kelp.
Напомним, 25 мая Kelp восстановил обеспечение rsETH, команда отправила финальный транш в размере 20 373 rsETH на смарт-контракт LayerZero.
Будь в курсе! Подписывайся на Телеграм.
