Aave přepisuje svá pravidla pro uvádění aktiv. Změna přichází po exploitaci v hodnotě 230 milionů dolarů, která zahrnovala rsETH a odhalila kritické slabiny v bezpečnosti cross-chain bridge. Útok byl podle oficiálního postmortemu protokolu vysledován k selhání v ověřovacím procesu LayerZero bridge.
Exploitace za 230 milionů dolarů a selhání LayerZero
Exploitace vyčerpala miliony z Aave poolů tím, že se zaměřila na zranitelnost v tom, jak protokol ověřoval přemostěná aktiva. Oficiální postmortem uvádí, že hlavní příčinou bylo selhání ověřování LayerZero bridge, nikoli chyba v chytrých kontraktech Aave. Toto rozlišení je důležité. Po léta se hacky v DeFi týkaly většinou chyb v kódu – reentrancy útoků, flash loan exploitací a manipulace s orákuly. Tentokrát to bylo jiné. Odhalilo to nový druh rizika: důvěryhodnost, která je vložena do bridge, jež propojují blockchainy.
Token rsETH měl být reprezentací stakovaného ETH napříč řetězci. Když bridge selhalo při správném ověření aktiva, útočník vytvořil miliony falešného rsETH a vyčerpal je z Aave. Protokol ztratil 230 milionů dolarů, než byla exploitace zastavena. Postmortem nejmenoval konkrétní osoby nebo skupiny stojící za útokem.
Nové standardy pro uvádění aktiv k řešení rizika bridge
Reakcí Aave je kompletní přepis standardů pro uvádění aktiv. Protokol bude nyní vyhodnocovat, jak jsou přemostěná aktiva ověřována, než je povolí jako kolaterál. Starý proces se zaměřoval na audity chytrých kontraktů a kontroly likvidity. Nový proces se ponoří do samotné mechaniky bridge – jak bridge ověřuje zprávy, kdo jej ovládá a co se stane, když selže.
Jde o přímé uznání, že se krajina rizik posunula. Aave se už nezajímá jen o chybu ve vlastním kódu. Zajímá se o řetězec důvěry, který prochází každou cross-chain transakcí. Přepis se stále dokončuje, ale směr je jasný: každý token, který překročí řetězce, bude podroben dodatečné kontrole.
Co to znamená pro řízení rizik v DeFi
Exploitace rsETH je součástí širšího trendu. Zranitelnosti bridge se staly jedinou největší příčinou ztrát v decentralizovaných financích. Incident Aave za 230 milionů dolarů se připojuje k seznamu hacků bridge, které za poslední dva roky vyčerpaly miliardy. Protokoly nyní závodí v aktualizaci svých rizikových modelů.
Krok Aave je signálem pro zbytek odvětví. Ostatní úvěrové protokoly pravděpodobně provedou podobné revize. Otázkou je, zda nové standardy budou dostatečné k zabránění dalšímu selhání bridge. Bridge jsou stále nejslabším článkem v řetězci DeFi.
Nebyl stanoven žádný harmonogram pro zavedení nových kritérií pro uvádění. Očekává se, že komunita governance Aave bude v nadcházejících týdnech diskutovat o podrobnostech. Rozhodnutí vytvoří precedens pro to, jak bude DeFi v budoucnu řešit cross-chain rizika.
