Η Aave ξαναγράφει τους κανόνες εισαγωγής περιουσιακών στοιχείων. Η αλλαγή έρχεται μετά από μια εκμετάλλευση 230 εκατομμυρίων δολαρίων που αφορούσε το rsETH, η οποία αποκάλυψε κρίσιμες αδυναμίες στην ασφάλεια των cross-chain γεφυρών. Η επίθεση εντοπίστηκε σε μια αποτυχία στη διαδικασία επαλήθευσης της γέφυρας LayerZero, σύμφωνα με ένα επίσημο postmortem που δημοσίευσε το πρωτόκολλο.
Η εκμετάλλευση των 230 εκατομμυρίων δολαρίων και η αποτυχία του LayerZero
Η εκμετάλλευση άδειασε εκατομμύρια από τις δεξαμενές της Aave στοχεύοντας μια ευπάθεια στον τρόπο με τον οποίο το πρωτόκολλο επαλήθευε τα περιουσιακά στοιχεία που μεταφέρονταν μέσω γέφυρας. Το επίσημο postmortem αναφέρει ότι η βασική αιτία ήταν μια αποτυχία επαλήθευσης της γέφυρας LayerZero, όχι ένα σφάλμα στα έξυπνα συμβόλαια της Aave. Αυτή η διάκριση έχει σημασία. Για χρόνια, τα hacks στο DeFi αφορούσαν κυρίως σφάλματα κωδικοποίησης—επιθέσεις επανεισόδου, εκμεταλλεύσεις flash loan και χειραγώγηση oracle. Αυτή ήταν διαφορετική. Αποκάλυψε ένα νέο είδος κινδύνου: τις υποθέσεις εμπιστοσύνης που είναι ενσωματωμένες στις γέφυρες που συνδέουν τις αλυσίδες μπλοκ.
Το token rsETH υποτίθεται ότι ήταν μια αναπαράσταση του staked ETH σε διάφορες αλυσίδες. Όταν η γέφυρα απέτυχε να επαληθεύσει σωστά το περιουσιακό στοιχείο, ο επιτιθέμενος δημιούργησε εκατομμύρια σε ψεύτικο rsETH και τα άδειασε από την Aave. Το πρωτόκολλο έχασε 230 εκατομμύρια δολάρια πριν σταματήσει η εκμετάλλευση. Το postmortem δεν ανέφερε συγκεκριμένα άτομα ή ομάδες πίσω από την επίθεση.
Νέα πρότυπα εισαγωγής για την αντιμετώπιση του κινδύνου γεφυρών
Η απάντηση της Aave είναι μια πλήρης αναθεώρηση των προτύπων εισαγωγής περιουσιακών στοιχείων. Το πρωτόκολλο θα αξιολογεί πλέον τον τρόπο με τον οποίο επαληθεύονται τα περιουσιακά στοιχεία που μεταφέρονται μέσω γέφυρας πριν τα επιτρέψει ως εγγύηση. Η παλιά διαδικασία επικεντρωνόταν σε ελέγχους έξυπνων συμβολαίων και ρευστότητας. Η νέα διαδικασία θα εμβαθύνει στους ίδιους τους μηχανισμούς της γέφυρας—πώς επικυρώνει μηνύματα, ποιος την ελέγχει και τι συμβαίνει αν αποτύχει.
Αυτή είναι μια άμεση παραδοχή ότι το τοπίο κινδύνου έχει αλλάξει. Η Aave δεν ανησυχεί πλέον μόνο για ένα σφάλμα στον δικό της κώδικα. Ανησυχεί για την αλυσίδα εμπιστοσύνης που διατρέχει κάθε cross-chain συναλλαγή. Η αναθεώρηση είναι ακόμη υπό σύνταξη, αλλά η κατεύθυνση είναι ξεκάθαρη: κάθε token που διασχίζει αλυσίδες θα υπόκειται σε πρόσθετο έλεγχο.
Τι σημαίνει αυτό για τη διαχείριση κινδύνου στο DeFi
Η εκμετάλλευση του rsETH είναι μέρος μιας ευρύτερης τάσης. Οι ευπάθειες γεφυρών έχουν γίνει η μεγαλύτερη αιτία απωλειών στην αποκεντρωμένη χρηματοδότηση. Το περιστατικό των 230 εκατομμυρίων δολαρίων στην Aave προστίθεται σε μια λίστα hacks γεφυρών που έχουν αφαιρέσει δισεκατομμύρια τα τελευταία δύο χρόνια. Τα πρωτόκολλα τώρα σπεύδουν να ενημερώσουν τα μοντέλα κινδύνου τους.
Η κίνηση της Aave είναι ένα σήμα προς την υπόλοιπη βιομηχανία. Άλλα πρωτόκολλα δανεισμού είναι πιθανό να ακολουθήσουν με παρόμοιες αναθεωρήσεις. Το ερώτημα είναι αν τα νέα πρότυπα θα είναι αρκετά για να αποτρέψουν την επόμενη αποτυχία γέφυρας. Οι γέφυρες παραμένουν ο πιο αδύναμος κρίκος στην αλυσίδα του DeFi.
Δεν έχει δοθεί χρονοδιάγραμμα για την εφαρμογή των νέων κριτηρίων εισαγωγής. Η κοινότητα διακυβέρνησης της Aave αναμένεται να συζητήσει τις λεπτομέρειες τις επόμενες εβδομάδες. Η απόφαση θα θέσει ένα προηγούμενο για το πώς το DeFi θα διαχειρίζεται τον cross-chain κίνδυνο στο μέλλον.
