Az Aave átírja az eszközlistázási szabályait. A változtatásra azután kerül sor, hogy egy 230 millió dolláros exploit, amely az rsETH-t érintette, súlyos gyengeségeket tárt fel a láncok közötti hidak biztonságában. A támadás a LayerZero hídverifikációs folyamatának hibájához vezethető vissza a protokoll által kiadott hivatalos boncolás szerint.
A 230 millió dolláros exploit és a LayerZero meghibásodása
Az exploit milliókat szívott el az Aave pooljaiból, kihasználva egy sebezhetőséget a protokoll bridzselt eszközök ellenőrzésében. A hivatalos boncolás szerint a kiváltó ok a LayerZero hídverifikáció meghibásodása volt, nem pedig hiba az Aave okosszerződéseiben. Ez a megkülönböztetés számít. Évekig a DeFi hackek főként kódolási hibákból adódtak – reentrancy támadások, flash loan exploitok és oracle manipuláció. Ez más volt. Feltárt egy újfajta kockázatot: a blokkláncokat összekötő hidakba épített bizalmi feltételezéseket.
Az rsETH token állítólag a letétbe helyezett ETH reprezentációja volt láncok között. Amikor a híd nem tudta megfelelően ellenőrizni az eszközt, a támadó milliókra való hamis rsETH-t vert, és kivette azokat az Aave-ből. A protokoll 230 millió dollárt veszített, mielőtt az exploitot megállították. A boncolás nem nevezte meg a támadás mögött álló konkrét személyeket vagy csoportokat.
Új listázási szabványok a hídkockázat kezelésére
Az Aave válasza az eszközlistázási szabványok teljes átdolgozása. A protokoll ezentúl értékelni fogja, hogy a bridzselt eszközöket hogyan ellenőrzik, mielőtt fedezetként engedélyeznék őket. A régi folyamat az okosszerződés-auditokra és likviditási ellenőrzésekre összpontosított. Az új folyamat belemélyed a hídmechanizmusokba – hogyan érvényesíti a híd az üzeneteket, ki irányítja, és mi történik, ha meghibásodik.
Ez közvetlen elismerése annak, hogy a kockázati környezet megváltozott. Az Aave már nem csak a saját kódjában lévő hibáktól tart. A bizalmi lánc miatt aggódik, amely minden láncok közötti tranzakción végigfut. Az átdolgozás még folyamatban van, de az irány világos: minden olyan token, amely átlépi a láncokat, extra ellenőrzésen esik át.
Mit jelent ez a DeFi kockázatkezelés számára
Az rsETH exploit egy szélesebb tendencia része. A hídsebezhetőségek váltak a decentralizált pénzügyekben a veszteségek egyetlen legnagyobb okává. A 230 millió dolláros Aave-incidens csatlakozik azon hídtámadások listájához, amelyek az elmúlt két évben milliárdokat szívtak el. A protokollok most versenyeznek, hogy frissítsék kockázati modelljeiket.
Az Aave lépése jelzés az iparág többi szereplőjének. Más hitelezési protokollok valószínűleg hasonló felülvizsgálatokkal követik. A kérdés az, hogy az új szabványok elegendőek lesznek-e a következő hídmeghibásodás megelőzéséhez. A hidak továbbra is a leggyengébb láncszemet jelentik a DeFi láncban.
Az új listázási kritériumok bevezetésére nem adtak meg idővonalat. Az Aave irányítási közössége a következő hetekben várhatóan megvitatja a részleteket. A döntés precedenst teremt arra, hogy a DeFi hogyan kezeli a láncok közötti kockázatot a jövőben.
