Aave sta riscrivendo le sue regole di quotazione degli asset. Il cambiamento arriva dopo un exploit da 230 milioni di dollari che ha coinvolto rsETH, esponendo debolezze critiche nella sicurezza dei bridge cross-chain. L'attacco è stato ricondotto a un fallimento nel processo di verifica del bridge LayerZero, secondo un postmortem ufficiale pubblicato dal protocollo.
L'exploit da 230 milioni e il fallimento di LayerZero
L'exploit ha prosciugato milioni di dollari dai pool di Aave sfruttando una vulnerabilità nel modo in cui il protocollo verificava gli asset provenienti da bridge. Il postmortem ufficiale afferma che la causa principale è stata un fallimento della verifica del bridge LayerZero, non un bug negli smart contract di Aave. Questa distinzione è importante. Per anni, gli hack DeFi sono stati per lo più legati a errori di programmazione – attacchi di rientro, exploit di flash loan e manipolazione degli oracle. Questo è stato diverso. Ha esposto un nuovo tipo di rischio: le assunzioni di fiducia insite nei bridge che collegano le blockchain.
Il token rsETH doveva essere una rappresentazione di ETH staked su diverse chain. Quando il bridge non è riuscito a verificare correttamente l'asset, l'attaccante ha coniato milioni di rsETH falsi e li ha prelevati da Aave. Il protocollo ha perso 230 milioni di dollari prima che l'exploit fosse fermato. Il postmortem non ha nominato specifici individui o gruppi dietro l'attacco.
Nuovi standard di quotazione per affrontare il rischio dei bridge
La risposta di Aave è una revisione completa dei suoi standard di quotazione degli asset. Il protocollo ora valuterà come vengono verificati gli asset provenienti da bridge prima di accettarli come garanzia. Il vecchio processo si concentrava su audit degli smart contract e controlli di liquidità. Il nuovo processo analizzerà a fondo i meccanismi del bridge stessi – come il bridge convalida i messaggi, chi lo controlla e cosa succede se fallisce.
Questo è un riconoscimento diretto che il panorama dei rischi è cambiato. Aave non si preoccupa più solo di un bug nel proprio codice. Si preoccupa della catena di fiducia che attraversa ogni transazione cross-chain. La revisione è ancora in fase di bozza, ma la direzione è chiara: qualsiasi token che attraversa le chain sarà sottoposto a un esame extra.
Cosa significa per la gestione del rischio in DeFi
L'exploit di rsETH fa parte di una tendenza più ampia. Le vulnerabilità dei bridge sono diventate la singola causa più grande di perdite nella finanza decentralizzata. L'incidente di Aave da 230 milioni di dollari si aggiunge a una lista di hack di bridge che hanno prosciugato miliardi negli ultimi due anni. I protocolli ora si affrettano ad aggiornare i loro modelli di rischio.
La mossa di Aave è un segnale per il resto del settore. Altri protocolli di prestito probabilmente seguiranno con revisioni simili. La domanda è se i nuovi standard saranno sufficienti per prevenire il prossimo fallimento del bridge. I bridge rimangono l'anello più debole della catena DeFi.
Non è stata fornita alcuna tempistica per l'implementazione dei nuovi criteri di quotazione. La comunità di governance di Aave dovrebbe discutere i dettagli nelle prossime settimane. La decisione stabilirà un precedente per come la DeFi gestirà il rischio cross-chain in futuro.
