Aave przepisuje swoje zasady dodawania aktywów. Zmiana ta następuje po exploicie o wartości 230 mln USD z udziałem rsETH, który ujawnił krytyczne słabości w zabezpieczeniach mostów międzyłańcuchowych. Atak został przypisany do awarii procesu weryfikacji mostu LayerZero, zgodnie z oficjalnym raportem pośmiertnym opublikowanym przez protokół.
Exploit o wartości 230 mln USD i awaria LayerZero
Exploit wyssał miliony z pul Aave, wykorzystując lukę w sposobie, w jaki protokół weryfikował aktywa mostowane. Oficjalny raport pośmiertny stwierdza, że główną przyczyną była awaria weryfikacji mostu LayerZero, a nie błąd w smart kontraktach Aave. To rozróżnienie ma znaczenie. Przez lata haki DeFi dotyczyły głównie błędów kodowania – ataków typu reentrancy, exploitów flash loan i manipulacji oracle. Ten był inny. Ujawnił nowy rodzaj ryzyka: założenia zaufania wbudowane w mosty łączące blockchainy.
Token rsETH miał być reprezentacją stakowanego ETH w różnych łańcuchach. Gdy most nie dokonał prawidłowej weryfikacji aktywa, atakujący wybił miliony fałszywych rsETH i wypłacił je z Aave. Protokół stracił 230 mln USD, zanim exploit został zatrzymany. Raport pośmiertny nie wymienił konkretnych osób ani grup stojących za atakiem.
Nowe standardy dodawania aktywów mające na celu ograniczenie ryzyka mostów
Reakcją Aave jest całkowita przebudowa standardów dodawania aktywów. Protokół będzie teraz oceniał, w jaki sposób weryfikowane są aktywa mostowane, zanim zostaną dopuszczone jako zabezpieczenie. Stary proces koncentrował się na audytach smart kontraktów i kontroli płynności. Nowy proces będzie zagłębiał się w samą mechanikę mostu – jak most waliduje komunikaty, kto go kontroluje i co się dzieje w przypadku awarii.
To bezpośrednie przyznanie, że krajobraz ryzyka się zmienił. Aave nie martwi się już tylko o błąd we własnym kodzie. Martwi się o łańcuch zaufania przewijający się przez każdą transakcję międzyłańcuchową. Przebudowa jest wciąż opracowywana, ale kierunek jest jasny: każdy token, który przechodzi przez łańcuchy, będzie podlegał dodatkowej kontroli.
Co to oznacza dla zarządzania ryzykiem w DeFi
Exploit rsETH jest częścią szerszego trendu. Podatności mostów stały się największą pojedynczą przyczyną strat w zdecentralizowanych finansach. Incydent Aave o wartości 230 mln USD dołącza do listy haków mostów, które w ciągu ostatnich dwóch lat wypłaciły miliardy. Protokoły ścigają się teraz, aby zaktualizować swoje modele ryzyka.
Ruch Aave jest sygnałem dla reszty branży. Inne protokoły pożyczkowe prawdopodobnie pójdą w ich ślady, przeprowadzając podobne przeglądy. Pytanie, czy nowe standardy wystarczą, aby zapobiec kolejnej awarii mostu. Mosty wciąż pozostają najsłabszym ogniwem w łańcuchu DeFi.
Nie podano harmonogramu wdrożenia nowych kryteriów dodawania aktywów. Społeczność zarządzania Aave ma w nadchodzących tygodniach debatować nad szczegółami. Decyzja ustanowi precedens dla tego, jak DeFi będzie w przyszłości radzić sobie z ryzykiem międzyłańcuchowym.
