Aave переписывает свои правила листинга активов. Этот шаг последовал за эксплойтом на $230 млн, связанным с rsETH, который выявил критические уязвимости в безопасности кроссчейн-мостов. Согласно официальному постмортему, опубликованному протоколом, атака была вызвана сбоем в процессе верификации моста LayerZero.
Эксплойт на $230 млн и сбой LayerZero
Эксплойт вывел миллионы из пулов Aave, используя уязвимость в том, как протокол проверял мостовые активы. Официальный постмортем утверждает, что первопричиной стал сбой верификации моста LayerZero, а не ошибка в смарт-контрактах Aave. Это различие важно. В течение многих лет взломы DeFi в основном были связаны с ошибками в коде — атаками повторного входа, эксплойтами флеш-кредитов и манипуляциями оракулами. Этот случай был другим. Он выявил новый вид риска: предположения о доверии, заложенные в мостах, соединяющих блокчейны.
Токен rsETH должен был быть представлением стейкнутого ETH в разных цепочках. Когда мост не смог должным образом верифицировать актив, злоумышленник начеканил миллионы фальшивых rsETH и вывел их из Aave. Протокол потерял $230 млн, прежде чем эксплойт был остановлен. В постмортеме не названы конкретные лица или группы, стоящие за атакой.
Новые стандарты листинга для снижения рисков мостов
Ответ Aave — полный пересмотр стандартов листинга активов. Протокол теперь будет оценивать, как верифицируются мостовые активы, прежде чем разрешать их использование в качестве залога. Старый процесс был сосредоточен на аудитах смарт-контрактов и проверках ликвидности. Новый процесс будет углубляться в механику самих мостов — как мост проверяет сообщения, кто им управляет и что происходит в случае его сбоя.
Это прямое признание того, что ландшафт рисков изменился. Aave теперь беспокоится не только об ошибке в своем собственном коде, но и о цепочке доверия, проходящей через каждую кроссчейн-транзакцию. Пересмотр все еще находится в стадии разработки, но направление ясно: любой токен, пересекающий цепочки, будет подвергаться дополнительной проверке.
Что это значит для управления рисками в DeFi
Эксплойт rsETH является частью более широкой тенденции. Уязвимости мостов стали единственной самой большой причиной потерь в децентрализованных финансах. Инцидент с Aave на $230 млн пополнил список взломов мостов, которые выкачали миллиарды за последние два года. Протоколы сейчас спешат обновить свои модели рисков.
Действие Aave — сигнал для всей отрасли. Другие кредитные протоколы, вероятно, последуют этому примеру с аналогичными проверками. Вопрос в том, будут ли новые стандарты достаточными для предотвращения следующего сбоя моста. Мосты по-прежнему остаются самым слабым звеном в цепочке DeFi.
Сроки внедрения новых критериев листинга пока не объявлены. Ожидается, что сообщество управления Aave обсудит детали в ближайшие недели. Решение установит прецедент для того, как DeFi будет управлять кроссчейн-рисками в будущем.
