Aave กำลังเขียนกฎการจดรายการสินทรัพย์ใหม่ การเปลี่ยนแปลงนี้เกิดขึ้นหลังจากการ exploit มูลค่า 230 ล้านดอลลาร์ที่เกี่ยวข้องกับ rsETH ซึ่งเผยให้เห็นจุดอ่อนสำคัญในความปลอดภัยของสะพานเชื่อมต่อระหว่างเชน (cross-chain bridge) การโจมตีดังกล่าวมีสาเหตุมาจากความล้มเหลวในกระบวนการตรวจสอบของสะพาน LayerZero ตามรายงานสรุปเหตุการณ์อย่างเป็นทางการที่ออกโดยโปรโตคอล
การ Exploit มูลค่า 230 ล้านดอลลาร์และความล้มเหลวของ LayerZero
การ exploit ครั้งนี้ได้ระบายเงินหลายล้านดอลลาร์จากพูลของ Aave โดยใช้ช่องโหว่ในวิธีการที่โปรโตคอลตรวจสอบสินทรัพย์ที่ถูกเชื่อมต่อผ่านสะพาน รายงานสรุปเหตุการณ์อย่างเป็นทางการระบุว่าสาเหตุหลักคือความล้มเหลวในการตรวจสอบของสะพาน LayerZero ไม่ใช่ข้อบกพร่องในสัญญาอัจฉริยะ (smart contracts) ของ Aave ความแตกต่างนี้สำคัญมาก เป็นเวลาหลายปีที่การโจมตี DeFi ส่วนใหญ่เกิดจากข้อผิดพลาดในการเขียนโค้ด เช่น การโจมตีแบบ reentrancy, การ exploit สินเชื่อแฟลช (flash loan) และการปรับเปลี่ยนข้อมูล oracle แต่ครั้งนี้แตกต่างออกไป มันเผยให้เห็นความเสี่ยงรูปแบบใหม่: สมมติฐานด้านความเชื่อถือที่ฝังอยู่ภายในสะพานที่เชื่อมต่อบล็อคเชนต่างๆ
โทเค็น rsETH ถูกออกแบบมาให้เป็นตัวแทนของ ETH ที่ถูก staking ไว้ข้ามเชนต่างๆ เมื่อสะพานล้มเหลวในการตรวจสอบสินทรัพย์อย่างถูกต้อง ผู้โจมตีสามารถสร้าง rsETH ปลอมมูลค่าหลายล้านดอลลาร์และระบายออกจาก Aave โปรโตคอลสูญเสีย 230 ล้านดอลลาร์ก่อนที่การ exploit จะถูกหยุด รายงานสรุปเหตุการณ์ไม่ได้ระบุชื่อบุคคลหรือกลุ่มเฉพาะที่อยู่เบื้องหลังการโจมตี
มาตรฐานการจดรายการใหม่เพื่อจัดการความเสี่ยงของสะพาน
การตอบสนองของ Aave คือการปรับปรุงมาตรฐานการจดรายการสินทรัพย์อย่างสมบูรณ์ โปรโตคอลจะประเมินว่าสินทรัพย์ที่ถูกเชื่อมต่อผ่านสะพานได้รับการตรวจสอบอย่างไรก่อนที่จะอนุญาตให้ใช้เป็นหลักประกัน กระบวนการเดิมเน้นที่การตรวจสอบสัญญาอัจฉริยะและการตรวจสอบสภาพคล่อง กระบวนการใหม่จะเจาะลึกถึงกลไกของสะพานเอง — ว่าสะพานตรวจสอบข้อความอย่างไร ใครเป็นผู้ควบคุม และจะเกิดอะไรขึ้นหากล้มเหลว
นี่คือการยอมรับโดยตรงว่าภูมิทัศน์ความเสี่ยงได้เปลี่ยนแปลงไป Aave ไม่ได้กังวลแค่เรื่องข้อบกพร่องในโค้ดของตัวเองอีกต่อไป แต่กังวลเกี่ยวกับห่วงโซ่ความเชื่อถือที่ดำเนินผ่านทุกธุรกรรมข้ามเชน การปรับปรุงครั้งนี้ยังอยู่ในระหว่างการร่าง แต่ทิศทางชัดเจน: โทเค็นใดก็ตามที่ข้ามเชนจะต้องถูกตรวจสอบอย่างเข้มงวดยิ่งขึ้น
สิ่งนี้หมายถึงอะไรสำหรับการจัดการความเสี่ยงของ DeFi
การ exploit rsETH เป็นส่วนหนึ่งของแนวโน้มที่กว้างขึ้น ช่องโหว่ของสะพานกลายเป็นสาเหตุใหญ่ที่สุดของการสูญเสียใน decentralized finance เหตุการณ์ Aave มูลค่า 230 ล้านดอลลาร์นี้เพิ่มเข้าไปในรายการการโจมตีสะพานที่ทำให้สูญเสียหลายพันล้านดอลลาร์ในช่วงสองปีที่ผ่านมา ปัจจุบันโปรโตคอลต่างๆ กำลังแข่งกันอัปเดตโมเดลความเสี่ยงของตน
การเคลื่อนไหวของ Aave เป็นสัญญาณไปยังอุตสาหกรรมที่เหลือ โปรโตคอลการให้กู้ยืมอื่นๆ มีแนวโน้มจะดำเนินการตรวจสอบที่คล้ายกันตามมา คำถามคือมาตรฐานใหม่จะเพียงพอที่จะป้องกันความล้มเหลวของสะพานครั้งต่อไปหรือไม่ สะพานยังคงเป็นจุดอ่อนที่สุดในห่วงโซ่ของ DeFi
ยังไม่มีการระบุกรอบเวลาสำหรับการเปิดตัวเกณฑ์การจดรายการใหม่ คาดว่าชุมชนการกำกับดูแลของ Aave จะถกเถียงรายละเอียดในอีกไม่กี่สัปดาห์ข้างหน้า การตัดสินใจครั้งนี้จะสร้างแบบอย่างสำหรับวิธีที่ DeFi จัดการกับความเสี่ยงข้ามเชนในอนาคต
