Aave переписує свої правила лістингу активів. Зміни відбуваються після експлойту на $230 млн, пов'язаного з rsETH, який виявив критичні слабкі місця в безпеці крос-чейн мостів. Згідно з офіційним звітом про інцидент, опублікованим протоколом, атаку пов'язали з несправністю в процесі верифікації мосту LayerZero.
Експлойт на $230 млн і несправність LayerZero
Експлойт вивів мільйони з пулів Aave, використовуючи вразливість у тому, як протокол верифікував активи, передані через міст. Офіційний звіт стверджує, що першопричиною стала несправність верифікації мосту LayerZero, а не помилка в смарт-контрактах Aave. Це розмежування має значення. Протягом багатьох років хакерські атаки в DeFi були здебільшого пов'язані з помилками коду — атаки повторного входу, експлойти флеш-позик і маніпуляції оракулами. Цей випадок був іншим. Він виявив новий вид ризику: довірчі припущення, закладені в мости, які з'єднують блокчейни.
Токен rsETH мав бути представленням застейканого ETH між мережами. Коли міст не зміг належним чином верифікувати актив, зловмисник створив мільйони фальшивих rsETH і вивів їх з Aave. Протокол втратив $230 млн, перш ніж експлойт було зупинено. Звіт не назвав конкретних осіб або груп, що стоять за атакою.
Нові стандарти лістингу для усунення ризиків мостів
Відповідь Aave — це повний перегляд стандартів лістингу активів. Відтепер протокол оцінюватиме, як верифікуються активи, що надходять через мости, перш ніж дозволити їх як заставу. Колишній процес зосереджувався на аудитах смарт-контрактів і перевірках ліквідності. Новий процес заглиблюватиметься в механіку самих мостів — як міст підтверджує повідомлення, хто ним керує і що станеться, якщо він вийде з ладу.
Це пряме визнання того, що ландшафт ризиків змінився. Aave більше не хвилюється лише про помилку у власному коді. Вона хвилюється про ланцюжок довіри, який проходить через кожну крос-чейн транзакцію. Перегляд ще триває, але напрямок зрозумілий: будь-який токен, що перетинає мережі, зазнає додаткової перевірки.
Що це означає для управління ризиками в DeFi
Експлойт rsETH є частиною більш широкої тенденції. Вразливості мостів стали найбільшою причиною втрат у децентралізованих фінансах. Інцидент з Aave на $230 млн приєднується до списку зламів мостів, які за останні два роки вивели мільярди. Протоколи зараз поспішають оновити свої моделі ризиків.
Крок Aave — це сигнал для всієї індустрії. Інші кредитні протоколи, ймовірно, підуть за ним з подібними перевірками. Питання в тому, чи будуть нові стандарти достатніми, щоб запобігти наступній несправності мосту. Мости все ще залишаються найслабшою ланкою в ланцюзі DeFi.
Терміни впровадження нових критеріїв лістингу не оголошені. Очікується, що спільнота управління Aave обговорить деталі в найближчі тижні. Рішення встановить прецедент для того, як DeFi буде управляти крос-чейн ризиками надалі.
