Aave посилює вимоги до нових активів після інциденту з rsETH

Протокол Aave суттєво переглянув критерії додавання нових активів до своєї екосистеми. Це рішення стало прямим наслідком інциденту з токеном rsETH, який стався у квітні й міг призвести до виникнення безнадійного боргу на суму, що сягає сотень мільйонів доларів.

Причиною минулорічної кризи стала не вада в смарт-контрактах самого Aave, а проблема з верифікацією даних у мості LayerZero, який використовував проєкт Kelp. Зловмисник скористався помилкою в конфігурації одного з верифікаторів, щоб сфабрикувати міжмережеве повідомлення. Це дозволило йому випустити 116 500 необгрунтованих токенів rsETH, вартість яких сягала приблизно 293 мільйонів доларів США (приблизно 11,4 мільярда гривень за поточним курсом).

Ці токени були внесені в Aave як застава. Оскільки rsETH мав режим eMode з надзвичайно високим коефіцієнтом співвідношення позики до вартості (LTV) на рівні 93%, зловмисник зміг отримати доступ до ліквідних активів. Протокол опинився б у скрутному становищі, не маючи можливості повернути ці активи після очікуваного знецінення rsETH.

Нові стандарти безпеки для Aave V3, V4 та Horizon

Розроблений новий каркас для версій Aave V3, V4 та майбутньої V Horizon, що значно розширює спектр оцінки ризиків. Окрім традиційних показників волатильності та ліквідності, Aave тепер буде ретельно аналізувати такі аспекти:

• Надійність інфраструктури мостів для передачі активів та кількість рівнів “обгортки” токена.
• Залежність активу від зовнішніх оракулів та кастодіанів.
• Технічну архітектуру токена, зокрема його відповідність стандарту ERC-20, наявність адміністративних прав та можливість оновлення коду.
• Операційну безпеку емітента активу.

Команда Aave також запропонувала впровадження автоматизованих механізмів захисту. Ці інструменти дозволять миттєво знижувати LTV для певного активу, якщо він досягне критичних рівнів ризику, без необхідності чекати на рішення системи управління протоколом.

Фахівці з управління ризиками вже внесли близько 295 коректив до параметрів ринків V3. Це включає зменшення лімітів на депозити та запозичення, що має на меті мінімізувати потенційні наслідки подібних інцидентів у майбутньому.

Аудитори з OpenZeppelin підтвердили, що квітневий інцидент став результатом прорахунків у конфігурації інфраструктури та управлінні ризиками, а не наслідком збоїв у програмному коді Aave чи Kelp.

Нагадаємо, 25 травня команда Kelp успішно відновила забезпечення для rsETH, переказавши останній транш у розмірі 20 373 rsETH на смарт-контракт LayerZero.

Порада від Business News:

Ці оновлення в протоколі Aave демонструють зростання відповідальності в DeFi-секторі. Посилення вимог до нових активів та впровадження автоматичних систем захисту суттєво підвищують безпеку для користувачів, зменшуючи ризики непередбачених втрат. Це важливий крок для стабільності всієї децентралізованої фінансової системи.

Дізнатися більше на: cryptocurrency.tech