Το Aave Σφίγγει τους Ελέγχους Κινδύνου DeFi Μετά τις Απώλειες από την Εκμετάλλευση rsETH του LayerZero

TLDR

• Το Aave δήλωσε ότι η εκμετάλλευση rsETH τον Απρίλιο προήλθε από αποτυχία επαλήθευσης της γέφυρας LayerZero, όχι από σφάλμα στον δικό του κώδικα.
• Ο επιτιθέμενος χρησιμοποίησε 116.500 rsETH χωρίς υποστήριξη ως εγγύηση στο Aave, αφήνοντας το πρωτόκολλο με μη ανακτήσιμα δάνεια.
• Το Aave θα αξιολογήσει κάθε στοιχείο V3 και θα επεκτείνει τους ελέγχους εγγυήσεων ώστε να συμπεριλάβει γέφυρες, μαντεία, θεματοφύλακες και λειτουργικούς κινδύνους.
• Το LayerZero παραδέχτηκε ότι η ρύθμιση επαλήθευσης ένας-προς-έναν ήταν λάθος για την ασφάλεια στοιχείων υψηλής αξίας.
• Το Aave δήλωσε ότι έχει ήδη πραγματοποιήσει 295 αλλαγές στις παραμέτρους κινδύνου σε όλες τις αγορές V3 από την εκμετάλλευση.

Το Aave έχει αρχίσει να ξαναγράφει τους κανόνες εγγύησής του μετά από μια εκμετάλλευση γέφυρας rsETH τον Απρίλιο που άφησε το πρωτόκολλο με μη ανακτήσιμες ζημίες DeFi.

Το Aave δήλωσε στην ανάλυσή του ότι το συμβάν δεν προήλθε από αποτυχία στα συμβόλαιά του. Το πρωτόκολλο δανεισμού εντόπισε την εκμετάλλευση στο token επαναστοιχηματισμένου ether της KelpDAO, rsETH, και στη ρύθμιση γέφυρας LayerZero που χρησιμοποιείται για τη μεταφορά αυτού του στοιχείου μεταξύ αλυσίδων. Σύμφωνα με το Aave, ένα πλαστό μήνυμα διασταυρούμενης αλυσίδας πέρασε την επαλήθευση και απελευθέρωσε 116.500 rsETH χωρίς πραγματικό ether να υποστηρίζει τα tokens.

Το Aave Κατηγορεί τον Κίνδυνο Εξωτερικής Υποδομής

Η ανάλυση ανέφερε ότι ο επιτιθέμενος κατέθεσε rsETH χωρίς υποστήριξη στο Aave V3 και το χρησιμοποίησε ως εγγύηση για να δανειστεί στοιχεία, τα οποία δεν ήταν δυνατό να ανακτηθούν αφότου έγινε σαφής η ψεύτικη υποστήριξη. Το Aave δήλωσε ότι τα συμβόλαιά του λειτούργησαν όπως σχεδιάστηκαν, αλλά η εγγύηση εισήλθε στις αγορές του μέσω υποδομής εκτός του κώδικά του.

Το LayerZero παραδέχτηκε ότι έκανε λάθος επιτρέποντας σε ένα στοιχείο υψηλής αξίας να βασίζεται σε ρύθμιση επαλήθευσης ένας-προς-έναν. Η αναφορά του Aave χρησιμοποίησε το συμβάν για να υποστηρίξει ότι οι αξιολογήσεις κινδύνου DeFi πρέπει πλέον να εξετάζουν τα συστήματα πίσω από τα καταχωρημένα στοιχεία, όχι μόνο τα ίδια τα στοιχεία.

Η Αποτυχία Γέφυρας KelpDAO Αποκάλυψε την Αδυναμία του rsETH

Η KelpDAO προσφέρει υπηρεσίες επαναστοιχηματισμού που επιτρέπουν στους χρήστες να επαναχρησιμοποιούν την έκθεση σε στοιχηματισμένο Ether για επιπλέον απόδοση σε άλλα πρωτόκολλα. Το token rsETH αντιπροσωπεύει μια αξίωση σε επαναστοιχηματισμένο ether, ενώ το LayerZero χειρίζεται τη διαδικασία ανταλλαγής μηνυμάτων που επιτρέπει στο rsETH να κινείται μεταξύ blockchains.

Στην εκμετάλλευση του Απριλίου, το Aave δήλωσε ότι ένας επαληθευτής ενέκρινε ένα ψευδές μήνυμα. Η αλυσίδα λήψης απελευθέρωσε στη συνέχεια rsETH που δεν είχε αντίστοιχο ether πίσω του. Μόλις αυτά τα tokens έφτασαν στο Aave, η αγορά δανεισμού τα αντιμετώπισε ως αποδεκτή εγγύηση βάσει των υφιστάμενων κανόνων.

Το Aave δήλωσε ότι θα αξιολογήσει τώρα κάθε στοιχείο που είναι καταχωρημένο στο V3. Το πρωτόκολλο ανέφερε ότι οι μελλοντικοί έλεγχοι εγγύησης θα περιλαμβάνουν γέφυρες, εξαρτήσεις μαντείου, συμβόλαια τρίτων, θεματοφύλακες, λειτουργική ασφάλεια και ρευστότητα δευτερογενούς αγοράς.

Προηγουμένως, το Aave δήλωσε ότι οι αξιολογήσεις του εστίαζαν κυρίως στον χρηματοοικονομικό κίνδυνο, τη ρευστότητα, την αστάθεια και τους ελέγχους έξυπνων συμβολαίων. Η ανάλυση ανέφερε ότι αυτοί οι έλεγχοι δεν ήταν επαρκείς για στοιχεία που εξαρτώνται από δίκτυα επαλήθευσης και συστήματα διασταυρούμενων αλυσίδων.

Αυτοματοποιημένες Άμυνες υπό Ανάπτυξη

Το Aave δήλωσε ότι οι ομάδες κινδύνου του έχουν πραγματοποιήσει 295 αλλαγές παραμέτρων σε αγορές V3 από την εκμετάλλευση. Αυτές οι ενημερώσεις περιλάμβαναν 168 μειώσεις ορίου προσφοράς και 66 μειώσεις ορίου δανεισμού.

Το πρωτόκολλο ανέφερε ότι εξετάζει αυτοματοποιημένες προστασίες που θα μπορούσαν να μειώσουν τον λόγο δανείου-προς-αξία ενός στοιχείου στο μηδέν μετά την παραβίαση προκαθορισμένων ορίων κινδύνου. Το Aave δήλωσε ότι το μέτρο θα αφαιρούσε τη δύναμη δανεισμού από εγγυήσεις σε δυσχέρεια πριν εξαπλωθούν οι ζημίες.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.