Aave Refuerza las Verificaciones de Riesgo en DeFi Tras las Pérdidas del Exploit de LayerZero rsETH

TLDR

• Aave afirmó que el exploit de rsETH de abril se originó por un fallo de verificación del puente entre cadenas de LayerZero, no por un error en su propio código.
• El atacante utilizó 116.500 rsETH sin respaldo como colateral en Aave, dejando al protocolo con préstamos irrecuperables.
• Aave revisará cada activo de V3 y ampliará las verificaciones de colateral para incluir puentes, oráculos, custodios y riesgos operativos.
• LayerZero admitió que su configuración de verificación uno a uno fue un error para asegurar activos de alto valor.
• Aave afirmó que ya ha realizado 295 cambios en los parámetros de riesgo en los mercados de V3 desde el exploit.

Aave ha comenzado a reescribir sus reglas de colateral tras un exploit del puente rsETH en abril que dejó al protocolo con pérdidas irrecuperables en DeFi.

Aave indicó en su análisis postmortem que el incidente no se originó por un fallo en sus contratos. El protocolo de préstamos rastreó el exploit hasta el token de ether re-stakeado de KelpDAO, rsETH, y la configuración del puente entre cadenas de LayerZero utilizada para mover ese activo entre cadenas. Según Aave, un mensaje Cross-chain falsificado superó la verificación y liberó 116.500 rsETH sin ether real respaldando los tokens.

Aave Culpa al Riesgo de Infraestructura Externa

El análisis postmortem indicó que el atacante depositó rsETH sin respaldo en Aave V3 y lo utilizó como colateral para tomar prestados activos, los cuales no pudieron recuperarse una vez que quedó claro que el respaldo era falso. Aave señaló que sus contratos operaron según lo diseñado, pero el colateral ingresó a sus mercados a través de infraestructura externa a su código base.

LayerZero reconoció que cometió un error al permitir que un activo de alto valor dependiera de una configuración de verificación uno a uno. El informe de Aave utilizó el incidente para argumentar que las revisiones de riesgo en DeFi deben ahora examinar los sistemas detrás de los activos listados, no solo los activos en sí mismos.

El Fallo del Puente de KelpDAO Expuso la Debilidad de rsETH

KelpDAO ofrece servicios de re-staking que permiten a los usuarios reutilizar la exposición al Ether stakeado para obtener rendimiento adicional en otros protocolos. Su token rsETH representa un derecho sobre ether re-stakeado, mientras que LayerZero gestiona el proceso de mensajería que permite a rsETH moverse entre blockchains.

En el exploit de abril, Aave indicó que un verificador aprobó un mensaje falso. La cadena receptora liberó entonces rsETH que no tenía ether equivalente detrás. Una vez que esos tokens llegaron a Aave, el mercado de préstamos los trató como colateral aceptable bajo las reglas existentes.

Aave afirmó que ahora revisará cada activo listado en V3. El protocolo indicó que las futuras verificaciones de colateral incluirán puentes entre cadenas, dependencias de oráculos, contratos de plataformas de terceros, custodios, seguridad operativa y liquidez del mercado secundario.

Anteriormente, Aave señaló que sus revisiones se enfocaban principalmente en el riesgo financiero, la liquidez, la volatilidad y las auditorías de Smart Contracts. El análisis postmortem indicó que esas verificaciones no eran suficientes para activos que dependen de redes de verificación y sistemas Cross-chain.

Defensas Automatizadas en Desarrollo

Aave afirmó que sus equipos de riesgo han realizado 295 cambios de parámetros en los mercados de V3 desde el exploit. Esas actualizaciones incluyeron 168 reducciones de límite de suministro y 66 reducciones de límite de préstamo.

El protocolo indicó que está considerando protecciones automatizadas que podrían reducir la relación préstamo-valor de un activo a cero cuando se superen los límites de riesgo preestablecidos. Aave señaló que la medida eliminaría el poder de endeudamiento del colateral en dificultades antes de que las pérdidas se propaguen.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.