Протокол Aave змінив свої стандарти оцінки ризиків після інциденту з rsETH, який поставив проект під загрозу виникнення безнадежного боргу на сотні мільйонів доларів.
— Aave (@aave) Причиною виникнення цього інциденту став збій верифікації в мості LayerZero, який використовується проектом Kelp, а не вразливість у смарт-контрактах самої лендингової платформи 🚀💰 Злоумисник скористався помилкою у налаштуванні одного із верифікаторів для підміни повідомлення та випуску 116 500 необезпечених токенів rsETH ($293 млн).
Акти були внесені в Aave як залік
Поки rsETH знаходився у режимі eMode з високим LTV (93%), атакуючи отримав ліквідні активи, які протокол не зміг би повернути після обесценіння rsETH 📉📊.
Новий фреймворк для версій V3, V4 та Horizon розширює критерії оцінки ризиків Тепер, окрім волатильності та ліквідності, Aave буде враховувати:
надійність інфраструктури мостів та кількість рівнів обертки токену;
залежності від зовнішніх оракулів та кастодіанів;
технічну архітектуру (відповідність, права адміна та можливість апгрейду коду);
оперативну безпеку емітора активів.
Команда також запропонувала ввести автоматизовані захисні механізми 🚀🔒
Вони дозволять миттєво знищувати LTV активу при досягненні критичних порогів ризику, не чекаючи рішення управління.
Риск-менеджери вже внесли близько 295 правок у параметри ринків V3, включаючи скорочення обмежень на надання та отримання для мінімізації наслідків подібних інцидентів 📊💸.
Аудитори OpenZeppelin дійшли висновку, що цей інцидент став наслідком просчетів у налаштуванні інфраструктури та управління ризиками, а не багів у коді Aave чи Kelp 🐋💻.
Забезпечення rsETH, команда відправила фінальний транш у розмірі 20 373 rsETH на смарт-контракт LayerZero 💸📊.
За матеріалами ForkLog