Протокол Aave пересмотрел свои стандарты листинга активов после инцидента с rsETH, который поставил проект в опасное положение.
— Итак, что произошло? 🚀 📉 Злоумышленник воспользовался ошибкой конфигурации одного из верификаторов в мосте LayerZero, используемом проектом Kelp. Он подделал сообщение и выпустил 116 500 необеспеченных токенов rsETH стоимостью $293 млн.
Активы были внесены в Aave в качестве залога. Поскольку rsETH находился в режиме eMode с высоким LTV (93%), атакующий занял ликвидные активы, которые протокол не смог бы вернуть после обесценивания rsETH. Это был настоящий кошмар! 🐋 💰
Теперь, чтобы предотвратить такие инциденты в будущем, протокол Aave разрабатывает новый фреймворк для версий V3, V4 и Horizon. Теперь будут учитываться критерии оценки рисков, включая надежность инфраструктуры мостов и количество уровней обертки токена.
Новый фреймворк также будет учитывать зависимости от внешних оракулов и кастодианов, техническую архитектуру (соответствие, права админа и возможность апгрейда кода) и оперативную безопасность эмитента активов.
Команда также предложила внедрить автоматизированные защитные механизмы, которые позволят мгновенно обнулять LTV актива при достижении критических порогов риска, не дожидаясь решения управления.
Риск-менеджеры уже внесли около 295 правок в параметры рынков V3, включая сокращение лимитов на поставку и заимствование для минимизации последствий подобных инцидентов.
Аудиторы OpenZeppelin, что инцидент стал следствием просчетов в конфигурации инфраструктуры и управлении рисками, а не багов в коде Aave или Kelp.
Теперь, чтобы обеспечить долгосрочную стабильность, команда отправила финальный транш в размере 20 373 rsETH на смарт-контракт LayerZero.
По материалам ForkLog