Aave Memperketat Pemeriksaan Risiko DeFi Setelah Kerugian Eksploit rsETH LayerZero

TLDR

• Aave menyatakan eksploitasi rsETH pada bulan April berasal dari kegagalan verifikasi jembatan LayerZero, bukan bug dalam kodenya sendiri.
• Penyerang menggunakan 116.500 rsETH tanpa jaminan sebagai agunan di Aave, meninggalkan protokol dengan pinjaman yang tidak dapat dipulihkan.
• Aave akan meninjau setiap aset V3 dan memperluas pemeriksaan agunan untuk mencakup jembatan, oracle, kustodian, dan risiko operasional.
• LayerZero mengakui bahwa pengaturan verifikasi satu-satu miliknya adalah kesalahan untuk mengamankan aset bernilai tinggi.
• Aave menyatakan telah melakukan 295 perubahan pada parameter risiko di seluruh pasar V3 sejak eksploitasi tersebut.

Aave telah mulai menulis ulang aturan agunannya setelah eksploitasi jembatan rsETH pada bulan April meninggalkan protokol dengan kerugian DeFi yang tidak dapat dipulihkan.

Aave menyatakan dalam postmortem-nya bahwa insiden tersebut bukan berasal dari kegagalan dalam kontraknya. Protokol pinjaman tersebut menelusuri eksploitasi ke token ether yang di-restake milik KelpDAO, rsETH, dan pengaturan jembatan LayerZero yang digunakan untuk memindahkan aset tersebut antar rantai. Menurut Aave, pesan lintas rantai palsu berhasil melewati verifikasi dan melepaskan 116.500 rsETH tanpa dukungan ether nyata di balik token-token tersebut.

Aave Menyalahkan Risiko Infrastruktur Eksternal

Postmortem tersebut menyebutkan bahwa penyerang menyetor rsETH tanpa jaminan ke Aave V3 dan menggunakannya sebagai agunan untuk meminjam aset, yang tidak dapat dipulihkan setelah jaminan palsu tersebut terungkap. Aave menyatakan kontrak-kontraknya beroperasi sesuai yang dirancang, namun agunan tersebut masuk ke pasarnya melalui infrastruktur di luar basis kodenya.

LayerZero mengakui bahwa mereka telah membuat kesalahan dengan membiarkan aset bernilai tinggi bergantung pada pengaturan verifikasi satu-satu. Laporan Aave menggunakan insiden ini untuk berargumen bahwa tinjauan risiko DeFi kini harus memeriksa sistem di balik aset yang terdaftar, bukan hanya aset itu sendiri.

Kegagalan Jembatan KelpDAO Mengekspos Kelemahan rsETH

KelpDAO menawarkan layanan restaking yang memungkinkan pengguna menggunakan kembali eksposur Ether yang di-stake untuk mendapatkan imbal hasil tambahan di protokol lain. Token rsETH-nya mewakili klaim atas ether yang di-restake, sementara LayerZero menangani proses pengiriman pesan yang memungkinkan rsETH bergerak antar blockchain.

Dalam eksploitasi April tersebut, Aave menyatakan satu verifier menyetujui pesan palsu. Rantai penerima kemudian melepaskan rsETH yang tidak memiliki ether yang sepadan di belakangnya. Begitu token-token tersebut mencapai Aave, pasar pinjaman memperlakukannya sebagai agunan yang dapat diterima berdasarkan aturan yang berlaku.

Aave menyatakan kini akan meninjau setiap aset yang terdaftar di V3. Protokol tersebut mengatakan pemeriksaan agunan di masa mendatang akan mencakup jembatan, ketergantungan oracle, kontrak pihak ketiga, kustodian, keamanan operasional, dan likuiditas pasar sekunder.

Sebelumnya, Aave menyatakan tinjauan mereka berfokus terutama pada risiko keuangan, likuiditas, volatilitas, dan audit smart contract. Postmortem tersebut menyatakan pemeriksaan-pemeriksaan itu tidak cukup untuk aset-aset yang bergantung pada jaringan verifikasi dan sistem lintas rantai.

Pertahanan Otomatis Sedang Dikembangkan

Aave menyatakan tim risikonya telah melakukan 295 perubahan parameter di seluruh pasar V3 sejak eksploitasi tersebut. Pembaruan tersebut mencakup 168 pengurangan batas pasokan dan 66 pengurangan batas pinjaman.

Protokol tersebut menyatakan sedang mempertimbangkan perlindungan otomatis yang dapat memangkas rasio pinjaman terhadap nilai aset menjadi nol setelah batas risiko yang telah ditetapkan dilanggar. Aave menyatakan langkah tersebut akan menghapus daya pinjam dari agunan yang bermasalah sebelum kerugian menyebar.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.