Aave Thắt Chặt Kiểm Tra Rủi Ro DeFi Sau Tổn Thất Khai Thác rsETH Của LayerZero

TLDR

• Aave cho biết vụ khai thác rsETH vào tháng 4 xuất phát từ lỗi xác minh của cầu nối LayerZero, không phải lỗi trong mã của chính họ.
• Kẻ tấn công đã sử dụng 116.500 rsETH không có tài sản đảm bảo làm tài sản thế chấp trên Aave, khiến giao thức phải chịu các khoản vay không thể thu hồi.
• Aave sẽ xem xét toàn bộ tài sản V3 và mở rộng kiểm tra tài sản thế chấp để bao gồm các cầu nối cross-chain, oracle, người giám sát và rủi ro vận hành.
• LayerZero thừa nhận việc thiết lập xác minh một-chọi-một là sai lầm khi bảo mật tài sản có giá trị cao.
• Aave cho biết đã thực hiện 295 thay đổi đối với các tham số rủi ro trên các thị trường V3 kể từ vụ khai thác.

Aave đã bắt đầu viết lại các quy tắc tài sản thế chấp sau khi vụ khai thác cầu nối cross-chain rsETH vào tháng 4 khiến giao thức phải chịu những tổn thất DeFi không thể thu hồi.

Aave cho biết trong bản phân tích hậu sự kiện rằng sự cố không xuất phát từ lỗi trong các hợp đồng thông minh của họ. Giao thức cho vay truy nguồn gốc vụ khai thác đến token ether restaked của KelpDAO, rsETH, và cấu hình cầu nối cross-chain LayerZero được sử dụng để chuyển tài sản đó qua các chuỗi. Theo Aave, một tin nhắn Cross-chain giả mạo đã vượt qua xác minh và giải phóng 116.500 rsETH mà không có ether thực sự đảm bảo cho các token này.

Aave quy trách nhiệm cho rủi ro cơ sở hạ tầng bên ngoài

Bản phân tích hậu sự kiện cho biết kẻ tấn công đã nạp rsETH không có tài sản đảm bảo vào Aave V3 và sử dụng làm tài sản thế chấp để vay tài sản, và các khoản này không thể thu hồi sau khi việc bảo chứng giả mạo trở nên rõ ràng. Aave cho biết các hợp đồng thông minh của họ hoạt động đúng như thiết kế, nhưng tài sản thế chấp đã vào thị trường của họ thông qua cơ sở hạ tầng nằm ngoài codebase của họ.

LayerZero thừa nhận đã mắc sai lầm khi cho phép một tài sản có giá trị cao phụ thuộc vào cấu hình xác minh một-chọi-một. Báo cáo của Aave sử dụng sự cố này để lập luận rằng các đánh giá rủi ro DeFi giờ đây phải xem xét các hệ thống đằng sau các tài sản được niêm yết, không chỉ bản thân các tài sản đó.

Lỗi cầu nối KelpDAO phơi bày điểm yếu của rsETH

KelpDAO cung cấp dịch vụ restaking cho phép người dùng tái sử dụng phần tiếp xúc Ether đã stake để kiếm thêm lợi nhuận trên các giao thức khác. Token rsETH của họ đại diện cho quyền yêu cầu đối với ether đã restaked, trong khi LayerZero xử lý quy trình nhắn tin cho phép rsETH di chuyển giữa các blockchain.

Trong vụ khai thác tháng 4, Aave cho biết một người xác minh đã phê duyệt một tin nhắn giả. Chuỗi nhận sau đó đã giải phóng rsETH không có ether tương ứng đứng sau. Khi các token đó đến Aave, thị trường cho vay đã xử lý chúng như tài sản thế chấp chấp nhận được theo các quy tắc hiện hành.

Aave cho biết hiện sẽ xem xét mọi tài sản được niêm yết trên V3. Giao thức cho biết các kiểm tra tài sản thế chấp trong tương lai sẽ bao gồm các cầu nối cross-chain, phụ thuộc oracle, hợp đồng của Nền tảng của bên thứ ba, người giám sát, bảo mật vận hành và thanh khoản thị trường thứ cấp.

Trước đây, Aave cho biết các đánh giá của họ tập trung chủ yếu vào rủi ro tài chính, thanh khoản, biến động và kiểm toán hợp đồng thông minh. Bản phân tích hậu sự kiện cho biết những kiểm tra đó là chưa đủ đối với các tài sản phụ thuộc vào mạng lưới xác minh và hệ thống Cross-chain.

Các biện pháp phòng thủ tự động đang được phát triển

Aave cho biết các nhóm rủi ro của họ đã thực hiện 295 thay đổi tham số trên các thị trường V3 kể từ vụ khai thác. Các cập nhật đó bao gồm 168 lần giảm giới hạn cung cấp và 66 lần giảm giới hạn vay.

Giao thức cho biết đang xem xét các biện pháp bảo vệ tự động có thể đưa tỷ lệ cho vay của một tài sản về 0 sau khi các giới hạn rủi ro được đặt trước bị vi phạm. Aave cho biết biện pháp này sẽ loại bỏ khả năng vay từ tài sản thế chấp đang gặp khó khăn trước khi tổn thất lan rộng.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.