Aave在LayerZero rsETH漏洞损失后收紧DeFi风险检查

TLDR

• Aave表示，四月份的rsETH漏洞利用事件源于LayerZero跨链桥验证失败，而非其自身代码的漏洞。
• 攻击者将116,500枚无背书的rsETH作为抵押品存入Aave，致使协议遭受无法追回的贷款损失。
• Aave将审查V3上的每项资产，并扩大抵押品审查范围，涵盖跨链桥、预言机、托管方及运营风险。
• LayerZero承认，允许高价值资产依赖一对一验证机制是一个错误。
• Aave表示，自漏洞事件发生以来，已对V3市场的风险参数进行了295项调整。

在四月份rsETH跨链桥漏洞利用事件令协议蒙受无法挽回的DeFi损失后，Aave已开始重写其抵押品规则。

Aave在事后分析报告中表示，此次事件并非源于其合约的缺陷。该借贷协议将漏洞根源追溯至KelpDAO的再质押以太币代币rsETH，以及用于跨链转移该资产的LayerZero跨链桥配置。据Aave表示，一条伪造的跨链消息通过了验证，并在没有真实以太币背书的情况下释放了116,500枚rsETH。

Aave将责任归咎于外部基础设施风险

事后分析报告指出，攻击者将无背书的rsETH存入Aave V3，并将其作为抵押品借取资产。当虚假背书暴露后，这些资产已无法追回。Aave表示，其合约按设计正常运行，但抵押品是通过其代码库以外的基础设施进入市场的。

LayerZero承认，允许高价值资产依赖一对一验证机制是一个错误。Aave的报告以此次事件为据，主张DeFi风险审查必须检视已上市资产背后的系统，而不仅仅是资产本身。

KelpDAO跨链桥故障暴露rsETH弱点

KelpDAO提供再质押服务，允许用户将已质押的以太币敞口在其他协议中重复使用以获取额外收益。其rsETH代币代表对再质押以太币的索取权，而LayerZero则负责处理rsETH在不同区块链之间转移的消息传递流程。

在四月份的漏洞利用事件中，Aave表示一名验证者批准了一条虚假消息。接收链随后释放了背后没有对应以太币支撑的rsETH。这些代币一旦到达Aave，借贷市场便依据现行规则将其视为合格抵押品。

Aave表示，现将审查V3上列出的每项资产。该协议表示，未来的抵押品审查将涵盖跨链桥、预言机依赖项、第三方合约、托管方、运营安全及二级市场流动性。

此前，Aave表示其审查主要侧重于金融风险、流动性、波动性及智能合约审计。事后分析报告指出，对于依赖验证网络和跨链系统的资产而言，这些审查措施已不足够。

自动化防御机制正在开发中

Aave表示，自漏洞事件发生以来，其风险团队已对V3市场进行了295项参数调整，其中包括168项供应上限削减及66项借贷上限削减。

该协议表示，正在考虑引入自动化保护机制，一旦预设风险限额被突破，可将某资产的贷款价值比降至零。Aave表示，此举将在损失扩散之前，撤销问题抵押品的借贷能力。

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.