Det decentraliserede finansprotokol Aave har for nylig meddelt, at det har genoprettet likviditeten i sine udlånspuljer fuldt ud efter et krydskæde-angreb, der kostede 300 millioner dollars.
Aave oplyser, at driften er tilbage til det normale, efter at en sikkerhedsreserve på 300 millioner dollar har erstattet de udtømte aktiver
SKREVET AF
DEL
Udnyttelsens anatomi
Pioneren inden for decentraliseret finansiering (DeFi), Aave, har med succes genoprettet fuld likviditet i sine udlånspuljer og dermed afsluttet en aggressiv stabiliseringsindsats, der har varet i flere uger, efter et krydskædeangreb på 300 millioner dollars, der truede protokollens kontantreserver, meddelte udviklerne den 1. juni.
Aave sagde i sin efteranalyse, at man ved at mobilisere en brancheomspændende redningsfond på 300 millioner dollars og sikre en nødkendelse fra en føderal domstol var i stand til at erstatte de drænede aktiver, beskytte indskydere mod tab og genoprette normale låne- og udlånsoperationer på tværs af protokollen.
Offentliggørelsen af efteranalysen kom mere end en måned efter, at en hacker udnyttede en tredjepartsbro, der drives af Kelp og Layerzero. Ved at fabrikere tværkæde-beskeder skabte hackeren 116.500 forfalskede rsETH-tokens og deponerede dem på Aaves V3-platform som sikkerhed.
Hackeren brugte straks de falske rsETH som sikkerhed til at suge højlikvide aktiver ud og lånte 82.650 wrapped ethereum (WETH) og 821 wrapped staked ethereum (wstETH). Den pludselige massive udbetaling svækkede strukturelt Aaves centrale likviditetspuljer, hvilket tvang risikomanagere til at fryse de berørte markeder for at forhindre en kaskade af udtræk fra platformens kapital.
For at lukke hullet hjalp Aave Labs med at mobilisere en nødkoalition af store aktører i branchen, herunder Lido, Ether.fi, Ethena og Compound. Sammen oprettede gruppen en genopretningsfond på 300 millioner dollars. Denne kapitalindsprøjtning understøttede effektivt de kompromitterede rsETH-aktiver og garanterede, at hver eneste dollar af brugerindskuddene forblev fuldt sikret af autentiske reserver.
Frigivelse af kapitalen
Vejen til genoprettelse af likviditeten stødte imidlertid på en juridisk forhindring den 1. maj, da domskreditorer i en urelateret føderal sag afbrød genopretningsprocessen. Kreditorerne opnåede et forbud, der indefrøs ca. 71 millioner dollars i ethereum, som var blevet tilbagekrævet fra angriberen og var bestemt til at genopfylde Aaves puljer.
Aave reagerede ved at indgive en hastebegæring til den amerikanske føderale domstol den 4. maj, og fire dage senere godkendte en dommer en afgørende ændring af indefrysningen, hvilket tillod øjeblikkelig overførsel af de 71 millioner dollars tilbage til Aaves direkte forvaring. Dette juridiske gennembrud gjorde det muligt for udviklerne øjeblikkeligt at omdirigere midlerne tilbage til protokollens aktive udlånspuljer, hvilket genoprettede den likviditetsdybde, der kræves for sikre markedsoperationer.
Med kapitalreserverne fuldt genopfyldt og markedsparametrene fra før udnyttelsen genoprettet er Aave i gang med at revidere sin risikostruktur for at beskytte sin likviditet mod fremtidige systemiske svigt fra tredjeparter.
For at forhindre fremtidige angribere i at konvertere udnyttede tokens til likvide protokolaktiver gennemførte Aave-udviklerne 295 individuelle parameteropdateringer, der kraftigt reducerede låne- og udbudslofterne på tværs af 168 separate aktivpuljer.
Derudover implementerer protokollen en automatiseret LTV0 (loan-to-value zero) afbryder. Fremover vil systemet øjeblikkeligt fratage et aktiv dets sikkerhedsværdi, hvis dets underliggende krydskædeinfrastruktur udsættes for et sikkerhedsbrud. Dette sikrer, at kompromitterede tokens ikke længere kan bruges til at låne eller dræne autentisk likviditet fra Aaves markeder.
