Das DeFi-Protokoll Aave gab kürzlich bekannt, dass es die Liquidität seiner Kreditpools nach einem kettenübergreifenden Exploit in Höhe von 300 Millionen US-Dollar vollständig wiederhergestellt hat.
Aave gibt bekannt, dass der Betrieb wieder normal läuft, da eine Absicherung in Höhe von 300 Millionen Dollar die aufgebrauchten Vermögenswerte ersetzt
GESCHRIEBEN VON
TEILEN
Die Hintergründe des Exploits
Der Pionier der dezentralen Finanzwirtschaft (DeFi), Aave, hat die volle Liquidität seiner Kreditpools erfolgreich wiederhergestellt und damit eine intensive, mehrwöchige Stabilisierungsmaßnahme abgeschlossen, die auf einen 300-Millionen-Dollar-Cross-Chain-Exploit folgte, der die Barreserven des Protokolls bedrohte, wie die Entwickler am 1. Juni bekannt gaben.
Aave erklärte in seiner Nachbetrachtung, dass es durch die Mobilisierung eines branchenweiten Rettungsfonds in Höhe von 300 Millionen US-Dollar und die Erlangung einer einstweiligen Verfügung vor einem Bundesgericht gelungen sei, die entzogenen Vermögenswerte zu ersetzen, die Einleger vor Verlusten zu schützen und den normalen Kredit- und Darlehensbetrieb im gesamten Protokoll wiederherzustellen.
Die Veröffentlichung der Nachbetrachtung erfolgte mehr als einen Monat, nachdem ein Angreifer eine von Kelp und Layerzero betriebene Drittanbieter-Brücke ausgenutzt hatte. Durch die Fälschung kettenübergreifender Nachrichten prägte der Hacker 116.500 gefälschte rsETH-Token und hinterlegte diese als Sicherheit auf der V3-Plattform von Aave.
Der Angreifer nutzte die gefälschten rsETH sofort als Sicherheit, um hochliquide Vermögenswerte abzuschöpfen, und lieh sich 82.650 Wrapped Ethereum (WETH) sowie 821 Wrapped Staked Ethereum (wstETH). Die plötzliche Massenabhebung schwächte die Kern-Liquiditätspools von Aave strukturell und zwang die Risikomanager dazu, betroffene Märkte einzufrieren, um einen Ansturm auf das Kapital der Plattform zu verhindern. Um das Loch zu stopfen, half Aave Labs dabei, eine Notfallkoalition aus wichtigen Branchenakteuren zu mobilisieren, darunter Lido, Ether.fi, Ethena und Compound. Gemeinsam richtete die Gruppe einen Sanierungsfonds in Höhe von 300 Millionen US-Dollar ein. Diese Kapitalzuführung sicherte die gefährdeten rsETH-Vermögenswerte effektiv ab und garantierte, dass jeder Dollar der Einlagen der Nutzer vollständig durch echte Reserven besichert blieb.
Freigabe des Kapitals
Der Weg zur Wiederherstellung der Liquidität stieß jedoch am 1. Mai auf eine rechtliche Hürde, als Vollstreckungsgläubiger in einem nicht damit zusammenhängenden Bundesverfahren den Sanierungsvorgang unterbrachen. Die Gläubiger erwirkten eine einstweilige Verfügung, die rund 71 Millionen US-Dollar in Ethereum einfror, die vom Angreifer zurückgefordert worden waren und zur Auffüllung der Pools von Aave vorgesehen waren.
Aave reagierte darauf am 4. Mai mit der Einreichung eines Eilantrags vor einem US-Bundesgericht, und vier Tage später genehmigte ein Richter eine entscheidende Änderung der Sperre, wodurch die sofortige Rücküberweisung der 71 Millionen US-Dollar in die direkte Verwahrung von Aave ermöglicht wurde. Dieser rechtliche Durchbruch ermöglichte es den Entwicklern, die Mittel sofort wieder in die aktiven Kreditpools des Protokolls zu leiten und so die für einen sicheren Marktbetrieb erforderliche Liquidität wiederherzustellen. Nachdem die Kapitalreserven vollständig aufgefüllt und die Marktparameter vor dem Exploit wiederhergestellt wurden, überarbeitet Aave derzeit seine Risikoarchitektur, um seine Liquidität vor künftigen systemischen Ausfällen durch Dritte zu schützen.
Um zu verhindern, dass zukünftige Angreifer ausgenutzte Token in liquide Protokoll-Assets umwandeln, führten die Aave-Entwickler 295 einzelne Parameteraktualisierungen durch, wodurch die Obergrenzen für Kreditaufnahme und Angebot in 168 separaten Asset-Pools drastisch gesenkt wurden. Zudem implementiert das Protokoll einen automatisierten LTV0-Circuit-Breaker (Loan-to-Value Zero). Sollte es in Zukunft zu einer Sicherheitsverletzung in der zugrunde liegenden kettenübergreifenden Infrastruktur eines Vermögenswerts kommen, wird das System diesem Vermögenswert sofort seinen Sicherheitenwert entziehen. Dies stellt sicher, dass kompromittierte Token nicht mehr dazu verwendet werden können, Kredite aufzunehmen oder echte Liquidität aus den Märkten von Aave abzuziehen.
