Az Aave szerint a működés visszatért a normális kerékvágásba, miután a 300 millió dolláros tartalékalap pótolta a kimerült eszközöket

A támadás anatómiája

A decentralizált pénzügyek (DeFi) úttörője, az Aave sikeresen helyreállította a hitelezési poolok teljes likviditását, lezárva ezzel a több héten át tartó agresszív stabilizációs erőfeszítéseket, amelyekre egy 300 millió dolláros, láncok közötti támadás miatt volt szükség, amely veszélybe sodorta a protokoll készpénztartalékait – jelentették be a fejlesztők június 1-jén.

Az Aave utólagos elemzésében kijelentette, hogy egy 300 millió dolláros, az egész iparágra kiterjedő mentőalap mozgósításával és egy sürgősségi szövetségi bírósági végzés megszerzésével sikerült pótolnia a kimerült eszközöket, megóvnia a betéteseket a veszteségektől, és helyreállítania a normális hitelfelvételi és -nyújtási műveleteket a protokoll egészén.

A posztmortem közzététele több mint egy hónappal azután történt, hogy egy támadó kihasználta a Kelp és a Layerzero által üzemeltetett harmadik fél általi hidat. Láncok közötti üzenetek hamisításával a hacker 116 500 hamis rsETH tokent vert, és azokat biztosítékként letette az Aave V3 platformjára.

A támadó azonnal felhasználta a hamis rsETH-t fedezetként, hogy kiürítse a rendkívül likvid eszközöket, és 82 650 wrapped ethereumot (WETH) és 821 wrapped staked ethereumot (wstETH) vett fel kölcsön. A hirtelen tömeges kivonás strukturálisan gyengítette az Aave alapvető likviditási pooljait, kényszerítve a kockázatkezelőket az érintett piacok befagyasztására, hogy megakadályozzák a platform tőkéjére irányuló láncreakciós rohamot.

A hiány pótlására az Aave Labs segített mozgósítani a főbb iparági szereplőkből álló sürgősségi koalíciót, amelynek tagjai között volt a Lido, az Ether.fi, az Ethena és a Compound. A csoport közösen létrehozott egy 300 millió dolláros helyreállítási alapot. Ez a tőkeinjekció hatékonyan fedezte a veszélybe került rsETH-eszközöket, garantálva, hogy a felhasználói betétek minden egyes dollárja továbbra is teljes mértékben hiteles tartalékokkal legyen fedezve.

A tőke feloldása

A likviditás helyreállításának útja azonban május 1-jén jogi akadályba ütközött, amikor egy független szövetségi ügyben a végrehajtási hitelezők megakadályozták a helyreállítási folyamatot. A hitelezők végzést szereztek, amely befagyasztotta a támadótól visszaszerzett, az Aave pooljainak feltöltésére szánt, körülbelül 71 millió dollár értékű ethereumot.

Az Aave erre úgy reagált, hogy május 4-én sürgősségi indítványt nyújtott be az amerikai szövetségi bírósághoz, és négy nappal később a bíró jóváhagyott egy döntő jelentőségű módosítást a befagyasztáson, lehetővé téve a 71 millió dollár azonnali visszautalását az Aave közvetlen őrizetébe. Ez a jogi áttörés lehetővé tette a fejlesztők számára, hogy azonnal visszajuttassák a pénzeszközöket a protokoll aktív hitelezési pooljaiba, helyreállítva a biztonságos piaci működéshez szükséges likviditási mélységet.

A tőkerészek teljes feltöltésével és a támadás előtti piaci paraméterek helyreállításával az Aave átalakítja kockázati architektúráját, hogy likviditását megvédje a jövőbeli, harmadik felek által okozott rendszerbeli meghibásodásoktól.

Annak érdekében, hogy a jövőbeli támadók ne tudják a kihasznált tokeneket likvid protokoll-eszközökké alakítani, az Aave fejlesztői 295 egyedi paraméterfrissítést hajtottak végre, jelentősen csökkentve a hitelfelvételi és kínálati korlátokat 168 különálló eszközalapban.
Ezen felül a protokoll egy automatizált LTV0 (loan-to-value zero, nulla hitel-érték arány) védelmi mechanizmust vezet be. A jövőben, ha bármely eszköz alapjául szolgáló láncok közötti infrastruktúrában biztonsági rés keletkezik, a rendszer azonnal megfosztja az adott eszközt a fedezeti értékétől. Ez biztosítja, hogy a kompromittált tokenek többé ne használhatók fel hitelfelvételre vagy az Aave piacainak hiteles likviditásának kimerítésére.