Aave dichiara che le operazioni sono tornate alla normalità grazie a una linea di credito di 300 milioni di dollari che sostituisce le attività esaurite

L'anatomia dell'exploit

Aave, pioniere della finanza decentralizzata (DeFi), ha ripristinato con successo la piena liquidità dei propri pool di prestito, coronando un intenso sforzo di stabilizzazione durato diverse settimane a seguito di un exploit cross-chain da 300 milioni di dollari che ha minacciato le riserve di liquidità del protocollo, come annunciato dagli sviluppatori il 1° giugno.

Aave ha dichiarato nel suo resoconto post-mortem che, mobilitando un fondo di salvataggio di 300 milioni di dollari a livello di settore e ottenendo un'ordinanza d'urgenza del tribunale federale, è stata in grado di sostituire le risorse prosciugate, proteggere i depositanti dalle perdite e ripristinare le normali operazioni di prestito e finanziamento in tutto il protocollo.

La pubblicazione dell'analisi post-mortem è avvenuta più di un mese dopo che un hacker ha sfruttato un bridge di terze parti gestito da Kelp e Layerzero. Falsificando messaggi cross-chain, l'hacker ha coniato 116.500 token rsETH contraffatti e li ha depositati sulla piattaforma V3 di Aave come garanzia.

L'autore dell'attacco ha immediatamente utilizzato i falsi rsETH come garanzia per sottrarre asset altamente liquidi, prendendo in prestito 82.650 wrapped ethereum (WETH) e 821 wrapped staked ethereum (wstETH). L'improvviso prelievo di massa ha indebolito strutturalmente i pool di liquidità principali di Aave, costringendo i responsabili della gestione del rischio a congelare i mercati interessati per impedire una corsa a cascata sul capitale della piattaforma. Per tappare il buco, Aave Labs ha contribuito a mobilitare una coalizione di emergenza dei principali attori del settore, tra cui Lido, Ether.fi, Ethena e Compound. Insieme, il gruppo ha strutturato un fondo di recupero da 300 milioni di dollari. Questa iniezione di capitale ha efficacemente sostenuto le attività rsETH compromesse, garantendo che ogni dollaro dei depositi degli utenti rimanesse pienamente garantito da riserve autentiche.

Sblocco del capitale

Tuttavia, il percorso verso il ripristino della liquidità ha incontrato un ostacolo legale il 1° maggio, quando i creditori giudiziari in un caso federale non correlato hanno intercettato il processo di recupero. I creditori hanno ottenuto un provvedimento restrittivo che ha congelato circa 71 milioni di dollari in ethereum che erano stati recuperati dall'autore dell'attacco e che erano destinati a ricostituire i pool di Aave.

Aave ha risposto presentando una mozione d'urgenza presso la corte federale degli Stati Uniti il 4 maggio e, quattro giorni dopo, un giudice ha concesso una modifica cruciale al congelamento, consentendo il trasferimento immediato dei 71 milioni di dollari sotto la custodia diretta di Aave. Questa svolta legale ha permesso agli sviluppatori di reindirizzare istantaneamente i fondi nei pool di prestito attivi del protocollo, ripristinando la profondità di liquidità necessaria per operazioni di mercato sicure. Con le riserve di capitale completamente reintegrate e i parametri di mercato pre-exploit ripristinati, Aave sta rivedendo la propria architettura di rischio per isolare la propria liquidità da futuri fallimenti sistemici di terze parti.

Per impedire a futuri aggressori di convertire i token sfruttati in asset liquidi del protocollo, gli sviluppatori di Aave hanno eseguito 295 aggiornamenti dei singoli parametri, riducendo drasticamente i limiti di prestito e di offerta in 168 pool di asset separati. Inoltre, il protocollo sta implementando un circuito di interruzione automatico LTV0 (loan-to-value zero). In futuro, se l'infrastruttura cross-chain sottostante di qualsiasi asset subirà una violazione della sicurezza, il sistema privi immediatamente quell'asset del suo valore di garanzia. Ciò garantisce che i token compromessi non possano più essere utilizzati per prendere in prestito o prosciugare la liquidità autentica dai mercati di Aave.