Aaveは、3億ドルの資金枠が流出した資産を補填したことで、業務が通常通り再開したと発表しました。

攻撃の経緯

分散型金融（DeFi）のパイオニアであるAaveは、プロトコルの現金準備を脅かす3億ドルのクロスチェーン攻撃を受けて数週間にわたる精力的な安定化措置を講じた結果、貸出プールへの流動性を完全に回復させましたと、開発者らが6月1日に発表しました。

Aaveは事後分析レポートで、業界全体で3億ドルの救済基金を動員し、連邦裁判所から緊急命令を取得したことで流出資産を補充し、預金者の損失を防ぎ、プロトコル全体で通常の借入・貸出業務を回復できたと説明しました。

この事後分析の発表は、攻撃者がKelpとLayerzeroが運営するサードパーティ製ブリッジを悪用してから1ヶ月以上が経過してからのことでした。ハッカーはクロスチェーンメッセージを偽造し、11万6,500枚の偽造rsETHトークンを鋳造して、AaveのV3プラットフォームに担保として預け入れました。

攻撃者は直ちにこの偽のrsETHを担保として利用し、流動性の高い資産を引き出し、82,650のラップド・イーサリアム（WETH）と821のラップド・ステーキング・イーサリアム（wstETH）を借り入れました。 この突発的な大量引き出しによりAaveの中核的な流動性プールは構造的に弱体化し、リスク管理担当者はプラットフォームの資本に対する連鎖的な取り付け騒ぎを防ぐため、影響を受けた市場の凍結を余儀なくされました。この穴を埋めるため、Aave LabsはLido、Ether.fi、Ethena、Compoundといった業界の主要プレイヤーによる緊急連合の結成を主導しました。 このグループは共同で3億ドルの回復基金を組成しました。この資本注入により、問題のあったrsETH資産が事実上裏付けられ、ユーザーの預金1ドルごとに、真正な準備金による完全な担保が維持されることが保証されました。

資本の凍結解除

しかし、流動性回復への道は5月1日、法的な障害に直面しました。無関係の連邦訴訟の判決債権者がこの回復プロセスを妨害したのです。債権者らは、攻撃者から回収されAaveのプールに再投入される予定だった約7,100万ドル相当のイーサリアムを凍結する差し止め命令を取得しました。

これを受けAaveは5月4日、米国連邦裁判所に緊急申し立てを行い、4日後に裁判官が凍結措置の重要な変更を認め、7,100万ドルを直ちにAaveの直接管理下へ戻すことを許可した。 この法的突破口により、開発者は資金を即座にプロトコルの稼働中の貸出プールに戻すことができ、安全な市場運営に必要な流動性の厚みを回復できました。資本準備金が完全に補充され、攻撃前の市場パラメータが復元されたことを受け、Aaveは将来の第三者によるシステム的な障害から流動性を保護するため、リスクアーキテクチャの抜本的な見直しを行っています。

将来の攻撃者が盗まれたトークンをプロトコルの流動性資産に変換できないよう、Aave開発チームは295件のパラメータ更新を実施し、168の個別資産プールについて借入・供給上限を大幅に引き下げました。さらにプロトコルには自動化されたLTV0（ローン・トゥ・バリューゼロ）サーキットブレーカーが導入されています。 これにより、いずれかの資産の基盤となるクロスチェーンインフラでセキュリティ侵害が発生した場合、システムはその資産の担保価値を即座に剥奪します。結果として、侵害されたトークンがAaveの市場から正当な流動性を借り入れたり流出させたりすることがなくなります。