Aave meldt dat de bedrijfsvoering weer normaal is nu een reserve van 300 miljoen dollar de uitgeputte activa vervangt

De anatomie van de exploit

Aave, pionier op het gebied van gedecentraliseerde financiering (DeFi), heeft met succes de volledige liquiditeit van zijn kredietpools hersteld. Daarmee kwam een einde aan een intensieve stabilisatie-inspanning van meerdere weken na een cross-chain-exploit van 300 miljoen dollar die de kasreserves van het protocol in gevaar bracht, zo maakten de ontwikkelaars op 1 juni bekend.

Aave zei in zijn post-mortem dat het door het mobiliseren van een sectorbreed reddingsfonds van 300 miljoen dollar en het verkrijgen van een noodbevel van de federale rechtbank in staat was om de leeggehaalde activa te vervangen, deposanten tegen verliezen te beschermen en de normale leen- en uitleenactiviteiten binnen het protocol te herstellen.

De publicatie van de post-mortem kwam meer dan een maand nadat een aanvaller misbruik had gemaakt van een door Kelp en Layerzero beheerde bridge van een derde partij. Door cross-chain-berichten te vervalsen, sloeg de hacker 116.500 valse rsETH-tokens en stortte deze als onderpand op het V3-platform van Aave.

De aanvaller gebruikte de valse rsETH onmiddellijk als onderpand om zeer liquide activa weg te sluizen, waarbij hij 82.650 wrapped ethereum (WETH) en 821 wrapped staked ethereum (wstETH) leende. De plotselinge massale opname verzwakte de kernliquiditeitspools van Aave structureel, waardoor risicomanagers gedwongen werden de getroffen markten te bevriezen om een cascade-effect op het kapitaal van het platform te voorkomen.

Om het gat te dichten, hielp Aave Labs bij het mobiliseren van een noodcoalitie van grote spelers in de sector, waaronder Lido, Ether.fi, Ethena en Compound. Samen heeft de groep een herstelfonds van 300 miljoen dollar opgezet. Deze kapitaalinjectie bood effectieve ondersteuning voor de gecompromitteerde rsETH-activa en garandeerde dat elke dollar aan gebruikersdeposito's volledig gedekt bleef door authentieke reserves.

Het kapitaal weer vrijgeven

De weg naar het herstel van de liquiditeit stuitte echter op 1 mei op een juridische hindernis, toen schuldeisers in een niet-gerelateerde federale zaak het herstelproces onderbraken. De schuldeisers verkregen een voorlopige beschikking die ongeveer 71 miljoen dollar aan ethereum bevroor, dat was teruggevorderd van de aanvaller en bedoeld was om de pools van Aave weer aan te vullen.

Aave reageerde hierop door op 4 mei een spoedverzoek in te dienen bij de Amerikaanse federale rechtbank, en vier dagen later kende een rechter een cruciale wijziging in de bevriezing toe, waardoor de onmiddellijke overdracht van de 71 miljoen dollar terug naar het directe beheer van Aave mogelijk werd. Dankzij deze juridische doorbraak konden ontwikkelaars de middelen onmiddellijk terugvoeren naar de actieve leenpools van het protocol, waardoor de liquiditeitsdiepte werd hersteld die nodig is voor veilige marktoperaties.

Nu de kapitaalreserves volledig zijn aangevuld en de marktparameters van vóór de exploitatie zijn hersteld, herziet Aave zijn risicoprofiel om zijn liquiditeit te beschermen tegen toekomstige systeemstoringen bij derden.

Om te voorkomen dat toekomstige aanvallers misbruikte tokens omzetten in liquide protocolactiva, hebben de ontwikkelaars van Aave 295 afzonderlijke parameterupdates doorgevoerd, waarbij de limieten voor leningen en aanbod in 168 afzonderlijke activapools drastisch zijn verlaagd.
Bovendien implementeert het protocol een geautomatiseerde LTV0 (loan-to-value zero) circuitbreaker. Als de onderliggende cross-chain-infrastructuur van een activum in de toekomst te maken krijgt met een beveiligingslek, zal het systeem dat activum onmiddellijk van zijn onderpandwaarde ontdoen. Dit zorgt ervoor dat gecompromitteerde tokens niet langer kunnen worden gebruikt om te lenen of authentieke liquiditeit uit de markten van Aave weg te halen.