Den desentraliserte finansprotokollen Aave avslørte nylig at den har gjenopprettet full likviditet i sine utlånsbassenger etter et tverrkjedeangrep på 300 millioner dollar.
Aave sier at driften er tilbake til normal drift etter at en sikkerhetsbuffer på 300 millioner dollar erstatter tappede eiendeler
SKREVET AV
DEL
Anatomien til angrepet
Den desentraliserte finanspioneren (DeFi) Aave har lykkes med å gjenopprette full likviditet i sine utlånsbassenger, og avslutter dermed en aggressiv stabiliseringsinnsats over flere uker etter et tverrkjedeangrep på 300 millioner dollar som truet protokollens kontantreserver, kunngjorde utviklerne 1. juni.
Aave opplyste i sin post‑mortem at ved å mobilisere et bransjeomfattende redningsfond på 300 millioner dollar og sikre en akutt føderal rettskjennelse, var de i stand til å erstatte de tappede aktivaene, skjerme innskytere mot tap og gjenopprette normal låne‑ og utlånsdrift på tvers av protokollen.
Publiseringen av post-mortem-rapporten kom mer enn en måned etter at en angriper utnyttet en tredjepartsbro drevet av Kelp og Layerzero. Ved å fabrikere tverrkjedemeldinger preget hackeren 116 500 forfalskede rsETH-tokens og satte dem inn på Aaves V3-plattform som sikkerhet.
Angriperen brukte umiddelbart den falske rsETH-en som sikkerhet til å tappe ut svært likvide aktiva, og lånte 82 650 wrapped ethereum (WETH) og 821 wrapped staked ethereum (wstETH). Den plutselige masseuttakelsen svekket Aaves kjerne-likviditetsbassenger strukturelt, og tvang risikoforvaltere til å fryse berørte markeder for å hindre et kaskaderende run på plattformens kapital.
For å tette hullet bidro Aave Labs til å mobilisere en nødskoalisjon av store bransjeaktører, inkludert Lido, Ether.fi, Ethena og Compound. Sammen strukturerte gruppen et gjenopprettingsfond på 300 millioner dollar. Denne kapitalinnsprøytningen fungerte i praksis som en garanti for de kompromitterte rsETH-aktivaene, og sikret at hver dollar av brukernes innskudd forble fullt sikkerhetsstilt av autentiske reserver.
Å tine opp kapitalen
Veien til å gjenopprette likviditeten støtte imidlertid på en juridisk hindring 1. mai, da domskreditorer i en ikke-relatert føderal sak avskar gjenopprettingsprosessen. Kreditorene fikk en tilbakeholdsordre som frøs omtrent 71 millioner dollar i ethereum som var blitt tatt tilbake fra angriperen og var ment å fylle opp Aaves bassenger.
Aave svarte ved å levere en hastemelding til en føderal domstol i USA 4. mai, og fire dager senere innvilget en dommer en avgjørende endring i frysingen, som tillot umiddelbar overføring av de 71 millionene tilbake til Aaves direkte forvaring. Dette juridiske gjennombruddet gjorde det mulig for utviklerne å rute midlene umiddelbart tilbake inn i protokollens aktive utlånsbassenger, og gjenopprette likviditetsdybden som kreves for trygg markedsdrift.
Med kapitalreservene fullt påfylt og markedsparametrene fra før angrepet gjenopprettet, overhaler Aave sin risikoarkitektur for å isolere likviditeten mot fremtidige systemsvikt hos tredjeparter.
For å hindre fremtidige angripere i å konvertere utnyttede tokens til likvide protokollaktiva, gjennomførte Aave-utviklerne 295 individuelle parameteroppdateringer, og kuttet kraftig i låne- og tilbudstak på tvers av 168 separate aktivabassenger.
I tillegg implementerer protokollen en automatisert LTV0 (loan-to-value null) sikringsmekanisme. Fremover, dersom en underliggende tverrkjedestruktur for et hvilket som helst aktivum opplever et sikkerhetsbrudd, vil systemet umiddelbart frata dette aktivumet dets sikkerhetsverdi. Dette sikrer at kompromitterte tokens ikke lenger kan brukes til å låne eller tappe autentisk likviditet fra Aaves markeder.
