Protokół zdecentralizowanych finansów Aave poinformował niedawno, że w pełni przywrócił płynność swoich pul pożyczkowych po ataku międzyłańcuchowym, w wyniku którego skradziono 300 milionów dolarów.
Aave informuje o przywróceniu normalnego funkcjonowania dzięki zabezpieczeniu w wysokości 300 mln dolarów, które zastąpiło wyczerpane aktywa
NAPISAŁ
UDOSTĘPNIJ
Anatomia ataku
Pionier zdecentralizowanych finansów (DeFi) Aave z powodzeniem przywrócił pełną płynność swoich pul pożyczkowych, kończąc tym samym trwające kilka tygodni intensywne działania stabilizacyjne po ataku typu cross-chain o wartości 300 milionów dolarów, który zagroził rezerwom gotówkowym protokołu – ogłosili programiści 1 czerwca.
Aave stwierdziło w swoim podsumowaniu, że dzięki zmobilizowaniu funduszu ratunkowego o wartości 300 milionów dolarów obejmującego całą branżę oraz uzyskaniu nadzwyczajnego nakazu sądowego, udało się zastąpić wyczerpane aktywa, uchronić deponentów przed stratami oraz przywrócić normalne operacje pożyczkowe w całym protokole.
Opublikowanie raportu nastąpiło ponad miesiąc po tym, jak atakujący wykorzystał most zewnętrzny obsługiwany przez Kelp i Layerzero. Fałszując komunikaty międzyłańcuchowe, haker wyemitował 116 500 fałszywych tokenów rsETH i zdeponował je na platformie Aave V3 jako zabezpieczenie.
Atakujący natychmiast wykorzystał fałszywe rsETH jako zabezpieczenie, aby wyprowadzić wysoce płynne aktywa, pożyczając 82 650 wrapped ethereum (WETH) i 821 wrapped staked ethereum (wstETH). Nagła masowa wypłata strukturalnie osłabiła podstawowe pule płynności Aave, zmuszając menedżerów ds. ryzyka do zamrożenia dotkniętych rynków, aby zapobiec kaskadowemu wycofywaniu kapitału z platformy.
Aby zapełnić tę lukę, Aave Labs pomogło zmobilizować awaryjną koalicję głównych graczy branżowych, w tym Lido, Ether.fi, Ethena i Compound. Grupa ta wspólnie utworzyła fundusz naprawczy o wartości 300 milionów dolarów. Ten zastrzyk kapitału skutecznie zabezpieczył zagrożone aktywa rsETH, gwarantując, że każdy dolar depozytów użytkowników pozostał w pełni zabezpieczony autentycznymi rezerwami.
Odblokowanie kapitału
Jednak droga do przywrócenia płynności napotkała przeszkodę prawną 1 maja, kiedy wierzyciele z wyroku w niepowiązanej sprawie federalnej wstrzymali proces naprawczy. Wierzyciele uzyskali nakaz zabezpieczający, który zamroził około 71 mln dolarów w ethereum, które zostało odzyskane od atakującego i miało zasilić pule Aave.
Aave zareagowało, składając 4 maja wniosek w trybie pilnym do amerykańskiego sądu federalnego, a cztery dni później sędzia zezwolił na kluczową zmianę w zamrożeniu, umożliwiając natychmiastowe przeniesienie 71 milionów dolarów z powrotem pod bezpośrednią opiekę Aave. Ten przełom prawny pozwolił programistom na natychmiastowe skierowanie środków z powrotem do aktywnych pul pożyczkowych protokołu, przywracając głębokość płynności wymaganą do bezpiecznego funkcjonowania rynku.
Dzięki pełnemu uzupełnieniu rezerw kapitałowych i przywróceniu parametrów rynkowych sprzed ataku, Aave dokonuje gruntownej przebudowy swojej architektury ryzyka, aby zabezpieczyć swoją płynność przed przyszłymi awariami systemowymi spowodowanymi przez osoby trzecie.
Aby zapobiec sytuacji, w której przyszli atakujący zamienią wykorzystane tokeny na płynne aktywa protokołu, programiści Aave wprowadzili 295 indywidualnych aktualizacji parametrów, znacznie obniżając limity pożyczek i podaży w 168 oddzielnych pulach aktywów.
Ponadto protokół wdraża automatyczny mechanizm zabezpieczający LTV0 (loan-to-value zero). W przyszłości, jeśli infrastruktura międzyłańcuchowa jakiegokolwiek aktywa doświadczy naruszenia bezpieczeństwa, system natychmiast pozbawi to aktywo wartości zabezpieczenia. Zapewnia to, że naruszone tokeny nie będą już mogły być wykorzystywane do zaciągania pożyczek lub wyciągania autentycznej płynności z rynków Aave.
