Det decentraliserade finansprotokollet Aave meddelade nyligen att man helt har återställt likviditeten i sina utlåningspooler efter en kedjeöverskridande säkerhetsöverträdelse på 300 miljoner dollar.
Aave meddelar att verksamheten återgått till det normala efter att en säkerhetsreserv på 300 miljoner dollar ersatt de förbrukade tillgångarna
SKRIVEN AV
DELA
Utnyttjandets uppbyggnad
Aave, pionjären inom decentraliserad finans (DeFi), har framgångsrikt återställt full likviditet i sina utlåningspooler, vilket avslutar en aggressiv stabiliseringsinsats som pågått i flera veckor efter en kedjeöverskridande attack på 300 miljoner dollar som hotade protokollets likviditetsreserver, meddelade utvecklarna den 1 juni.
Aave uppgav i sin efteranalys att man genom att mobilisera en branschomfattande räddningsfond på 300 miljoner dollar och säkra ett akut federalt domstolsbeslut kunde ersätta de tömda tillgångarna, skydda insättarna från förluster och återställa normal låne- och utlåningsverksamhet i hela protokollet.
Publiceringen av efteranalysen kom mer än en månad efter att en angripare utnyttjade en tredjepartsbro som drivs av Kelp och Layerzero. Genom att fabricera kedjeöverskridande meddelanden skapade hackaren 116 500 förfalskade rsETH-tokens och satte in dem på Aaves V3-plattform som säkerhet.
Angriparen använde omedelbart de falska rsETH som säkerhet för att suga ut höglikvida tillgångar och lånade 82 650 wrapped ethereum (WETH) och 821 wrapped staked ethereum (wstETH). Det plötsliga massuttaget försvagade strukturellt Aaves centrala likviditetspooler, vilket tvingade riskhanterare att frysa drabbade marknader för att förhindra en dominoeffekt på plattformens kapital.
För att täppa till hålet hjälpte Aave Labs till att mobilisera en nödkoalition av stora aktörer inom branschen, däribland Lido, Ether.fi, Ethena och Compound. Tillsammans satte gruppen upp en återhämtningsfond på 300 miljoner dollar. Denna kapitalinjektion fungerade som en effektiv säkerhet för de komprometterade rsETH-tillgångarna och garanterade att varje dollar av användarnas insättningar förblev fullt säkerställda av äkta reserver.
Frigörande av kapitalet
Vägen till återställd likviditet stötte dock på ett juridiskt hinder den 1 maj, då fordringsägare i ett icke-relaterat federalt mål stoppade återhämtningsprocessen. Fordringsägarna erhöll ett beslag som fryste cirka 71 miljoner dollar i ethereum som hade återkrävts från angriparen och som var avsedda att fylla på Aaves pooler.
Aave svarade med att lämna in en brådskande ansökan till en federal domstol i USA den 4 maj, och fyra dagar senare beviljade en domare en avgörande ändring av frysningen, vilket möjliggjorde en omedelbar överföring av de 71 miljonerna dollar tillbaka till Aaves direkta förvar. Detta juridiska genombrott gjorde det möjligt för utvecklarna att omedelbart återföra medlen till protokollets aktiva utlåningspooler, vilket återställde den likviditetsdjup som krävs för säker marknadsverksamhet.
Med kapitalreserverna fullt påfyllda och marknadsparametrarna från före exploateringen återställda, ser Aave över sin riskarkitektur för att skydda sin likviditet från framtida systemfel hos tredje part.
För att förhindra framtida angripare från att omvandla utnyttjade tokens till likvida protokolltillgångar genomförde Aaves utvecklare 295 enskilda parameteruppdateringar, vilket kraftigt sänkte låne- och utbudstaken i 168 separata tillgångspooler.
Dessutom implementerar protokollet en automatiserad LTV0-säkerhetsmekanism (loan-to-value zero). Framöver, om någon tillgångs underliggande kedjeöverskridande infrastruktur drabbas av ett säkerhetsintrång, kommer systemet omedelbart att ta bort den tillgångens säkerhetsvärde. Detta säkerställer att komprometterade tokens inte längre kan användas för att låna eller tömma äkta likviditet från Aaves marknader.
