Sinabi ng Aave na Bumalik na sa Normal ang mga Operasyon habang ang $300M na Backstop ang Pumalit sa Naubos na mga Asset

Ang Anatomiya ng Exploit

Matagumpay na naibalik ng decentralized finance (DeFi) pioneer na Aave ang buong liquidity sa mga lending pool nito, na nagtatapos sa isang agresibong multi-week na pagsisikap sa pagpapastabilize matapos ang isang $300 milyong cross-chain exploit na nagbanta sa cash reserves ng protocol, inanunsyo ng mga developer noong Hunyo 1.

Sinabi ng Aave sa post‑mortem nito na sa pamamagitan ng pagpapakilos ng isang $300 milyong industrywide rescue fund at pagtiyak ng isang emergency na utos mula sa pederal na hukuman, nagawa nitong palitan ang mga naubos na asset, protektahan ang mga depositor laban sa pagkalugi, at ibalik ang normal na operasyon ng paghiram at pagpapautang sa buong protocol.

Ang paglabas ng post-mortem ay dumating mahigit isang buwan matapos pagsamantalahan ng isang attacker ang isang third-party bridge na pinatatakbo ng Kelp at Layerzero. Sa pamamagitan ng paggawa-gawa ng mga cross-chain message, nag-mint ang hacker ng 116,500 pekeng rsETH token at idineposito ang mga ito sa V3 platform ng Aave bilang collateral.

Agad na ginamit ng attacker ang pekeng rsETH bilang collateral upang masiphon ang mga high-liquidity na asset, humiram ng 82,650 wrapped ethereum (WETH) at 821 wrapped staked ethereum (wstETH). Ang biglaang malawakang pag-withdraw ay estruktural na nagpahina sa mga pangunahing liquidity pool ng Aave, na pumilit sa mga risk manager na i-freeze ang mga apektadong market upang maiwasan ang sunod-sunod na pagtakbo (cascading run) sa kapital ng platform.

Upang tapalan ang butas, tumulong ang Aave Labs na magpakilos ng isang emergency na koalisyon ng malalaking manlalaro sa industriya, kabilang ang Lido, Ether.fi, Ethena at Compound. Magkakasama, inistruktura ng grupo ang isang $300 milyong recovery fund. Ang capital injection na ito ay epektibong nagsilbing backstop sa mga nakompromisong rsETH asset, na ginagarantiyang bawat dolyar ng deposito ng mga user ay nananatiling ganap na naka-collateralize ng mga tunay na reserba.

Pag-aalis ng pagyeyelo sa kapital

Gayunman, hinarap ng landas patungo sa pagpapanumbalik ng liquidity ang isang legal na hadlang noong Mayo 1, nang ang mga judgment creditor sa isang hiwalay na pederal na kaso ay nakialam sa proseso ng pagbawi. Nakakuha ang mga creditor ng restraining notice na nag-freeze ng humigit-kumulang $71 milyon sa ethereum na nabawi mula sa attacker at nakatakdang ibalik sa mga pool ng Aave.

Tumugon ang Aave sa pamamagitan ng paghahain ng isang emergency motion sa pederal na hukuman ng U.S. noong Mayo 4, at makalipas ang apat na araw, nagbigay ang isang hukom ng isang mahalagang pagbabago sa freeze, na nagpapahintulot sa agarang paglilipat ng $71 milyon pabalik sa direktang kustodiya ng Aave. Ang legal na tagumpay na ito ay nagbigay-daan sa mga developer na agad na mairuta ang mga pondo pabalik sa mga aktibong lending pool ng protocol, na ibinalik ang lalim ng liquidity na kailangan para sa ligtas na operasyon ng merkado.

Dahil ganap nang napunuan muli ang mga capital reserve at naibalik ang mga market parameter bago ang exploit, ina-overhaul ng Aave ang risk architecture nito upang protektahan ang liquidity nito laban sa mga susunod pang third-party na sistemikong pagkabigo.

Upang maiwasan ang mga susunod na attacker na maikonbert ang mga na-exploit na token tungo sa mga liquid na asset ng protocol, nagsagawa ang mga developer ng Aave ng 295 indibidwal na pag-update ng parameter, na malaki ang ibinaba sa borrowing at supply caps sa 168 magkakahiwalay na asset pool.

Dagdag pa rito, ipinapatupad ng protocol ang isang automated LTV0 (loan-to-value zero) circuit breaker. Sa hinaharap, kung ang underlying cross-chain infrastructure ng anumang asset ay makaranas ng security breach, agad na aalisin ng sistema ang collateral value ng asset na iyon. Tinitiyak nito na ang mga nakompromisong token ay hindi na magagamit upang humiram o mag-drain ng tunay na liquidity mula sa mga market ng Aave.