Merkezi olmayan finans protokolü Aave, 300 milyon dolarlık bir zincirler arası güvenlik açığı saldırısının ardından kredi havuzlarındaki likiditeyi tamamen geri kazandığını açıkladı.
Aave, 300 milyon dolarlık destek fonunun tükenen varlıkların yerini almasıyla faaliyetlerin normale döndüğünü açıkladı
YAZAN
PAYLAŞ
Saldırının Anatomisi
Merkezi olmayan finans (DeFi) öncüsü Aave, protokolün nakit rezervlerini tehdit eden 300 milyon dolarlık çapraz zincir saldırısının ardından, haftalar süren yoğun bir istikrar çabası sonucunda kredi havuzlarındaki likiditeyi tamamen geri kazandığını duyurdu.
Aave, olay sonrası analizinde, sektör genelinde 300 milyon dolarlık bir kurtarma fonu seferber ederek ve acil bir federal mahkeme kararı alarak, tükenen varlıkları telafi edebildiğini, mevduat sahiplerini kayıplardan koruduğunu ve protokol genelinde normal borç alma ve verme işlemlerini yeniden sağladığını belirtti.
Olay sonrası raporunun yayınlanması, bir saldırganın Kelp ve Layerzero tarafından işletilen üçüncü taraf bir köprüyü istismar etmesinden bir aydan fazla bir süre sonra gerçekleşti. Hacker, zincirler arası mesajlar uydurarak 116.500 sahte rsETH tokeni basmış ve bunları teminat olarak Aave’nin V3 platformuna yatırmıştı.
Saldırgan, sahte rsETH'leri hemen teminat olarak kullanarak yüksek likiditeli varlıkları sifonladı ve 82.650 wrapped ethereum (WETH) ile 821 wrapped staked ethereum (wstETH) ödünç aldı. Ani toplu para çekme, Aave'nin temel likidite havuzlarını yapısal olarak zayıflattı ve risk yöneticilerini, platformun sermayesinde domino etkisi yaratacak bir kaçışını önlemek için etkilenen piyasaları dondurmaya zorladı.
Bu açığı kapatmak için Aave Labs, Lido, Ether.fi, Ethena ve Compound dahil olmak üzere sektörün önde gelen oyuncularından oluşan bir acil durum koalisyonunun oluşturulmasına yardımcı oldu. Grup, birlikte 300 milyon dolarlık bir kurtarma fonu oluşturdu. Bu sermaye enjeksiyonu, tehlikeye giren rsETH varlıklarını etkili bir şekilde destekleyerek, kullanıcı mevduatlarının her bir dolarının gerçek rezervlerle tam olarak teminat altına alınmasını garanti etti.
Sermayenin dondurulmasının kaldırılması
Ancak, likiditenin geri kazanılmasına giden yol, 1 Mayıs'ta, ilgisiz bir federal davadaki alacaklıların kurtarma sürecini durdurmasıyla yasal bir engelle karşılaştı. Alacaklılar, saldırganın elinden geri alınan ve Aave'nin havuzlarını yeniden doldurmak üzere ayrılan yaklaşık 71 milyon dolarlık ethereum'u donduran bir kısıtlama kararı aldı.
Aave, 4 Mayıs'ta ABD federal mahkemesine acil bir dilekçe sunarak yanıt verdi ve dört gün sonra, bir yargıç dondurma kararında önemli bir değişiklik yaparak 71 milyon doların derhal Aave'nin doğrudan gözetimine geri aktarılmasına izin verdi. Bu hukuki atılım, geliştiricilerin fonları anında protokolün aktif kredi havuzlarına geri yönlendirmesine olanak tanıdı ve güvenli piyasa işlemleri için gerekli likidite derinliğini geri kazandırdı.
Sermaye rezervleri tamamen yenilendi ve istismar öncesi piyasa parametreleri geri yüklendi; Aave, likiditesini gelecekteki üçüncü taraf sistemik arızalardan korumak için risk mimarisini elden geçiriyor.
Gelecekteki saldırganların istismar edilen tokenleri likit protokol varlıklarına dönüştürmesini önlemek için, Aave geliştiricileri 295 ayrı parametre güncellemesi gerçekleştirdi ve 168 ayrı varlık havuzunda borçlanma ve arz sınırlarını büyük ölçüde düşürdü.
Ayrıca, protokol otomatik bir LTV0 (krediye değer oranı sıfır) devre kesici uyguluyor. Bundan sonra, herhangi bir varlığın temelindeki zincirler arası altyapıda bir güvenlik ihlali yaşanırsa, sistem o varlığın teminat değerini anında ortadan kaldıracak. Bu, güvenliği ihlal edilmiş tokenlerin artık Aave piyasalarından borç almak veya gerçek likiditeyi çekmek için kullanılamayacağını garanti ediyor.
