Протокол децентралізованих фінансів Aave нещодавно повідомив, що повністю відновив ліквідність своїх кредитних пулів після міжланцюгової атаки, в результаті якої було викрадено 300 мільйонів доларів.
Aave повідомляє про відновлення нормальної роботи, оскільки резервний фонд у розмірі 300 млн доларів замінив вичерпані активи
АВТОР
ПОДІЛИТИСЯ
Анатомія атаки
Піонер децентралізованих фінансів (DeFi) Aave успішно відновив повну ліквідність своїх кредитних пулів, завершивши агресивні багатотижневі зусилля зі стабілізації після міжланцюгової атаки на суму 300 мільйонів доларів, яка загрожувала грошовим резервам протоколу, оголосили розробники 1 червня.
У своєму аналізі Aave зазначив, що завдяки мобілізації галузевого рятувального фонду на суму 300 мільйонів доларів та отриманню екстреного рішення федерального суду, йому вдалося замінити вилучені активи, захистити вкладників від збитків та відновити нормальну діяльність з позик та кредитування в рамках протоколу.
Публікація аналізу інциденту відбулася більш ніж через місяць після того, як зловмисник скористався стороннім мостом, що експлуатується Kelp та Layerzero. Створивши міжланцюгові повідомлення, хакер випустив 116 500 підроблених токенів rsETH та вніс їх на платформу Aave V3 як заставу.
Зловмисник негайно використав підроблені rsETH як заставу для виведення високоліквідних активів, позичивши 82 650 wrapped ethereum (WETH) та 821 wrapped staked ethereum (wstETH). Раптове масове виведення коштів структурно послабило основні пули ліквідності Aave, змусивши менеджерів з ризиків заморозити уражені ринки, щоб запобігти каскадному відтоку капіталу з платформи.
Щоб закрити цю дірку, Aave Labs допомогла мобілізувати надзвичайну коаліцію основних гравців галузі, включаючи Lido, Ether.fi, Ethena та Compound. Разом група сформувала фонд відновлення у розмірі 300 мільйонів доларів. Це вливання капіталу ефективно підтримало скомпрометовані активи rsETH, гарантуючи, що кожен долар депозитів користувачів залишався повністю забезпеченим справжніми резервами.
Розморожування капіталу
Однак шлях до відновлення ліквідності зіткнувся з юридичною перешкодою 1 травня, коли кредитори за судовим рішенням у не пов'язаній федеральній справі перехопили процес відновлення. Кредитори отримали заборонну постанову, яка заморозила приблизно 71 мільйон доларів в ефіріумі, які були відібрані у зловмисника і мали бути використані для поповнення пулів Aave.
У відповідь Aave 4 травня подала термінову заяву до федерального суду США, і через чотири дні суддя затвердив важливу зміну до рішення про заморожування, дозволивши негайний переказ 71 мільйона доларів назад під безпосереднє зберігання Aave. Цей юридичний прорив дозволив розробникам миттєво перенаправити кошти назад в активні пули кредитування протоколу, відновивши глибину ліквідності, необхідну для безпечних ринкових операцій.
З повністю поповненими резервами капіталу та відновленими ринковими параметрами, що існували до експлойту, Aave переглядає свою архітектуру ризиків, щоб захистити свою ліквідність від майбутніх системних збоїв з боку третіх осіб.
Щоб запобігти перетворенню зловмисниками експлуатованих токенів на ліквідні активи протоколу, розробники Aave здійснили 295 окремих оновлень параметрів, суттєво знизивши ліміти запозичень та пропозиції у 168 окремих пулах активів.
Крім того, протокол впроваджує автоматичний механізм LTV0 (loan-to-value zero). Надалі, якщо в базовій міжланцюговій інфраструктурі будь-якого активу відбудеться порушення безпеки, система миттєво позбавить цей актив його заставного значення. Це гарантує, що скомпрометовані токени більше не зможуть використовуватися для запозичення або виведення справжньої ліквідності з ринків Aave.
