block-chain24.com
Самая дорогостоящая атака на DeFi в 2026 году началась с моста для Ethereum, помещенного в стекинг (rsETH) KelpDAO, а не с ошибки в коде Aave. Как утверждается в официальном анализе причин произошедшего, опубликованном на этой неделе, именно поэтому индустрии необходимо переосмыслить подход к оценке рисков.
Aave заявила, что запускает проверку каждого актива, размещенного на V3, и пересматривает свои стандарты листинга после того, как в апреле эксплойт с rsETH на сумму 230 долларов выявил новый класс рисков в DeFi.
Анализ причин атаки показал, что она произошла не из-за уязвимости в смарт-контрактах Aave, а из-за сбоя проверки моста LayerZero, когда один верификатор одобрил поддельное кроссчейн-сообщение, в результате которого было выпущено 116 500 необеспеченных rsETH.
В дальнейшем, как заявляет Aave, при оценке залогового обеспечения будут учитываться мосты, зависимости от оракулов, хранители и операционная безопасность наряду с финансовыми рисками и рисками, связанными со смарт-контрактами, которые традиционно проверялись.
KelpDAO - это сервис, который позволяет пользователям брать свой Ethereum, уже заблокированный в Ethereum для получения вознаграждения за стекинг, и использовать его в качестве залога для получения дополнительной прибыли от других протоколов. Токен rsETH представляет собой право пользователя на rsETH. Для перемещения rsETH между блокчейнами KelpDAO использует LayerZero - инфраструктурный элемент, называемый кроссчейн-мостом, который передает сообщения между сетями, поэтому токен, выпущенный в одном блокчейне, может появиться в другом.
Мосты полагаются на набор независимых верификаторов, которые подтверждают подлинность каждого сообщения, прежде чем принимающий блокчейн выпустит эквивалентные токены.
В ходе апрельской атаки только один из этих верификаторов одобрил поддельное сообщение, что позволило злоумышленнику создать 116 500 rsETH в принимающем блокчейне без реального обеспечения в ETH.
Затем эти токены были депонированы в протокол кредитования Aave, где пользователи берут займы под залог, который они предоставляют, и использованы для получения кредитов, которые Aave не смог вернуть после того, как выяснилось, что rsETH ничего не стоят. Собственный код Aave работал точно так, как изначально задумано. Принятое им обеспечение оказалось поддельным, потому что мост, который его доставил, был скомпрометирован.
Хотя LayerZero ранее в этом месяце признала, что «совершила ошибку», позволив своей собственной системе верификации обеспечивать безопасность высокоценных активов в конфигурации «1:1», анализ причин инцидента, проведенный Aave, идет дальше, используя его для обоснования более масштабной перестройки управления рисками в DeFi.
В протоколе утверждается, что традиционные проверки, сосредоточенные на волатильности, ликвидности и аудите смарт-контрактов, не учитывали риски, создаваемые мостами, сетями верификации и другой инфраструктурой, находящейся вне кода приложения.
Помимо аудита смарт-контрактов и анализа финансовых рисков, Aave заявила, что теперь будет оценивать инфраструктуру мостов, зависимости от оракулов, контракты третьих сторон, соглашения о хранении, методы обеспечения операционной безопасности и ликвидность вторичного рынка, прежде чем одобрять или расширять размещение залогового обеспечения.
Протокол также разрабатывает новые автоматизированные средства защиты, предназначенные для более быстрого реагирования на признаки проблемных активов, находящихся в залоге. Среди предложений, изложенных в анализе после завершения проекта, есть система, которая будет автоматически снижать коэффициент заемных средств к стоимости актива до нуля при превышении заранее определенных пороговых значений риска, лишая его возможности заимствования до того, как убытки распространятся на более широкий рынок.
По данным Aave, после взлома ее риск-менеджеры уже внесли около 295 изменений параметров на рынках V3, включая 168 сокращений лимита предложения и 66 сокращений лимита заимствования, направленных на ограничение подверженности риску, связанному с отдельными активами.
По мере того, как протоколы DeFi становятся все более взаимосвязанными, анализ причин сбоя, проведенный Aave, предполагает, что отрасли, возможно, потребуется тщательно изучать не только активы, которые она размещает, но и инфраструктуру, от которой зависят эти активы.