news.bitcoin.com
Протокол децентрализованных финансов Aave недавно сообщил, что полностью восстановил ликвидность своих кредитных пулов после межсетевой уязвимости, в результате которой было похищено 300 миллионов долларов.
Анатомия атаки
Пионер децентрализованных финансов (DeFi) Aave успешно восстановил полную ликвидность своих кредитных пулов, завершив агрессивные многонедельные усилия по стабилизации после межсетевой атаки на сумму 300 миллионов долларов, которая угрожала денежным резервам протокола, объявили разработчики 1 июня.
В своем отчете о расследовании инцидента Aave сообщила, что благодаря мобилизации отраслевого спасательного фонда в размере 300 млн долларов и получению экстренного постановления федерального суда ей удалось восполнить утраченные активы, защитить вкладчиков от убытков и восстановить нормальную работу механизмов кредитования и заимствования в рамках протокола.
Публикация отчета о расследовании произошла более чем через месяц после того, как злоумышленник взломал сторонний мост, управляемый Kelp и Layerzero. Сфабриковав межсетевые сообщения, хакер создал 116 500 поддельных токенов rsETH и внес их на платформу Aave V3 в качестве залога.
Злоумышленник немедленно использовал поддельные rsETH в качестве залога для вывода высоколиквидных активов, взяв в кредит 82 650 токенов Wrapped Ethereum (WETH) и 821 токен Wrapped Staked Ethereum (wstETH). Внезапный массовый отток средств структурно ослабил основные пулы ликвидности Aave, вынудив риск-менеджеров заморозить затронутые рынки, чтобы предотвратить каскадный отток капитала с платформы.
Чтобы закрыть дыру, Aave Labs помогла мобилизовать экстренную коалицию крупных игроков отрасли, включая Lido, Ether.fi, Ethena и Compound. Вместе группа сформировала фонд восстановления в размере 300 миллионов долларов. Это вливание капитала эффективно поддержало скомпрометированные активы rsETH, гарантировав, что каждый доллар депозитов пользователей остался полностью обеспечен подлинными резервами.
Размораживание капитала
Однако путь к восстановлению ликвидности столкнулся с юридическим препятствием 1 мая, когда кредиторы по судебному решению в несвязанном федеральном деле перехватили процесс восстановления. Кредиторы получили запретительное уведомление, которое заморозило примерно 71 миллион долларов в эфире, которые были возвращены от злоумышленника и должны были пополнить пулы Aave.
В ответ на это 4 мая Aave подала чрезвычайное ходатайство в федеральный суд США, и четыре дня спустя судья разрешил существенное изменение условий заморозки, позволив немедленно перевести 71 миллион долларов обратно под непосредственное управление Aave. Этот юридический прорыв позволил разработчикам мгновенно вернуть средства в активные кредитные пулы протокола, восстановив глубину ликвидности, необходимую для безопасной работы рынка.
С полным пополнением капитальных резервов и восстановлением рыночных параметров, существовавших до взлома, Aave пересматривает свою архитектуру рисков, чтобы защитить свою ликвидность от будущих системных сбоев со стороны третьих лиц.
Чтобы предотвратить превращение злоумышленниками эксплуатируемых токенов в ликвидные активы протокола, разработчики Aave выполнили 295 отдельных обновлений параметров, значительно сократив лимиты заимствования и предложения в 168 отдельных пулах активов.
Кроме того, протокол внедряет автоматический прерыватель LTV0 (соотношение заем/стоимость равное нулю). В будущем, если в базовой кросс-чейн инфраструктуре какого-либо актива произойдет нарушение безопасности, система мгновенно лишит этот актив его залоговой стоимости. Это гарантирует, что скомпрометированные токены больше не смогут использоваться для заимствования или вывода подлинной ликвидности с рынков Aave.