Протокол Aave принял решение пересмотреть свои стандарты листинга активов в свете апрельского инцидента с токеном rsETH. Этот случай поставил проект перед угрозой возникновения безнадежного долга на сотни миллионов долларов, что заставило команду обратить внимание на существующие риски. В данной статье мы рассмотрим причины инцидента, новые меры безопасности, а также изменения в оценке рисков.
Причины инцидента с rsETH
Инцидент с rsETH произошел из-за сбоя верификации в мосте LayerZero, используемом проектом Kelp. Основные аспекты:
- Ошибка в конфигурации: Злоумышленник использовал ошибку конфигурации одного из верификаторов для подделки кроссчейн-сообщения.
- Необеспеченные токены: В результате атаки было выпущено 116 500 необеспеченных токенов rsETH, что эквивалентно $293 млн.
- Высокий LTV: Токены были внесены в Aave как залог и находились в режиме eMode с высоким коэффициентом кредитования (LTV) 93%.
Новые меры безопасности и оценки рисков
Aave внедрил новый фреймворк для версий V3, V4 и Horizon, который расширяет критерии оценки рисков. Теперь они учитывают:
- Надежность мостов: Оценка инфраструктуры мостов и количество уровней обертки токена.
- Зависимости от оракулов: Учет внешних оракулов и кастодианов.
- Техническая архитектура: Соответствие ERC-20, права админа и возможность апгрейда кода.
Автоматизированные защитные механизмы
Aave предложил внедрить автоматизированные защитные механизмы для мгновенного обнуления LTV актива при критических порогах риска. Ключевые моменты включают:
- Реакция на риск: Механизмы будут срабатывать без необходимости дожидаться решения управления.
- Правки параметров рынков: Риск-менеджеры уже внесли около 295 правок для минимизации последствий подобных инцидентов.
- Audits: Аудиторы OpenZeppelin подтвердили, что инцидент был следствием просчетов в конфигурации инфраструктуры, а не багов в коде Aave или Kelp.
Итоги и восстановление
После инцидента команда Kelp восстановила обеспечение rsETH, отправив финальный транш в размере 20 373 rsETH на смарт-контракт LayerZero. Это подтверждает важность своевременной реакции на кризисные ситуации и необходимость постоянного улучшения стандартов безопасности. Как отметил один из экспертов: "Каждый инцидент – это возможность учиться и становиться лучше."
Aave продолжает работать над улучшением своих процессов и повышением надежности платформы для пользователей. Важно помнить о значении эффективного управления рисками в мире DeFi.
