Aave کنترل‌های ریسک دیفای را پس از ضررهای اکسپلویت rsETH لایرزیرو تشدید می‌کند

TLDR

• Aave گفت که اکسپلویت rsETH در آوریل ناشی از خرابی تاییدیه پل LayerZero بود، نه یک باگ در کد خودش.
• مهاجم از ۱۱۶٬۵۰۰ rsETH بدون پشتوانه به عنوان وثیقه در Aave استفاده کرد و پروتکل را با وام‌های غیرقابل بازیابی مواجه کرد.
• Aave هر دارایی V3 را بررسی خواهد کرد و بررسی‌های وثیقه را گسترش خواهد داد تا شامل پل‌ها، اوراکل‌ها، امین‌ها و ریسک‌های عملیاتی شود.
• LayerZero پذیرفت که راه‌اندازی تاییدیه یک‌به‌یک برای تأمین امنیت دارایی‌های ارزشمند اشتباه بود.
• Aave گفت که از زمان اکسپلویت، ۲۹۵ تغییر در پارامترهای ریسک در بازارهای V3 اعمال کرده است.

Aave پس از اینکه اکسپلویت پل rsETH در آوریل پروتکل را با زیان‌های غیرقابل بازیابی دیفای مواجه کرد، شروع به بازنویسی قوانین وثیقه خود کرده است.

Aave در گزارش پس از حادثه خود گفت که این رویداد ناشی از خرابی در قراردادهایش نبود. پروتکل وام‌دهی اکسپلویت را به توکن اتر ری‌استیک‌شده KelpDAO، یعنی rsETH، و راه‌اندازی پل LayerZero که برای انتقال این دارایی در زنجیره‌های مختلف استفاده می‌شد، ردیابی کرد. طبق گفته Aave، یک پیام جعلی فناوری میان زنجیره ای از تاییدیه عبور کرد و ۱۱۶٬۵۰۰ rsETH بدون پشتوانه اتر واقعی آزاد شد.

Aave ریسک زیرساخت خارجی را مقصر می‌داند

گزارش پس از حادثه گفت که مهاجم rsETH بدون پشتوانه را در Aave V3 واریز کرد و از آن به عنوان وثیقه برای قرض گرفتن دارایی‌ها استفاده کرد که پس از آشکار شدن پشتوانه جعلی، قابل بازیابی نبودند. Aave گفت قراردادهایش طبق طراحی عمل کردند، اما وثیقه از طریق زیرساختی خارج از کدبیس آن وارد بازارهایش شد.

LayerZero پذیرفت که با اجازه دادن به یک دارایی ارزشمند برای تکیه بر راه‌اندازی تاییدیه یک‌به‌یک، اشتباه کرده است. گزارش Aave از این رویداد برای استدلال استفاده کرد که بررسی‌های ریسک دیفای باید اکنون سیستم‌های پشت دارایی‌های فهرست‌شده را بررسی کنند، نه فقط خود دارایی‌ها را.

خرابی پل KelpDAO ضعف rsETH را آشکار کرد

KelpDAO خدمات ری‌استیکینگ ارائه می‌دهد که به کاربران اجازه می‌دهد تا از معرض اتر استیک‌شده برای کسب بازده اضافی در پروتکل‌های دیگر استفاده مجدد کنند. توکن rsETH آن نشان‌دهنده ادعایی بر اتر ری‌استیک‌شده است، در حالی که LayerZero فرآیند پیام‌رسانی را مدیریت می‌کند که به rsETH اجازه می‌دهد بین بلاک‌چین‌ها جابجا شود.

در اکسپلویت آوریل، Aave گفت یک تأییدکننده یک پیام جعلی را تأیید کرد. زنجیره دریافت‌کننده سپس rsETH را آزاد کرد که هیچ اتر متناظری پشت آن نبود. پس از اینکه آن توکن‌ها به Aave رسیدند، بازار وام‌دهی آن‌ها را طبق قوانین موجود به عنوان وثیقه قابل قبول در نظر گرفت.

Aave گفت اکنون هر دارایی فهرست‌شده در V3 را بررسی خواهد کرد. پروتکل گفت بررسی‌های وثیقه آینده شامل پل‌ها، وابستگی‌های اوراکل، قراردادهای پلتفرم های شخص ثالث، امین‌ها، امنیت عملیاتی و نقدینگی بازار ثانویه خواهد بود.

پیش از این، Aave گفت بررسی‌هایش عمدتاً بر ریسک مالی، نقدینگی، نوسانات و حسابرسی قرارداد هوشمند متمرکز بود. گزارش پس از حادثه گفت که آن بررسی‌ها برای دارایی‌هایی که به شبکه‌های تاییدیه و سیستم‌های فناوری میان زنجیره ای وابسته هستند، کافی نبودند.

دفاع‌های خودکار در حال توسعه

Aave گفت تیم‌های ریسک آن از زمان اکسپلویت، ۲۹۵ تغییر پارامتر در بازارهای V3 اعمال کرده‌اند. این به‌روزرسانی‌ها شامل ۱۶۸ کاهش سقف عرضه و ۶۶ کاهش سقف استقراض بود.

پروتکل گفت در حال بررسی حفاظت‌های مدیریت ریسک خودکار است که می‌توانند نسبت وام به ارزش یک دارایی را پس از نقض محدودیت‌های ریسک از پیش تعیین‌شده به صفر برسانند. Aave گفت این اقدام قدرت استقراض را از وثیقه در معرض خطر قبل از گسترش زیان‌ها حذف می‌کند.

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.