Aave 在 LayerZero rsETH 漏洞損失後加強 DeFi 風險審查

TLDR

• Aave 表示，四月份的 rsETH 漏洞攻擊來自 LayerZero 跨鏈橋驗證失敗，而非其自身代碼的錯誤。
• 攻擊者在 Aave 上使用 116,500 枚無擔保 rsETH 作為抵押品，導致協議出現無法追回的貸款。
• Aave 將審查所有 V3 資產，並將抵押品檢查範圍擴展至跨鏈橋、預言機、託管方及操作風險。
• LayerZero 承認允許高價值資產依賴一對一驗證設置是一個錯誤。
• Aave 表示自漏洞攻擊發生以來，已對 V3 市場的風險參數進行了 295 項變更。

在四月份 rsETH 跨鏈橋漏洞攻擊導致協議遭受無法挽回的 DeFi 損失後，Aave 已開始重新制定其抵押品規則。

Aave 在其事後分析報告中表示，此次事件並非源於其合約的漏洞。這個借貸協議將此次漏洞攻擊追溯至 KelpDAO 的重新質押以太幣代幣 rsETH，以及用於在鏈間轉移該資產的 LayerZero 跨鏈橋設置。據 Aave 表示，一條偽造的跨鏈消息通過了驗證，並釋放了 116,500 枚沒有真實以太幣作為支撐的 rsETH。

Aave 將責任歸咎於外部基礎設施風險

事後分析報告指出，攻擊者將無擔保的 rsETH 存入 Aave V3 並將其用作抵押品借取資產，在虛假擔保暴露後，這些資產無法被追回。Aave 表示其合約按設計正常運作，但抵押品是通過其代碼庫之外的基礎設施進入其市場的。

LayerZero 承認，允許高價值資產依賴一對一驗證設置是一個錯誤。Aave 的報告借此事件指出，DeFi 風險審查現在必須審視已上架資產背後的系統，而不僅僅是資產本身。

KelpDAO 跨鏈橋故障暴露 rsETH 的弱點

KelpDAO 提供重新質押服務，讓用戶在其他協議中重複使用已質押的以太幣敞口以獲取額外收益。其 rsETH 代幣代表對重新質押以太幣的索取權，而 LayerZero 則負責處理允許 rsETH 在區塊鏈之間移動的消息傳遞過程。

在四月份的漏洞攻擊中，Aave 表示一名驗證者批准了一條虛假消息。接收鏈隨後釋放了沒有對應以太幣支撐的 rsETH。一旦這些代幣到達 Aave，借貸市場便根據現有規則將其視為可接受的抵押品。

Aave 表示現在將審查 V3 上列出的每項資產。該協議表示，未來的抵押品檢查將包括跨鏈橋、預言機依賴性、第三方合約、託管方、操作安全性及二級市場流動性。

此前，Aave 表示其審查主要集中在金融風險、流動性、波動性及智能合約審計方面。事後分析報告指出，這些檢查對於依賴驗證網絡和跨鏈系統的資產而言是不夠的。

自動化防禦機制正在開發中

Aave 表示，自漏洞攻擊發生以來，其風險團隊已對 V3 市場進行了 295 項參數變更。這些更新包括降低了 168 次供應上限及降低了 66 次借款上限。

該協議表示，正在考慮引入自動化保護機制，在預設風險限制被突破後，可將資產的貸款價值比降低到零。Aave 表示，該措施將在損失擴散之前解除問題抵押品的借貸能力。

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.