Aave ужесточил листинг после инцидента с rsETH на $293 млн

aave

Протокол Aave пересмотрел стандарты листинга активов после апрельского инцидента с rsETH, который поставил проект под угрозу возникновения безнадежного долга на сотни миллионов долларов.

https://t.co/ixfuSrVKA8

Причиной происшествия стал сбой верификации в мосте LayerZero, используемом проектом Kelp, а не уязвимость в смарт-контрактах самой лендинговой платформы. Злоумышленник воспользовался ошибкой конфигурации одного из верификаторов для подделки кроссчейн-сообщения и выпуска 116 500 необеспеченных токенов rsETH ($293 млн).

Активы были внесены в Aave в качестве залога. Поскольку rsETH находился в режиме eMode с высоким LTV (93%), атакующий занял ликвидные активы, которые протокол не смог бы вернуть после обесценивания rsETH.

Новый фреймворк для версий V3, V4 и Horizon расширяет критерии оценки рисков. Теперь, помимо волатильности и ликвидности, Aave будет учитывать:

  • надежность инфраструктуры мостов и количество уровней обертки токена;
  • зависимости от внешних оракулов и кастодианов;
  • техническую архитектуру (соответствиеERC-20, права админа и возможность апгрейда кода);
  • оперативную безопасность эмитента активов.

Команда также предложила внедрить автоматизированные защитные механизмы. Они позволят мгновенно обнулять LTV актива при достижении критических порогов риска, не дожидаясь решения управления.

Риск-менеджеры уже внесли около 295 правок в параметры рынков V3, включая сокращение лимитов на поставку и заимствование для минимизации последствий подобных инцидентов. 

Аудиторы OpenZeppelin подтвердили, что инцидент стал следствием просчетов в конфигурации инфраструктуры и управлении рисками, а не багов в коде Aave или Kelp.

Напомним, 25 мая Kelp восстановил обеспечение rsETH, команда отправила финальный транш в размере 20 373 rsETH на смарт-контракт LayerZero.

Источник: https://forklog.com/news/aave-uzhestochil-listing-posle-intsidenta-s-rseth-na-293-mln

Наверх