Aave оголосила 1 червня, що відновила повну ліквідність у своїх кредитних пулах після кросчейн-злому на 300 мільйонів доларів, який загрожував грошовим резервам протоколу. Децентралізований протокол фінансів (DeFi) залучив 300 мільйонів доларів галузевого рятувального фонду та отримав терміновий федеральний судовий припис, щоб замінити виведені активи, захистити депозитарів від збитків і відновити нормальні операції позичання й кредитування. Оголошення надійшло більш ніж через місяць після того, як атакувальник використав сторонній міст, що працює через Kelp і Layerzero, викарбувавши 116 500 фальшивих токенів rsETH і використавши їх як заставу, щоб вивести з Aave V3 82 650 wrapped ethereum та 821 wrapped staked ethereum.
Атакувальник використав Kelp-Layerzero Bridge, щоб викарбувати підроблену заставу
Зловмисник використав сторонній міст, що працює через Kelp і Layerzero, шляхом фальсифікації кросчейн-повідомлень. Хакер викарбував 116 500 фальшивих токенів rsETH і вніс їх на платформу Aave V3 як заставу. Негайно атакувальник використав фейковий rsETH як заставу, щоб позичити 82 650 wrapped ethereum (WETH) і 821 wrapped staked ethereum (wstETH). Раптове масове вилучення структурно послабило ключові пули ліквідності Aave, змусивши менеджерів ризиків заморозити уражені ринки, щоб запобігти каскадному «забігу» на капітал платформи.
Aave Labs мобілізувала $300M Recovery Fund разом із галузевою коаліцією
Aave Labs допомогла мобілізувати екстрену коаліцію великих гравців індустрії, зокрема Lido, Ether.fi, Ethena та Compound. Разом група структуровано організувала recovery fund на 300 мільйонів доларів. Це поповнення капіталу фактично підстрахувало скомпрометовані активи rsETH, гарантуючи, що кожен долар депозитів користувачів буде повністю забезпечений автентичними резервами.
Федеральний суд дозволив термінове передавання $71M відновлених коштів
1 травня кредитори у незв’язаній федеральній справі перехопили процес відновлення. Вони отримали повідомлення про заборону, яке заморозило приблизно 71 мільйон доларів у ethereum, повернений назад після вилучення в атакувальника, і який планували використати для поповнення пулів Aave. Aave відреагувала, подавши екстрений клопотання в федеральному суді США 4 травня. Через чотири дні, 8 травня, суддя ухвалив важливу зміну до заморозки, дозволивши негайно переказати 71 мільйон доларів назад у пряме володіння Aave. Цей юридичний прорив дав розробникам змогу миттєво спрямувати кошти назад у активні кредитні пули протоколу, відновивши глибину ліквідності, необхідну для безпечної роботи ринків.
Aave виконала 295 оновлень параметрів і ввела LTV0 як «circuit breaker»
Після повного відновлення капітальних резервів і повернення параметрів ринку до стану до злому Aave проводить перебудову своєї системи ризиків, щоб ізолювати ліквідність від майбутніх системних збоїв з боку третіх осіб. Щоб не дозволити майбутнім атакувальникам перетворювати експлойтнуті токени на ліквідні активи протоколу, розробники Aave виконали 295 окремих оновлень параметрів, різко зменшивши ліміти запозичень і постачання в 168 окремих пули активів. Додатково протокол впроваджує автоматичний LTV0 (loan-to-value zero) circuit breaker. Надалі, якщо будь-яка базова кросчейн-інфраструктура активу зазнає порушення безпеки, система миттєво вилучить з нього вартість застави. Це гарантує, що скомпрометовані токени більше не зможуть використовуватися для запозичення або виведення автентичної ліквідності з ринків Aave.
Часті запитання
Що Aave оголосила 1 червня?
Aave оголосила 1 червня, що відновила повну ліквідність у своїх кредитних пулах після кросчейн-експлойту на 300 мільйонів доларів. Протокол залучив recovery fund на 300 мільйонів доларів у межах усієї індустрії та отримав терміновий федеральний судовий припис, щоб замінити виведені активи й відновити нормальні операції позичання та кредитування.
Як атакувальник використав платформу Aave?
Атакувальник використав сторонній міст, що працює через Kelp і Layerzero, сфальсифікувавши кросчейн-повідомлення, щоб викарбувати 116 500 фальшивих токенів rsETH. Ці фейкові токени були внесені на платформу Aave V3 як застава й одразу використані для позичання 82 650 wrapped ethereum та 821 wrapped staked ethereum.
Які заходи безпеки Aave впровадила після експлойту?
Aave виконала 295 окремих оновлень параметрів, зменшивши ліміти запозичень і постачання в 168 окремих пулах активів. Протокол також впровадив автоматизований LTV0 circuit breaker, який миттєво вилучить із будь-якого скомпрометованого активу його вартість застави, якщо базова кросчейн-інфраструктура зазнає порушення безпеки.
