Aave công bố vào ngày 1/6 rằng họ đã khôi phục thanh khoản đầy đủ cho các pool cho vay sau một vụ khai thác xuyên chuỗi trị giá 300 triệu USD, đe dọa lượng tiền dự trữ của giao thức. Giao thức tài chính phi tập trung đã huy động một quỹ cứu trợ trị giá 300 triệu USD trên toàn ngành và xin được lệnh của tòa án liên bang khẩn cấp để thay thế các tài sản bị rút cạn, bảo vệ người gửi khỏi thua lỗ và khôi phục các hoạt động vay-mượn cho vay bình thường. Thông báo được đưa ra hơn một tháng sau khi kẻ tấn công khai thác một cầu nối bên thứ ba do Kelp và Layerzero vận hành, tạo ra 116.500 token rsETH giả mạo và dùng chúng làm tài sản thế chấp để rút 82.650 ethereum bọc (wrapped ethereum) và 821 staked ethereum bọc (wrapped staked ethereum) khỏi nền tảng V3 của Aave.
Kẻ tấn công khai thác cầu Kelp-Layerzero để đúc tài sản thế chấp giả mạo
Kẻ tấn công đã khai thác một cầu nối bên thứ ba do Kelp và Layerzero vận hành bằng cách giả mạo các thông điệp xuyên chuỗi. Kẻ gian đúc 116.500 token rsETH giả mạo và nạp chúng vào nền tảng V3 của Aave làm tài sản thế chấp. Ngay lập tức, kẻ tấn công dùng rsETH giả mạo làm thế chấp để vay 82.650 ethereum bọc (WETH) và 821 staked ethereum bọc (wstETH). Việc rút tiền hàng loạt đột ngột đã làm suy yếu cấu trúc các pool thanh khoản cốt lõi của Aave, buộc bộ phận quản lý rủi ro phải đóng băng các thị trường bị ảnh hưởng để ngăn nguy cơ rút vốn dây chuyền khỏi nền tảng.
Aave Labs huy động quỹ $300M khôi phục với liên minh trong ngành
Aave Labs đã hỗ trợ huy động một liên minh khẩn cấp gồm các đối tác lớn trong ngành, bao gồm Lido, Ether.fi, Ethena và Compound. Cùng nhau, nhóm đã tổ chức một quỹ khôi phục trị giá 300 triệu USD. Khoản bơm vốn này đã đóng vai trò “chống đỡ” cho các tài sản rsETH bị xâm phạm, đảm bảo rằng mọi 1 USD tiền gửi của người dùng vẫn được bảo đảm đầy đủ bằng nguồn dự trữ xác thực.
Tòa án liên bang cho phép chuyển ngay các quỹ $71M đã thu hồi
Vào ngày 1/5, các chủ nợ trong một vụ án liên bang không liên quan đã chặn quy trình thu hồi. Các chủ nợ nhận được thông báo cấm thi hành lệnh, làm đông lại khoảng 71 triệu USD ethereum đã được truy thu từ kẻ tấn công và dự kiến sẽ được nạp lại để bù vào các pool của Aave. Aave phản hồi bằng cách nộp đơn kiến nghị khẩn cấp lên tòa án liên bang của Mỹ vào ngày 4/5. Bốn ngày sau, vào ngày 8/5, một thẩm phán đã chấp thuận sửa đổi quan trọng đối với lệnh phong tỏa, cho phép chuyển ngay 71 triệu USD trở lại quyền quản lý trực tiếp của Aave. Cột mốc pháp lý này cho phép các nhà phát triển chuyển ngay số tiền trở lại các pool cho vay đang hoạt động của giao thức, khôi phục độ sâu thanh khoản cần thiết cho hoạt động thị trường an toàn.
Aave thực hiện 295 cập nhật tham số và cơ chế ngắt mạch LTV0
Khi dự trữ vốn được bổ sung đầy đủ và các tham số thị trường trước khai thác được khôi phục, Aave đang nâng cấp kiến trúc quản lý rủi ro để cách ly thanh khoản khỏi các sự cố mang tính hệ thống do bên thứ ba trong tương lai gây ra. Để ngăn những kẻ tấn công trong tương lai chuyển đổi các token bị khai thác thành tài sản thanh khoản của giao thức, các nhà phát triển Aave đã thực hiện 295 lần cập nhật tham số riêng lẻ, giảm mạnh hạn mức vay và hạn mức cung trên 168 pool tài sản khác nhau. Ngoài ra, giao thức cũng đang triển khai một cơ chế ngắt mạch tự động LTV0 (loan-to-value zero). Theo đó, nếu bất kỳ tài sản nào gặp sự cố vi phạm bảo mật đối với hạ tầng xuyên chuỗi nền tảng của nó, hệ thống sẽ ngay lập tức tước giá trị thế chấp của tài sản đó. Điều này đảm bảo rằng các token bị xâm phạm không còn có thể được dùng để vay hoặc rút cạn thanh khoản xác thực khỏi các thị trường của Aave.
Câu hỏi thường gặp
Aave đã công bố gì vào ngày 1/6?
Aave công bố vào ngày 1/6 rằng họ đã khôi phục thanh khoản đầy đủ cho các pool cho vay sau một vụ khai thác xuyên chuỗi trị giá 300 triệu USD. Giao thức đã huy động một quỹ cứu trợ trị giá 300 triệu USD trên toàn ngành và xin được lệnh của tòa án liên bang khẩn cấp để thay thế các tài sản bị rút cạn và khôi phục hoạt động vay-mượn cho vay bình thường.
Kẻ tấn công đã khai thác nền tảng Aave như thế nào?
Kẻ tấn công khai thác một cầu nối bên thứ ba do Kelp và Layerzero vận hành bằng cách giả mạo các thông điệp xuyên chuỗi để đúc 116.500 token rsETH giả mạo. Các token giả này được nạp vào nền tảng V3 của Aave làm tài sản thế chấp và ngay lập tức được dùng để vay 82.650 ethereum bọc và 821 staked ethereum bọc.
Aave đã triển khai biện pháp bảo mật nào sau vụ khai thác?
Aave đã thực hiện 295 lần cập nhật tham số riêng lẻ, cắt giảm hạn mức vay và hạn mức cung trên 168 pool tài sản riêng biệt. Giao thức cũng triển khai một cơ chế ngắt mạch tự động LTV0, sẽ ngay lập tức tước mọi tài sản bị xâm phạm khỏi giá trị thế chấp nếu hạ tầng xuyên chuỗi nền tảng của tài sản đó gặp sự cố vi phạm bảo mật.
