Протокол Aave переглянув стандарти лістингу активів після квітневого інциденту з rsETH, що поставив проєкт під загрозу виникнення безнадійної заборгованості на сотні мільйонів доларів.
Причиною інциденту став збій верифікації в містку LayerZero, який використовував проєкт Kelp, а не вразливість у смартконтрактах самого кредитного протоколу. Зловмисник скористався помилкою конфігурації одного з верифікаторів, підробив кросчейн-повідомлення та випустив 116 500 незабезпечених токенів rsETH ($293 млн).
Активи були внесені в Aave як застава. Оскільки rsETH перебував у режимі eMode з високим LTV (93%), атакувальник позичив ліквідні активи, які протокол не зміг би повернути після знецінення rsETH.
Новий фреймворк для версій V3, V4 і Horizon розширює критерії оцінки ризиків. Тепер, окрім волатильності та ліквідності, Aave враховуватиме:
надійність інфраструктури містків і кількість рівнів обгортки токена;
залежності від зовнішніх оракулів і кастодіанів;
технічну архітектуру (відповідність ERC-20, права адміністратора та можливість апгрейду коду);
операційну безпеку емітента активів.
Команда також запропонувала впровадити автоматизовані захисні механізми. Вони дадуть змогу миттєво обнуляти LTV активу за досягнення критичних порогів ризику без очікування рішення управління.
Ризик-менеджери вже внесли близько 295 правок до параметрів ринків V3, зокрема зменшили ліміти на постачання та запозичення для мінімізації наслідків подібних інцидентів.
Аудитори OpenZeppelin підтвердили, що інцидент став наслідком прорахунків у конфігурації інфраструктури та управлінні ризиками, а не багів у коді Aave чи Kelp.
Нагадаємо, 25 травня Kelp відновив забезпечення rsETH, команда відправила фінальний транш у розмірі 20 373 rsETH на смартконтракт LayerZero.
Читайте ForkLog UA в соціальних мережах
Знайшли помилку в тексті? Виділіть її та натисніть CTRL+ENTER
