Протокол Aave объявил о пересмотре подходов к листингу цифровых активов после инцидента с rsETH, который выявил уязвимости в цепочке внешних инфраструктурных решений, используемых в экосистеме DeFi.
Как отмечается в заявлении проекта, причиной инцидента стал сбой в системе верификации в мосте LayerZero, применяемом проектом Kelp. Это не было связано с уязвимостями смарт-контрактов самой платформы Aave. Однако ошибка в конфигурации позволила злоумышленнику подделать кроссчейн-сообщение и выпустить около 116 500 необеспеченных токенов rsETH на сумму порядка 293 млн долларов.
Часть этих активов была размещена в Aave в качестве залога. Благодаря высокому коэффициенту LTV (loan-to-value) в режиме eMode, злоумышленник получил возможность заимствовать ликвидные активы до момента обесценивания залогового обеспечения, что создало риск возникновения значительного безнадежного долга для протокола.
В ответ на инцидент Aave внедряет новый фреймворк оценки рисков для версий V3, V4 и Horizon. Обновленные стандарты предусматривают более широкий набор критериев, выходящих за рамки традиционных показателей волатильности и ликвидности.
Теперь при листинге активов будет учитываться надежность мостовой инфраструктуры, количество уровней «обертки» токена, зависимости от внешних оракулов и кастодианов, а также архитектурные особенности смарт-контрактов, включая права администрирования и возможность обновления кода.
Отдельное внимание уделяется операционной безопасности эмитентов активов. В Aave подчеркивают, что именно внешние риски становятся одним из ключевых факторов уязвимости DeFi-экосистемы.
Кроме того, команда предложила внедрение автоматизированных защитных механизмов. Они позволят в экстренных ситуациях автоматически снижать или обнулять LTV отдельных активов при достижении критических уровней риска, не дожидаясь решений со стороны управления протоколом.
После инцидента риск-менеджеры уже внесли около 295 изменений в параметры рынков Aave V3, включая снижение лимитов заимствования и поставки активов для минимизации потенциальных потерь.
Аудиторская компания OpenZeppelin подтвердила, что инцидент был вызван ошибками в конфигурации инфраструктуры и управлении рисками, а не уязвимостью в коде Aave или Kelp.
Напомним, ранее проект Kelp восстановил обеспечение rsETH, направив финальный транш в размере 20 373 rsETH на смарт-контракт LayerZero, что позволило частично стабилизировать ситуацию в экосистеме.
