Самая дорогостоящая атака в сфере DeFi 2026 года началась с моста рестейкинга эфира (rsETH) от KelpDAO, а не из-за ошибки в коде Aave. Как утверждает протокол кредитования в официальном постмортеме, опубликованном на этой неделе, именно поэтому индустрии необходимо переосмыслить подходы к оценке рисков.
Aave заявила о запуске проверки всех активов, размещенных на V3, и пересмотре своих стандартов листинга после апрельской эксплуатации рестейкингового ETH на $230 Million, которая выявила новый класс рисков в DeFi.
Постмортем протокола проследил атаку не до уязвимости в смарт-контрактах Aave, а до ошибки верификации моста LayerZero, где единственный верификатор одобрил поддельное кросс-чейн сообщение, выпустившее 116,500 необеспеченных rsETH.
В дальнейшем Aave заявляет, что оценка залогов будет учитывать мосты, зависимости от оракулов, кастодианов и операционную безопасность наряду с финансовыми рисками и рисками смарт-контрактов, которые традиционно проверялись.
KelpDAO — это сервис «рестейкинга», позволяющий пользователям брать эфир, уже заблокированный в Ethereum для получения наград за стейкинг, и повторно использовать его в качестве залога для получения дополнительного дохода от других протоколов. Токен rsETH представляет собой право пользователя на этот рестейкнутый эфир. Для перемещения rsETH между блокчейнами KelpDAO использует LayerZero — инфраструктуру, называемую кросс-чейн мостом, которая передает сообщения между сетями, чтобы токен, выпущенный в одной цепи, мог появиться в другой.
Мосты полагаются на набор независимых верификаторов, которые подтверждают подлинность каждого сообщения перед тем, как принимающая цепь выпустит эквивалентные токены.
В ходе апрельской атаки всего один из этих верификаторов одобрил фальшивое сообщение, что позволило атакующему отчеканить 116,500 rsETH в принимающей цепи без реального обеспечения в эфире.
Затем эти токены были внесены в Aave, протокол кредитования, где пользователи берут займы под залог, и использованы для получения кредитов, которые Aave не смогла вернуть, когда rsETH оказался бесполезным. Собственный код Aave работал точно так, как было задумано. Принятый залог оказался фальшивым, потому что доставивший его мост был взломан.
Хотя LayerZero в начале этого месяца признал, что «совершил ошибку», позволив своей системе верификации защищать высоколиквидные активы в конфигурации «один-к-одному», постмортем Aave идет дальше, используя этот инцидент для обоснования более масштабной реформы управления рисками в DeFi.
Протокол утверждает, что традиционные проверки, сосредоточенные на волатильности, ликвидности и аудите смарт-контрактов, не смогли уловить риски, создаваемые мостами, сетями верификации и другой инфраструктурой, находящейся за пределами кода приложений.
Помимо аудита смарт-контрактов и анализа финансовых рисков, Aave заявила, что теперь будет оценивать инфраструктуру мостов, зависимости от оракулов, сторонние контракты, кастодиальные соглашения, практики операционной безопасности и ликвидность на вторичном рынке перед утверждением или расширением листинга залогов.
Протокол также разрабатывает новые автоматизированные средства защиты, предназначенные для более быстрой реакции при появлении признаков стресса у залоговых активов. Среди предложений, изложенных в постмортеме, — система, которая автоматически снизит соотношение кредита к стоимости (LTV) актива до нуля при превышении заранее установленных порогов риска, лишая его возможности заимствования до того, как убытки распространятся на более широкий рынок.
С момента эксплуатации Aave сообщает, что ее менеджеры по рискам уже внесли около 295 изменений параметров на рынках V3, включая 168 снижений лимитов на поставку и 66 снижений лимитов на заимствование, направленных на ограничение экспозиции к отдельным активам.
По мере того как протоколы DeFi становятся более взаимосвязанными, постмортем Aave предполагает, что индустрии, возможно, потребуется scrutinize не только размещаемые активы, но и инфраструктуру, от которой эти активы зависят.