Протокол Aave обновил подход к листингу активов после инцидента с rsETH в апреле, который создал риск возникновения безнадежной задолженности на сотни миллионов долларов.
Причиной проблемы стала неисправность в механизме верификации моста LayerZero, используемого проектом Kelp, а не недостатки в смарт-контрактах самого кредитного протокола. Злоумышленник воспользовался ошибочной конфигурацией одного из верификаторов, что позволило ему подделать кроссчейн-сообщение и выпустить 116 500 необеспеченных токенов rsETH на сумму около 293 миллиона долларов США.
Полученные активы были размещены в Aave в качестве обеспечения. Благодаря тому, что rsETH находился в режиме eMode с высоким коэффициентом LTV на уровне 93%, атакующий смог занять ликвидные активы, которые протокол не смог бы вернуть после возможного обесценивания залога.
В ответ на произошедшее команда Aave представила обновленный фреймворк оценки рисков для версий V3, V4 и Horizon. Помимо традиционных параметров, таких как ликвидность и волатильность, теперь будут учитываться дополнительные факторы: надежность используемых мостов и степень сложности структуры токена; зависимость актива от сторонних оракулов и кастодиальных сервисов; особенности технической реализации; уровень операционной безопасности эмитента.
Кроме того, разработчики предложили внедрить автоматические защитные механизмы. В случае достижения критических уровней риска система сможет мгновенно снижать LTV актива до нуля без необходимости ждать решения через процедуру управления протоколом.