Aave stellt Liquidität nach Cross-Chain-Exploit wieder her
Das dezentrale Finanzprotokoll Aave hat kürzlich bekannt gegeben, dass die Liquidität seiner Kreditpools vollständig wiederhergestellt wurde, nachdem ein $300 Millionen schwerer Cross-Chain-Exploit stattgefunden hatte. Der Pionier im Bereich der dezentralen Finanzen (DeFi) hat erfolgreich die volle Liquidität seiner Kreditpools wiederhergestellt und damit eine umfassende Stabilisierungskampagne über mehrere Wochen abgeschlossen, die nach dem Exploit erforderlich war, der die Bargeldreserven des Protokolls bedrohte.
Details zum Exploit
Aave teilte in seinem Nachbericht mit, dass es durch die Mobilisierung eines $300 Millionen umfassenden Rettungsfonds der Branche und die Sicherung einer Notfallanordnung eines Bundesgerichts in der Lage war, die abgezogenen Vermögenswerte zu ersetzen, die Einleger vor Verlusten zu schützen und die normalen Kredit- und Leihoperationen im gesamten Protokoll wiederherzustellen.
Die Veröffentlichung des Nachberichts erfolgte mehr als einen Monat, nachdem ein Angreifer eine von Kelp und LayerZero betriebene Drittanbieterbrücke ausgenutzt hatte. Durch die Fälschung von Cross-Chain-Nachrichten prägte der Hacker 116.500 gefälschte rsETH-Token und hinterlegte sie als Sicherheiten auf Aaves V3-Plattform. Der Angreifer nutzte sofort die gefälschten rsETH als Sicherheiten, um hochliquide Vermögenswerte abzuziehen, indem er 82.650 Wrapped Ethereum (WETH) und 821 Wrapped Staked Ethereum (wstETH) auslieh.
Reaktion auf den Exploit
Der plötzliche Massenauszug schwächte strukturell die Kernliquiditätspools von Aave, was die Risikomanager zwang, die betroffenen Märkte einzufrieren, um einen kaskadierenden Lauf auf das Kapital der Plattform zu verhindern. Um das Loch zu stopfen, half Aave Labs, eine Notfallkoalition wichtiger Akteure der Branche zu mobilisieren, darunter Lido, Ether.fi, Ethena und Compound. Gemeinsam strukturierte die Gruppe einen $300 Millionen Wiederherstellungsfonds. Diese Kapitalzufuhr sicherte effektiv die kompromittierten rsETH-Vermögenswerte ab und garantierte, dass jeder Dollar der Einlagen der Nutzer vollständig durch authentische Reserven gedeckt blieb.
Rechtliche Herausforderungen
Der Weg zur Wiederherstellung der Liquidität stieß jedoch am 1. Mai auf ein rechtliches Hindernis, als Gläubiger in einem nicht verwandten Bundesfall den Wiederherstellungsprozess abfingen. Die Gläubiger erhielten eine einstweilige Verfügung, die etwa $71 Millionen in Ethereum einfrohr, die vom Angreifer zurückgeholt worden waren und zur Auffüllung von Aaves Pools vorgesehen waren. Aave reagierte, indem es am 4. Mai einen Eilantrag beim US-Bundesgericht einreichte, und vier Tage später genehmigte ein Richter eine entscheidende Änderung der Einfrierung, die die sofortige Übertragung der $71 Millionen zurück in Aaves direkte Verwahrung erlaubte.
Wiederherstellung und zukünftige Sicherheitsmaßnahmen
Dieser rechtliche Durchbruch ermöglichte es den Entwicklern, die Mittel sofort wieder in die aktiven Kreditpools des Protokolls zu leiten und die erforderliche Liquiditätstiefe für sichere Marktoperationen wiederherzustellen. Mit vollständig aufgefüllten Kapitalreserven und wiederhergestellten Marktparametern vor dem Exploit überarbeitet Aave seine Risikostruktur, um seine Liquidität vor zukünftigen systemischen Fehlern Dritter zu schützen.
Um zukünftige Angreifer daran zu hindern, ausgebeutete Token in liquide Protokollvermögenswerte umzuwandeln, führten die Aave-Entwickler 295 individuelle Parameteraktualisierungen durch und senkten die Kredit- und Angebotsobergrenzen in 168 separaten Vermögenspoolen erheblich. Darüber hinaus implementiert das Protokoll einen automatisierten LTV0 (Loan-to-Value Zero) Not-Aus-Schalter. Zukünftig wird das System, wenn die zugrunde liegende Cross-Chain-Infrastruktur eines Vermögenswerts einen Sicherheitsvorfall erleidet, diesen Vermögenswert sofort seiner Sicherheitenwerte entziehen. Dies stellt sicher, dass kompromittierte Token nicht mehr verwendet werden können, um authentische Liquidität aus Aaves Märkten zu leihen oder abzuziehen.
