Aave ужесточил листинг активов после атаки

01.06.2026 Aave Кибербезопасность листинг Новости

Протокол Aave обновил правила листинга цифровых активов после инцидента с rsETH в апреле, который едва не привел к образованию непокрытой задолженности на сотни миллионов долларов.

Причиной проблемы стал сбой в верификации моста LayerZero, используемого проектом Kelp, а не ошибка в коде самой кредитной платформы. Злоумышленник использовал неправильные настройки одного из верификаторов, чтобы подделать кроссчейн-сообщение и выпустить 116 500 необеспеченных токенов rsETH на сумму $293 млн.

Эти активы были внесены в Aave как залог. Поскольку rsETH работал в режиме eMode с высоким LTV (93%), атакующий смог вывести ликвидные средства, которые протокол не смог бы вернуть после падения стоимости rsETH.

Новая система оценки для версий V3, V4 и Horizon расширяет критерии анализа рисков. Теперь, кроме волатильности и ликвидности, Aave будет оценивать:

— надежность инфраструктуры мостов и количество уровней оборачивания токена
— зависимость от внешних оракулов и кастодианов
— техническую архитектуру (соответствие ERC-20, права администратора и возможность обновления кода)
— операционную безопасность эмитента актива

Команда также предложила внедрить автоматические защитные механизмы, которые смогут мгновенно обнулять LTV актива при достижении критических порогов риска без ожидания решения управления.

Специалисты по управлению рисками уже внесли около 295 изменений в параметры рынков V3, включая сокращение лимитов на поставку и заимствование для уменьшения последствий подобных ситуаций.

Аудиторы OpenZeppelin подтвердили, что инцидент произошел из-за ошибок в настройках инфраструктуры и управлении рисками, а не из-за багов в коде Aave или Kelp.

Напомним, 25 мая Kelp полностью восстановил обеспечение rsETH, отправив последний транш в размере 20 373 rsETH на смарт-контракт LayerZero.

Обменять