AaveがLayerZero rsETHエクスプロイトの損失を受けDeFiリスク審査を強化

TLDR

• Aaveは、4月のrsETHエクスプロイトはLayerZeroブリッジの認証失敗によるものであり、自社コードのバグではないと述べた。
• 攻撃者は116,500枚の裏付けのないrsETHをAaveの担保資産として使用し、プロトコルに回収不能なローンを残した。
• AaveはすべてのV3資産を見直し、担保資産チェックの対象をクロスチェーンブリッジ、オラクル、カストディアン、オペレーショナルリスクにまで拡大する予定だ。
• LayerZeroは、高価値資産の保護に1対1の認証設定を採用したことは誤りだったと認めた。
• Aaveは、エクスプロイト以降、V3市場全体でリスクパラメーターを295件変更済みだと述べた。

Aaveは、4月のrsETHブリッジエクスプロイトによって回収不能なDeFi損失が生じたことを受け、担保資産ルールの見直しを開始した。

Aaveはポストモーテムの中で、今回の事件は自社コントラクトの障害によるものではないと述べた。この貸付プロトコルは、エクスプロイトの原因をKelpDAOのリステークドイーサートークンであるrsETH、およびそのアセットをチェーン間で移動させるために使用されたLayerZeroブリッジの設定に特定した。Aaveによると、偽造されたクロスチェーンメッセージが認証を通過し、実際のイーサーの裏付けなしに116,500枚のrsETHが発行されたという。

Aaveは外部インフラリスクに原因を帰す

ポストモーテムによると、攻撃者は裏付けのないrsETHをAave V3に預け入れ、担保資産として利用して資産を借り入れたが、偽の裏付けが明らかになった後、回収は不可能となった。Aaveは、自社コントラクトは設計通りに動作していたが、担保資産が自社コードベース外のインフラを通じてマーケットに流入したと述べた。

LayerZeroは、高価値資産が1対1の認証設定に依存することを許可したのは誤りだったと認めた。Aaveのレポートはこの事件を用いて、DeFiリスクレビューは今後、上場資産そのものだけでなく、その背後にあるシステムも審査しなければならないと主張した。

KelpDAOブリッジの障害がrsETHの脆弱性を露呈

KelpDAOは、ユーザーがステークされたイーサーのエクスポージャーを他のプロトコルで追加利回りのために再利用できるリステーキングサービスを提供している。そのrsETHトークンはリステークされたイーサーに対する請求権を表し、LayerZeroはrsETHがブロックチェーン間を移動できるメッセージングプロセスを担当している。

4月のエクスプロイトでは、Aaveによると1人の検証者が偽のメッセージを承認したという。受信チェーンはその後、背後に対応するイーサーが存在しないrsETHを発行した。それらのトークンがAaveに届くと、貸付マーケットは既存のルールに基づき、それらを許容可能な担保資産として扱った。

Aaveは今後、V3に上場しているすべての資産を見直すと述べた。プロトコルは、今後の担保資産チェックにクロスチェーンブリッジ、オラクルの依存関係、第三者プラットフォームのコントラクト、カストディアン、オペレーショナルセキュリティ、セカンダリーマーケットの流動性を含める予定だと述べた。

これまでAaveは、財務リスク、流動性、ボラティリティ、スマートコントラクト監査を中心にレビューを行っていたと述べた。ポストモーテムは、認証ネットワークやクロスチェーンシステムに依存する資産に対しては、それらのチェックでは不十分だったと述べた。

自動防御機能を開発中

Aaveは、エクスプロイト以降、リスクチームがV3市場全体で295件のパラメーター変更を行ったと述べた。それらの更新には、供給上限の168件の引き下げと借入上限の66件の引き下げが含まれている。

プロトコルは、事前に設定されたリスク上限が突破された後、資産の総資産有利子負債比率をゼロに引き下げられる自動保護措置の導入を検討していると述べた。Aaveは、この措置により、損失が拡大する前に問題のある担保資産から借入能力を取り除けると述べた。

The post Aave Tightens DeFi Risk Checks After LayerZero rsETH Exploit Losses appeared first on CoinCentral.