تقوم Aave بإصلاح معايير الإدراج بعد استغلال rsETH بقيمة 230 مليون دولار لمخاطر الجسر المكشوفة
بدأ أغلى هجوم للتمويل اللامركزي (DeFi) في عام 2026 بجسر الأثير (rsETH) المعاد تثبيته من KelpDAO، وليس خطأ في كود Aave. هذا، كما يقول بروتوكول الإقراض في تقرير رسمي نُشر هذا الأسبوع، هو بالتحديد السبب الذي يجعل الصناعة بحاجة إلى إعادة التفكير في كيفية قياس المخاطر.
قالت Aave إنها ستطلق مراجعة لكل الأصول المدرجة في V3 وتعيد كتابة معايير الإدراج الخاصة بها بعد أن كشف استغلال ETH الذي تم إعادة تكديسه بقيمة 230 دولارًا في أبريل عن فئة جديدة من مخاطر التمويل اللامركزي.
تتبع تشريح البروتوكول الهجوم ليس إلى خلل في عقود Aave الذكية ولكن إلى فشل التحقق من جسر LayerZero، حيث وافق مدقق واحد على رسالة عبر سلسلة مزورة أطلقت 116,500 rsETH غير مدعوم.
للمضي قدمًا، تقول Aave إن تقييمات الضمانات ستزن الجسور وتبعيات أوراكل والأوصياء والأمن التشغيلي جنبًا إلى جنب مع المخاطر المالية ومخاطر العقود الذكية التي قامت بفحصها تقليديًا.
KelpDAO هي خدمة "استعادة"، والتي تتيح للمستخدمين أخذ الأثير الخاص بهم المقيد بالفعل في Ethereum لكسب مكافآت الستاكينغ وإعادة استخدامها كضمان لكسب عائد إضافي من البروتوكولات الأخرى. يمثل الرمز المميز rsETH مطالبة المستخدم بشأن هذا الأثير المعاد تخزينه. لنقل rsETH بين سلاسل الكتل، يستخدم KelpDAO LayerZero، وهو جزء من البنية التحتية يسمى جسر عبر السلسلة يقوم بتمرير الرسائل بين الشبكات بحيث يمكن أن يظهر الرمز المميز الصادر على سلسلة واحدة على أخرى.
تعتمد الجسور على مجموعة من أدوات التحقق المستقلة التي تؤكد أن كل رسالة حقيقية قبل أن تقوم سلسلة الاستقبال بإصدار الرموز المميزة المكافئة.
في هجوم أبريل، وافق واحد فقط من هؤلاء المتحققين على رسالة مزيفة، والتي سمحت للمهاجم بصك 116,500 rsETH على سلسلة الاستقبال دون دعم فعلي للإيثر.
تم بعد ذلك إيداع هذه الرموز في Aave، وهو بروتوكول إقراض حيث يقترض المستخدمون مقابل ضمانات يقدمونها، ويستخدمون للحصول على قروض لم تتمكن Aave من استردادها بمجرد الكشف عن أن rsETH لا قيمة لها. لقد عمل كود Aave الخاص تمامًا كما تم تصميمه. وتبين أن الضمانة التي قبلتها كانت مزورة لأن الجسر الذي كان ينقلها قد تعرض للخطر.
في حين اعترفت LayerZero في وقت سابق من هذا الشهر بأنها "ارتكبت خطأ" من خلال السماح لنظام التحقق الخاص بها بتأمين الأصول عالية القيمة في تكوين واحد لواحد، فإن تقرير Aave بعد الوفاة يذهب إلى أبعد من ذلك باستخدام الحادث لتبرير إصلاح أوسع لإدارة مخاطر التمويل اللامركزي.
يجادل البروتوكول بأن المراجعات التقليدية التي ركزت على التقلبات والسيولة وعمليات تدقيق العقود الذكية فشلت في التقاط المخاطر الناجمة عن الجسور وشبكات التحقق والبنية التحتية الأخرى التي تقع خارج كود التطبيق.
إلى جانب عمليات تدقيق العقود الذكية وتحليل المخاطر المالية، قالت Aave إنها ستقوم الآن بتقييم البنية التحتية الجسرية، وتبعيات أوراكل، وعقود الطرف الثالث، وترتيبات الحراسة، وممارسات الأمن التشغيلي، وسيولة السوق الثانوية قبل الموافقة على قوائم الضمانات أو توسيعها.
يقوم البروتوكول أيضًا ببناء دفاعات آلية جديدة مصممة للرد بشكل أسرع عندما تظهر الأصول الجانبية علامات الضيق. ومن بين المقترحات الموضحة في تقرير ما بعد الوفاة، نظام من شأنه أن يقلل تلقائيا نسبة القرض إلى القيمة للأصول إلى الصفر بمجرد اختراق عتبات المخاطر المحددة مسبقا، مما يزيل قدرتها على الاقتراض قبل أن تنتشر الخسائر عبر السوق الأوسع.
منذ حدوث الاستغلال، تقول Aave إن مديري المخاطر لديها قاموا بالفعل بتنفيذ ما يقرب من 295 تغييرًا في المعلمات عبر أسواق V3، بما في ذلك 168 تخفيضًا في سقف العرض و66 تخفيضًا في سقف الاقتراض بهدف الحد من التعرض للأصول الفردية.
نظرًا لأن بروتوكولات التمويل اللامركزي أصبحت أكثر ترابطًا، يشير تقرير Aave بعد الوفاة إلى أن الصناعة قد تحتاج إلى التدقيق ليس فقط في الأصول التي تدرجها، ولكن أيضًا في البنية التحتية التي تعتمد عليها تلك الأصول