Aave gibt bekannt, dass der Betrieb wieder normal...

Das dezentrale Finanzprotokoll Aave gab kürzlich bekannt, dass es nach einem kettenübergreifenden Exploit im Wert von 300 Millionen US-Dollar die Liquidität seiner Kreditpools vollständig wiederhergestellt hat.

Die Anatomie des Exploits

Der Pionier der dezentralen Finanzierung (DeFi), Aave, hat die volle Liquidität seiner Kreditpools erfolgreich wiederhergestellt und damit eine aggressive mehrwöchige Stabilisierungsmaßnahme nach einem kettenübergreifenden Exploit in Höhe von 300 Millionen US-Dollar abgeschlossen, der die Bargeldreserven des Protokolls bedrohte, gaben Entwickler am 1. Juni bekannt.

Aave sagte in seiner Obduktion, dass es durch die Mobilisierung eines branchenweiten Rettungsfonds in Höhe von 300 Millionen US-Dollar und die Sicherstellung einer Dringlichkeitsanordnung des Bundesgerichts in der Lage sei, die abgezogenen Vermögenswerte zu ersetzen, Einleger vor Verlusten zu schützen und den normalen Kredit- und Kreditbetrieb im gesamten Protokoll wiederherzustellen.

Die Veröffentlichung der Obduktion erfolgte mehr als einen Monat, nachdem ein Angreifer eine von Kelp und Layerzero betriebene Drittanbieter-Brücke ausgenutzt hatte. Durch die Erfindung kettenübergreifender Nachrichten prägte der Hacker 116.500 gefälschte rsETH-Tokens und hinterlegte sie als Sicherheit auf der V3-Plattform von Aave.

Der Angreifer nutzte das gefälschte rsETH sofort als Sicherheit, um hochliquide Vermögenswerte abzuschöpfen, und lieh sich 82.650 Wrapped Ethereum (WETH) und 821 Wrapped Stake Ethereum (wstETH). Der plötzliche Massenrückzug schwächte die Kernliquiditätspools von Aave strukturell und zwang Risikomanager, betroffene Märkte einzufrieren, um einen kaskadenartigen Ansturm auf das Kapital der Plattform zu verhindern.

Um die Lücke zu schließen, half Aave Labs bei der Mobilisierung einer Notfallkoalition wichtiger Branchenakteure, darunter Lido, Ether.fi, Ethena und Compound. Gemeinsam strukturierte die Gruppe einen Sanierungsfonds in Höhe von 300 Millionen US-Dollar. Diese Kapitalzuführung stoppte effektiv die kompromittierten rsETH-Vermögenswerte und stellte sicher, dass jeder Dollar an Benutzereinlagen vollständig durch authentische Reserven besichert blieb.

Das Kapital entfrosten

Der Weg zur Wiederherstellung der Liquidität stand jedoch am 1. Mai vor einer rechtlichen Hürde, als Gläubiger in einem unabhängigen Bundesfall den Sanierungsprozess abfingen. Die Gläubiger erhielten eine einstweilige Verfügung, mit der etwa 71 Millionen US-Dollar an Ethereum eingefroren wurden, die vom Angreifer zurückgefordert worden waren und dazu dienen sollten, die Pools von Aave wieder aufzufüllen.

Aave reagierte, indem er am 4. Mai einen Eilantrag beim US-Bundesgericht einreichte, und vier Tage später genehmigte ein Richter eine entscheidende Änderung des Einfrierens und erlaubte die sofortige Rückübertragung der 71 Millionen US-Dollar zurück in die direkte Obhut von Aave. Dieser rechtliche Durchbruch ermöglichte es den Entwicklern, die Gelder sofort in die aktiven Kreditpools des Protokolls zurückzuleiten und so die für sichere Marktoperationen erforderliche Liquiditätstiefe wiederherzustellen.

Da die Kapitalreserven vollständig aufgefüllt und die Marktparameter vor dem Exploit wiederhergestellt sind, überarbeitet Aave seine Risikoarchitektur, um seine Liquidität vor künftigen Systemausfällen Dritter zu schützen.

Um zukünftige Angreifer daran zu hindern, ausgenutzte Token in liquide Protokoll-Assets umzuwandeln, führten die Aave-Entwickler 295 einzelne Parameteraktualisierungen durch und senkten damit die Obergrenzen für Kreditaufnahme und Angebot in 168 separaten Asset-Pools erheblich.

Darüber hinaus implementiert das Protokoll einen automatisierten LTV0-Leistungsschalter (Loan-to-Value Zero). Wenn in der zugrunde liegenden kettenübergreifenden Infrastruktur eines Vermögenswerts künftig eine Sicherheitsverletzung auftritt, wird das System diesem Vermögenswert sofort seinen Sicherungswert entziehen. Dadurch wird sichergestellt, dass kompromittierte Token nicht mehr dazu verwendet werden können, echte Liquidität von den Aave-Märkten zu leihen oder abzuziehen.