Aave اوور ہالز کی فہرست سازی کے معیارات کے بعد $230 ملین rsETH نے پل کے خطرات سے فائدہ اٹھایا
2026 کا سب سے مہنگا DeFi حملہ KelpDAO کے ریسٹاکڈ ایتھر (rsETH) برج سے شروع ہوا، Aave کے کوڈ میں کوئی بگ نہیں۔ اس ہفتے شائع ہونے والے ایک سرکاری پوسٹ مارٹم میں قرض دینے والے پروٹوکول کی دلیل ہے، خاص طور پر یہی وجہ ہے کہ صنعت کو اس بات پر دوبارہ غور کرنے کی ضرورت ہے کہ وہ کس طرح خطرے کی پیمائش کرتی ہے۔
Aave نے کہا کہ وہ V3 پر درج ہر اثاثہ کا جائزہ شروع کر رہا ہے اور اپریل کے $230 کے بحال ہونے والے ETH استحصال کے بعد DeFi خطرے کی ایک نئی کلاس کو بے نقاب کرنے کے بعد اس کے لسٹنگ معیارات کو دوبارہ لکھ رہا ہے۔
پروٹوکول کے پوسٹ مارٹم نے حملے کا سراغ Aave کے سمارٹ معاہدوں میں کسی خامی کی وجہ سے نہیں بلکہ ایک LayerZero برج کی توثیق کی ناکامی پر لگایا، جہاں ایک واحد تصدیق کنندہ نے جعلی کراس چین پیغام کی منظوری دی جس نے 116,500 غیر حمایت یافتہ rsETH جاری کیا۔
آگے بڑھتے ہوئے، Aave کا کہنا ہے کہ ضمنی جائزوں میں پلوں، اوریکل پر انحصار، محافظین اور آپریشنل سیکورٹی کے ساتھ ساتھ مالی اور سمارٹ کنٹریکٹ کے خطرات کا وزن کیا جائے گا جن کی اس نے روایتی طور پر جانچ کی ہے۔
KelpDAO ایک "ریسٹاکنگ" سروس ہے، جو صارفین کو اپنا ایتھر لینے دیتی ہے جو پہلے سے ہی Ethereum میں بند ہے تاکہ اسٹیکنگ ریوارڈز حاصل کر سکیں اور دوسرے پروٹوکولز سے اضافی پیداوار حاصل کرنے کے لیے اسے کولیٹرل کے طور پر دوبارہ استعمال کریں۔ ٹوکن rsETH اس بحال شدہ ایتھر پر صارف کے دعوے کی نمائندگی کرتا ہے۔ بلاکچینز کے درمیان rsETH کو منتقل کرنے کے لیے، KelpDAO LayerZero کا استعمال کرتا ہے، ایک کراس چین برج کہلاتا ہے انفراسٹرکچر جو نیٹ ورکس کے درمیان پیغامات کو منتقل کرتا ہے تاکہ ایک چین پر جاری کردہ ٹوکن دوسری چین پر ظاہر ہو سکے۔
برجز آزاد تصدیق کنندگان کے ایک سیٹ پر انحصار کرتے ہیں جو تصدیق کرتے ہیں کہ ہر پیغام حقیقی ہے اس سے پہلے کہ وصول کنندہ سلسلہ مساوی ٹوکن جاری کرے۔
اپریل کے حملے میں، ان تصدیق کنندگان میں سے صرف ایک نے جعلی پیغام کی منظوری دی، جس نے حملہ آور کو وصول کرنے والی زنجیر پر 116,500 rsETH ٹکسال دیا جس کی کوئی حقیقی ایتھر پشت پناہی نہیں کرتی تھی۔
اس کے بعد ان ٹوکنز کو Aave میں جمع کر دیا گیا، ایک قرض دینے والا پروٹوکول جہاں صارفین اپنے پوسٹ کردہ ضامن کے خلاف قرض لیتے ہیں، اور قرض لینے کے لیے استعمال کیا جاتا تھا Aave ایک بار جب rsETH کے بیکار ہونے کا انکشاف ہوا تو وہ وصولی نہیں کر سکتا تھا۔ Aave کے اپنے کوڈ نے بالکل ڈیزائن کے مطابق کام کیا۔ اس نے جو کولیٹرل قبول کیا وہ جعلی نکلا کیونکہ جس پل نے اسے پہنچایا اس سے سمجھوتہ کیا گیا تھا۔
جب کہ LayerZero نے اس مہینے کے شروع میں تسلیم کیا تھا کہ اس نے اپنے تصدیقی نظام کو ایک سے ایک ترتیب میں اعلیٰ قیمت کے اثاثوں کو محفوظ کرنے کی اجازت دے کر "غلطی کی ہے"، Aave کا پوسٹ مارٹم DeFi رسک مینجمنٹ کے وسیع تر جائزہ کو جواز فراہم کرنے کے لیے اس واقعے کو استعمال کرتے ہوئے مزید آگے بڑھتا ہے۔
پروٹوکول دلیل دیتا ہے کہ اتار چڑھاؤ، لیکویڈیٹی اور سمارٹ کنٹریکٹ آڈٹ پر مرکوز روایتی جائزے پلوں، تصدیقی نیٹ ورکس اور ایپلیکیشن کوڈ سے باہر موجود دیگر انفراسٹرکچر کے ذریعے پیدا ہونے والے خطرات کو حاصل کرنے میں ناکام رہے۔
سمارٹ کنٹریکٹ آڈٹ اور مالیاتی رسک تجزیہ کے علاوہ، Aave نے کہا کہ اب وہ کولیٹرل لسٹنگ کی منظوری یا توسیع سے پہلے پل کے بنیادی ڈھانچے، اوریکل انحصار، فریق ثالث کے معاہدوں، حراستی انتظامات، آپریشنل سیکیورٹی کے طریقوں، اور ثانوی مارکیٹ کی لیکویڈیٹی کا جائزہ لے گا۔
پروٹوکول نئے خودکار ڈیفنسز بھی بنا رہا ہے جو کہ تیزی سے رد عمل ظاہر کرنے کے لیے ڈیزائن کیا گیا ہے جب کولیٹرل اثاثے پریشانی کے آثار دکھاتے ہیں۔ پوسٹ مارٹم میں بیان کردہ تجاویز میں سے ایک ایسا نظام ہے جو پہلے سے طے شدہ خطرے کی حدوں کی خلاف ورزی کے بعد کسی اثاثہ کے قرض سے قدر کے تناسب کو خود بخود صفر کر دے گا، اس سے پہلے کہ نقصانات وسیع تر مارکیٹ میں پھیل سکیں، اس کی قرض لینے کی طاقت کو ختم کر دے گا۔
استحصال کے بعد سے، Aave کا کہنا ہے کہ اس کے رسک مینیجرز پہلے ہی V3 مارکیٹوں میں تقریباً 295 پیرامیٹر تبدیلیاں کر چکے ہیں، بشمول 168 سپلائی-کیپ میں کمی اور 66 ادھار کیپ میں کمی جس کا مقصد انفرادی اثاثوں کی نمائش کو محدود کرنا ہے۔
جیسا کہ ڈی فائی پروٹوکول ایک دوسرے سے جڑے ہوئے ہیں، Aave کے پوسٹ مارٹم سے پتہ چلتا ہے کہ صنعت کو نہ صرف ان اثاثوں کی جانچ پڑتال کرنے کی ضرورت پڑسکتی ہے جو اس کی فہرست میں ہیں، بلکہ ان انفراسٹرکچر کی بھی جانچ پڑتال کرنے کی ضرورت ہے جس پر وہ اثاثے انحصار کرتے ہیں۔