Aave, Nisan ayındaki 230 milyon dolarlık rsETH istismarının resmi post-mortem'ini yayımladı. Kaybın kaynağı kendi akıllı sözleşmelerindeki bir kusur değil, LayerZero köprü doğrulama hatası olarak açıklandı. Bu hata, saldırganın Ethereum üzerinde 116.500 teminatsız rsETH basmasına ve Aave'nin geri kazanamadığı kredilerle uzaklaşmasına olanak tanıdı. Protokol şimdi varlık listeleme standartlarını yeniden yazarak, geleneksel olarak incelediği finansal ve akıllı sözleşme risklerinin yanı sıra köprüleri, oracle bağımlılıklarını, saklayıcıları ve operasyonel güvenliği de titizlikle değerlendirecek.
Neden önemli
İstismar, 2026'nın en pahalı DeFi saldırısı; üstelik burada dolar tutarından çok mekanizma önem taşıyor. Tek bir LayerZero doğrulayıcısı sahte bir çapraz zincir mesajını onaylayarak, sıfır ether teminatıyla 116.500 rsETH'yi Ethereum'a taşıdı. Bu tokenler Aave'ye yatırıldı ve protokolün gerçek olduğuna tüm nedenlerle inandığı teminata karşı borçlanmak için kullanıldı. Aave'nin kendi kodu tam olarak tasarlandığı şekilde çalıştı; teminat sahte çıktı çünkü onu taşıyan altyapı ele geçirilmişti.
LayerZero bu ayın başında, kendi doğrulama sisteminin bir birimlik bir yapılandırmada yüksek değerli varlıkları güvence altına alarak "hata yaptığını" kabul etti. Aave'nin post-mortem'i bu çıkarımı daha ileriye taşıyor: oynaklık, likidite, akıllı sözleşme denetimleri gibi geleneksel risk incelemeleri, köprülerde, doğrulama ağlarında ve diğer zincir dışı altyapılarda gizlenen riskleri yakalayamadı. DeFi zincirler arasında daha derin bileşim kurdukça, saldırı yüzeyi uygulama kodunun ötesinde onları birbirine bağlayan boru hattına taşındı.
Piyasa etkisi
Aave, V3'te listelenen her varlığı kapsamlı bir incelemeden geçiriyor ve yeni ya da genişletilmiş teminat listelemelerinden önce köprü altyapısını, oracle bağımlılıklarını, üçüncü taraf sözleşmeleri, saklama düzenlemelerini ve operasyonel güvenliği değerlendirmek üzere risk çerçevesini baştan inşa ediyor. Protokol ayrıca otomatik savunma mekanizmaları da geliştiriyor; bunlar arasında, önceden tanımlanmış risk eşikleri aşıldığında bir varlığın kredi-değer oranını otomatik olarak sıfıra çekecek, kayıplar yayılmadan borçlanma gücünü ortadan kaldıracak bir sistem de yer alıyor.
Yanıt çoktan operasyonel hale geldi.
Sıkça sorulan sorular
-
Aave'nin 230 milyon dolarlık rsETH istismarına ne yol açtı?
Bir LayerZero köprü doğrulama hatası. Tek bir doğrulayıcı, saldırganın Ethereum'da 116.500 teminatsız rsETH basmasına ve bunları Aave'nin geri kazanamadığı fonları borçlanmak için teminat olarak kullanmasına izin veren sahte bir çapraz zincir mesajını onayladı.
-
Aave'nin kendi kodu rsETH istismarında hack'lendi mi?
Hayır. Aave, akıllı sözleşmelerinin tam olarak tasarlandığı gibi çalıştığını söyledi. Kabul ettiği teminat, Aave'nin kendi kodundaki bir hata yüzünden değil, rsETH'yi taşıyan LayerZero destekli köprünün ele geçirilmesi nedeniyle sahte çıktı.
-
Aave, istismarın ardından listeleme standartlarını nasıl değiştiriyor?
Aave, geleneksel olarak taradığı finansal ve akıllı sözleşme risklerinin yanı sıra köprü altyapısını, oracle bağımlılıklarını, üçüncü taraf sözleşmeleri, saklama düzenlemelerini ve operasyonel güvenliği değerlendirmek üzere risk çerçevesini yeniden yazıyor.
-
Aave, sıkıntılı teminat için hangi yeni savunmaları inşa ediyor?
Aave, teminat varlıklarında sıkıntı belirtileri görüldüğünde daha hızlı tepki veren otomatik sistemler geliştiriyor; bunlar arasında önceden tanımlanmış risk eşikleri aşıldığında bir varlığın kredi-değer oranını otomatik olarak sıfıra çekecek bir öneri de yer alıyor.
-
Aave, rsETH istismarından bu yana kaç parametre değişikliği yaptı?
Aave'nin risk yöneticileri, istismardan bu yana V3 piyasalarında yaklaşık 295 parametre değişikliği gerçekleştirdi; bunların 168'i arz limiti düşüşü, 66'sı borçlanma limiti düşüşü olup amacı tek tek varlıklara maruziyeti sınırlamak.
CoinDesk