২০২৬ এর সবচেয়ে ব্যয়বহুল DeFi আক্রমণ শুরু হয়েছিল KelpDAO-এর রিস্টেকড এথার (rsETH) ব্রিজ দিয়ে, Aave-এর কোডে কোনো বাগ নয়। এই ঋণ প্রোটোকলটি এই সপ্তাহে প্রকাশিত একটি ঔপচারিক পোস্টমর্টেম-এ যুক্তি দেয় যে শিল্পটিকে এটি কিভাবে ঝুঁকি পরিমাপ করে তা পুনর্বিবেচনা করা দরকার।
এভি বলেছে যে এপ্রিলের $230 রিস্টেকড ETH এক্সপ্লয়িটের মাধ্যমে একটি নতুন ধরনের ডিফি ঝুঁকি প্রকাশ পাওয়ার পরে সে ভি৩-তে তালিকাভুক্ত প্রতিটি সম্পদের পর্যালোচনা শুরু করছে এবং এর তালিকাভুক্তির মানদণ্ড পুনর্লিখন করছে।
প্রোটোকলের পোস্টমর্টেম আক্রমণটিকে Aave-এর স্মার্ট চুক্তিতে দোষারোপ না করে একটি LayerZero ব্রিজ যাচাইকরণ ব্যর্থতার দিকে নির্দেশ করেছে, যেখানে একটি একক যাচাইকারী একটি প্রতারণামূলক ক্রস-চেইন বার্তা অনুমোদন করেছিল যা 116,500 অপাশ্চাত্য rsETH মুক্তি দিয়েছিল।
অগ্রগতিতে, এইভ বলছে যে প্রতিজামতি মূল্যায়নগুলি ঐতিহাসিকভাবে পরীক্ষিত আর্থিক এবং স্মার্ট-কন্ট্রাক্ট ঝুঁকির পাশাপাশি ব্রিজ, অরাকল নির্ভরতা, কাস্টোডিয়ান এবং অপারেশনাল সিকিউরিটি বিবেচনা করবে।
KelpDAO একটি "রেস্টেকিং" সেবা, যা ব্যবহারকারীদের ইথেরিয়ামে ইতিমধ্যে বন্ধ করা তাদের ইথার নিয়ে স্টেকিং পুরস্কার অর্জন করতে দেয় এবং অন্যান্য প্রোটোকলগুলি থেকে অতিরিক্ত আয় অর্জনের জন্য এটিকে জামানত হিসাবে পুনরায় ব্যবহার করতে দেয়। rsETH টোকেনটি একজন ব্যবহারকারীর সেই রেস্টেকড ইথারের দাবি প্রকাশ করে। rsETH-কে ব্লকচেইনগুলির মধ্যে স্থানান্তর করতে, KelpDAO LayerZero ব্যবহার করে, যা একটি ক্রস-চেইন ব্রিজ নামক একটি অবকাঠামো, যা নেটওয়ার্কগুলির মধ্যে বার্তা পাঠায়, যাতে একটি চেইনে প্রকাশিত টোকেন অন্যটিতে দেখা যায়।
ব্রিজগুলি একটি সেট নির্ভর করে যা স্বতন্ত্র যাচাইকারীদের দ্বারা গঠিত, যারা প্রাপক চেইন সমতুল্য টোকেনগুলি মুক্ত করার আগে প্রতিটি বার্তা বাস্তব কিনা তা নিশ্চিত করে।
এপ্রিলের আক্রমণে, এই যাচাইকারীদের মধ্যে শুধুমাত্র একজন একটি মিথ্যা বার্তা অনুমোদন করেছিলেন, যার ফলে আক্রমণকারী বাস্তব এথারের পিছনে সমর্থন ছাড়াই গ্রহণকারী চেইনে ১১৬,৫০০ rsETH মিন্ট করতে সক্ষম হয়েছিলেন।
তারপর সেই টোকেনগুলি Aave-এ জমা দেওয়া হয়, যেখানে ব্যবহারকারীরা তাদের জমা দেওয়া প্রতিজমির বিনিময়ে ঋণ গ্রহণ করে, এবং এগুলি ব্যবহার করে Aave-এর কাছ থেকে ঋণ নেওয়া হয়, যা rsETH-কে অকার্যকর বলে প্রমাণিত হওয়ার পরে ফিরিয়ে আনা যায়নি। Aave-এর নিজস্ব কোড ঠিকঠাকভাবে ডিজাইন অনুযায়ী কাজ করেছিল। এটি যে প্রতিজমি গ্রহণ করেছিল, তা প্রমাণিত হয়েছিল মিথ্যা, কারণ এটি পৌঁছে দেওয়ার জন্য ব্যবহৃত ব্রিজটি দখলদারির শিকার হয়েছিল।
যদিও লেয়ারজারো এই মাসের শুরুতে স্বীকার করেছিল যে এটি "ভুল করেছিল" একটি একক-একক কনফিগারেশনে তার নিজস্ব যাচাইকরণ সিস্টেম ব্যবহার করে উচ্চ-মূল্যের সম্পদকে সুরক্ষিত রাখার কারণে, এই ঘটনার পরবর্তী বিশ্লেষণে এইভাবে ডিফি ঝুঁকি ব্যবস্থাপনার একটি ব্যাপক পুনর্গঠনের যৌক্তিকতা দেখানো হয়েছে।
প্রোটোকলটি যুক্তি দেয় যে অস্থিরতা, তরলতা এবং স্মার্ট চুক্তি অডিটের উপর ভিত্তি করে প্রাচীন পর্যালোচনাগুলি অ্যাপ্লিকেশন কোডের বাইরে অবস্থিত ব্রিজ, যাচাইকরণ নেটওয়ার্ক এবং অন্যান্য অবকাঠামো দ্বারা সৃষ্ট ঝুঁকিগুলি ধরে রাখতে ব্যর্থ হয়েছে।
স্মার্ট চুক্তি অডিট এবং আর্থিক ঝুঁকি বিশ্লেষণের বাইরে, এইভ বলেছে যে এখন থেকে এটি কলাটারেল তালিকাভুক্তি অনুমোদন বা বিস্তারের আগে ব্রিজ ইনফ্রাস্ট্রাকচার, অরাকল নির্ভরতা, তৃতীয় পক্ষের চুক্তি, কাস্টোডিয়াল ব্যবস্থা, অপারেশনাল সিকিউরিটি প্র্যাকটিস এবং সেকেন্ডারি-মার্কেট তরলতা মূল্যায়ন করবে।
প্রোটোকলটি আরও নতুন স্বয়ংক্রিয় প্রতিরক্ষা তৈরি করছে যা প্রতিজামী সম্পদে দুর্বলতার লক্ষণ দেখা দিলে দ্রুত প্রতিক্রিয়া জানাতে ডিজাইন করা হয়েছে। পোস্টমর্টেমে যে প্রস্তাবগুলি উপস্থাপন করা হয়েছে, তার মধ্যে একটি সিস্টেম রয়েছে যা পূর্বনির্ধারিত ঝুঁকির সীমানা লঙ্ঘন করলে একটি সম্পদের ঋণ-থেকে-মূল্য অনুপাতকে শূন্যে নামিয়ে আনবে, যাতে ক্ষতির প্রসার ব্যাপক বাজারের মধ্যে ছড়িয়ে পড়ার আগেই এর ধার করার ক্ষমতা বন্ধ হয়ে যায়।
দুর্বলতার পরে, এইভ বলেছে যে তাদের ঝুঁকি ব্যবস্থাপকরা V3 বাজারগুলিতে প্রায় 295টি প্যারামিটার পরিবর্তন বাস্তবায়ন করেছেন, যার মধ্যে 168টি সাপ্লাই-ক্যাপ হ্রাস এবং 66টি ঋণ-ক্যাপ হ্রাস একক সম্পদের প্রতি ঝুঁকি সীমিত করার জন্য করা হয়েছে।
যখন DeFi প্রোটোকলগুলি আরও বেশি পরস্পরের সাথে যুক্ত হচ্ছে, তখন Aave-এর পোস্টমর্টেম ইঙ্গিত করে যে শিল্পটিকে শুধুমাত্র তাদের তালিকাভুক্ত সম্পদগুলি, বরং সেই সম্পদগুলির উপর নির্ভরশীল অবকাঠামোও পর্যালোচনা করতে হতে পারে।