2026 का सबसे महंगा DeFi हमला Aave के कोड में किसी बग के साथ शुरू नहीं हुआ, बल्कि KelpDAO के रीस्टेक्ड ईथर (rsETH) ब्रिज के साथ शुरू हुआ। लेंडिंग प्रोटोकॉल का तर्क है कि इसीलिए, इंडस्ट्री को अपने जोखिम मापने के तरीके को फिर से सोचने की आवश्यकता है, जैसा कि इस हफ्ते प्रकाशित एक आधिकारिक पोस्टमॉर्टम में दावा किया गया है।
एव ने कहा कि वह वी3 पर सूचीबद्ध प्रत्येक संपत्ति की समीक्षा कर रहा है और अप्रैल के $230 रीस्टेक्ड ETH दुर्घटना के बाद जिसने डीफाई जोखिम की एक नई श्रेणि को उजागर किया, इसके बाद अपनी सूचीबद्ध मानदंडों को पुनः लिख रहा है।
प्रोटोकॉल की पोस्टमॉर्टम ने हमले को Aave के स्मार्ट कॉन्ट्रैक्ट्स में किसी खामी के बजाय लेयरज़ीरो ब्रिज वेरिफिकेशन विफलता के कारण बताया, जहां एक अकेला वेरिफायर ने एक झूठा क्रॉस-चेन संदेश स्वीकार किया जिससे 116,500 अनबैक्ड rsETH जारी किए गए।
आगे चलकर, एव कहती है कि जमानत मूल्यांकन में पारंपरिक रूप से जांचे गए वित्तीय और स्मार्ट-कॉन्ट्रैक्ट जोखिमों के साथ-साथ पुल, ऑरेकल निर्भरता, कस्टोडियन और संचालन सुरक्षा का भी वजन शामिल किया जाएगा।
KelpDAO एक "रेस्टेकिंग" सेवा है, जो उपयोगकर्ताओं को ईथेरियम में पहले से बंधे अपने ईथर को लेकर स्टेकिंग रिवॉर्ड कमाने और इसे अन्य प्रोटोकॉल से अतिरिक्त आय कमाने के लिए प्रलेखन के रूप में पुनः उपयोग करने की अनुमति देती है। टोकन rsETH उपयोगकर्ता का उस रेस्टेक्ड ईथर पर दावा दर्शाता है। rsETH को ब्लॉकचेन के बीच स्थानांतरित करने के लिए, KelpDAO LayerZero का उपयोग करता है, जो एक क्रॉस-चेन ब्रिज कहलाने वाली बुनियादी ढांचा है, जो नेटवर्क के बीच संदेश पास करता है ताकि एक चेन पर जारी किया गया टोकन दूसरी चेन पर प्रदर्शित हो सके।
ब्रिज्स एक सेट पर निर्भर करते हैं जिसमें स्वतंत्र वेरिफायर्स होते हैं जो प्राप्त चेन द्वारा समकक्ष टोकन जारी करने से पहले प्रत्येक संदेश की प्रामाणिकता की पुष्टि करते हैं।
अप्रैल के हमले में, उनमें से केवल एक पुष्टिकर्ता ने एक झूठा संदेश स्वीकार किया, जिससे हमलावर को प्राप्त श्रृंखला पर बिना किसी वास्तविक ईथर के 116,500 rsETH जारी करने की अनुमति मिली।
उन टोकन को फिर Aave में जमा किया गया, एक ऋण प्रोटोकॉल जहाँ उपयोगकर्ता अपने जमा किए गए प्रतिभूति के खिलाफ उधार लेते हैं, और इसका उपयोग ऐसे ऋण लेने के लिए किया गया जिन्हें Aave तब वापस नहीं कर सका जब rsETH को बेकार पाया गया। Aave का अपना कोड ठीक वैसे ही काम किया जैसे डिज़ाइन किया गया था। यह स्वीकार की गई प्रतिभूति झूठी निकली क्योंकि इसे पहुँचाने वाली पुल प्रणाली संक्रमित हो चुकी थी।
जबकि लेयरज़ीरो ने इस महीने के शुरू में स्वीकार किया कि इसने "एक गलती की" थी, जब इसने अपने स्वयं के प्रमाणीकरण प्रणाली को एक-एक के आधार पर उच्च मूल्यवान संपत्तियों को सुरक्षित करने के लिए अनुमति दी, तो एएव का पोस्टमॉर्टम इस घटना का उपयोग करके डीफाई जोखिम प्रबंधन के व्यापक सुधार को औचित्य प्रदान करता है।
प्रोटोकॉल का तर्क है कि अस्थिरता, तरलता और स् की जांच पर केंद्रित पारंपरिक समीक्षाएं ब्रिज, प्रमाणीकरण नेटवर्क और अन्य ऐसी बुनियादी ढांचे द्वारा उत्पन्न जोखिमों को नहीं पकड़ पाईं जो एप्लिकेशन कोड के बाहर स्थित होते हैं।
स्मार्ट कॉन्ट्रैक्ट ऑडिट और वित्तीय जोखिम विश्लेषण के अलावा, एवी कहती है कि अब यह सुरक्षा बुनियादी ढांचे, ऑरेकल निर्भरताओं, तीसरे पक्ष के कॉन्ट्रैक्ट्स, संग्रहण व्यवस्थाओं, संचालन सुरक्षा अभ्यासों और द्वितीयक बाजार तरलता का मूल्यांकन करेगी, जिससे पहले यह सुरक्षा सूची में विस्तार या स्वीकृति करेगी।
प्रोटोकॉल नए स्वचालित सुरक्षा उपायों का निर्माण भी कर रहा है, जो जब सुरक्षित संपत्तियों में तनाव के संकेत दिखाई दें, तो तेजी से प्रतिक्रिया करने के लिए डिज़ाइन किए गए हैं। पोस्टमॉर्टम में बताए गए प्रस्तावों में से एक ऐसी प्रणाली है, जो पूर्वनिर्धारित जोखिम सीमाओं को पार करने पर स्वचालित रूप से किसी संपत्ति के ऋण-से-मूल्य अनुपात को शून्य पर ले जाएगी, जिससे हानि के फैलने से पहले इसकी उधार शक्ति समाप्त हो जाएगी।
दुर्घटना के बाद, Aave का कहना है कि उसके जोखिम प्रबंधक पहले ही V3 बाजारों में लगभग 295 पैरामीटर बदलाव किए हैं, जिसमें व्यक्तिगत संपत्तियों के प्रति जोखिम को सीमित करने के लिए 168 आपूर्ति-सीमा कम करने और 66 उधार-सीमा कम करने शामिल हैं।
जैसे-जैसे DeFi प्रोटोकॉल अधिक एकीकृत होते जा रहे हैं, Aave का पोस्टमॉर्टम सुझाव देता है कि उद्योग को न केवल उन संपत्तियों की समीक्षा करनी चाहिए जिन्हें वह सूचीबद्ध करता है, बल्कि उन संपत्तियों की बुनियादी ढांचे की भी समीक्षा करनी चाहिए जिन पर वे निर्भर करती हैं