Aave、$230MのrsETH攻撃でブリッジの脆弱性が露呈した後、上場ルールを再定義 Aaveは、4月の$230M rsETH攻撃(2026年最大のDeFi攻撃)を受けて、すべてのV3アセットを包括的に見直し、上場基準を全面的に見直した。この攻撃は、貸し出しプロトコル自体のコードではなく、トークン周辺のクロスチェーンインフラが最も弱いリンクであることを示した。 発生した事象 - 攻撃の原因はKelpDAOのrsETH——ユーザーがステーキングし、コラテラルとして再利用して追加収益を得ることを示す「リステーキング」されたイーサリアムトークン——だった。 - rsETHを複数チェーン間で移動させるために、KelpDAOは複数の検証者を使ってメッセージを検証するクロスチェーンメッセージ/ブリッジシステムであるLayerZeroに依存していた。この事案では、単一の検証者が偽のメッセージを承認した。 - この承認により、攻撃者は実質的なETHバックアップなしに116,500 rsETHを発行することに成功。その後、これらのトークンをAaveに預け、プロトコルがrsETHが無価値であると判明した後、回収できないローンを引き出した。 - Aaveの事後分析では、Aaveのスマートコントラクトは意図通りに機能していたと強調され、根本原因はブリッジの検証失敗であった。LayerZeroは「高価値アセットに対してワンオブワン検証構成を採用した」として「誤りを犯した」と認めた。 Aaveの対応と新基準 - Aaveは、従来のチェック(変動率、流動性、スマートコントラクト監査)を超えて、トークンが依存する外部インフラを明示的に評価するよう、コラテラル上場基準を見直すと発表した。 - 新たな評価項目には、ブリッジセキュリティと検証モデル、オラクル依存性、サードパーティ契約および Custodian、運用セキュリティ、セカンダリーマーケット流動性が含まれる。 - また、Aaveはアセットに異常が生じた際に迅速に対応する自動防御機能を構築中。提案されている対策の一つは、事前に定義されたリスク閾値を超過した場合、自動的にアセットの貸出価値比率をゼロに下げ、損失の連鎖を防ぐために借入力を遮断するものである。 - 運用面では、Aaveのリスクチームはすでに攻撃後、V3マーケット全体で約295のパラメータ変更を実施。そのうち168件が供給上限引き下げ、66件が借入上限引き下げであり、個別アセットへの露出を制限している。 なぜ重要か - この事象はDeFi全体に広い教訓をもたらす:プロトコルがより相互接続されるにつれ、オフチェーンおよびクロスチェーンインフラ(ブリッジ、リレイヤー、検証ネットワーク)は、スマートコントラクトや市場リスクと同様に第一級のリスクベクターとして扱われるべきである。 - Aaveのインフラ認識型上場基準と迅速な自動防御への移行は、サードパーティシステムに依存するコラテラルを貸し出しプラットフォームがどのように検証・管理すべきかという新たな業界標準を確立する可能性がある。 要約:rsETH攻撃はAaveのコードを破壊したのではなく、ブリッジを破壊した。Aaveの事後分析は、単なるパッチではなく、DeFiがスタック全体にわたるリスクを測定・対応する方法の根本的な見直しが解決策であると主張している。
Aave、2億3000万ドルのrsETH不正アクセス後、上場ルールを全面見直し
ChainGPT共有
概要
Aaveは、2026年4月にrsETHを用いた2億3000万ドルのDeFi攻撃を受けて、上場ルールを更新しました。この攻撃は、不完全なブリッジ検証を利用して116,500 rsETHを発行し、無担保ローンを引き起こしました。Aaveは、自社のスマートコントラクトに問題はなく、ブリッジの失敗が原因であると確認しました。これに対応して、プロトコルは担保基準を見直し、ブリッジおよびオラクルのチェックを追加し、自動防御を導入します。この動きは、取引所の上場情報とともに、DeFiセキュリティ対策の強化が注目されている中で行われています。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。