Aave пересматривает правила листинга после хака на $230 млн rsETH

Aave пересматривает правила листинга после эксплуатации rsETH на $230 млн, выявив уязвимости мостов Aave запустила всесторонний обзор всех активов V3 и пересматривает свои стандарты листинга после эксплуатации rsETH на $230 млн в апреле — крупнейшей атаке DeFi в 2026 году, которая показала, что слабым звеном может быть межсетевая инфраструктура вокруг токена, а не собственный код протокола кредитования. Что произошло: - Эксплуатация началась с rsETH от KelpDAO — токена «перестейкинга» эфира, представляющего претензию на ETH, который пользователи поставили и повторно использовали в качестве залога для получения дополнительной доходности. - Для перемещения rsETH между сетями KelpDAO полагалась на LayerZero — межсетевую систему обмена сообщениями/мост, использующую несколько верификаторов для проверки сообщений. В данном инциденте один верификатор одобрил поддельное сообщение. - Это одобрение позволило злоумышленнику создать 116 500 rsETH без реального резервирования ETH. Злоумышленник затем внес эти токены в Aave и взял кредиты, которые протокол не смог вернуть, как только выяснилось, что rsETH не имеет никакой ценности. - Анализ инцидента Aave подчеркивает, что смарт-контракты Aave работали так, как и задумывалось; корневая причина — сбой верификации моста. LayerZero признала, что «допустила ошибку», полагаясь на конфигурацию верификации «один из одного» для активов высокой стоимости. Реакция Aave и новые правила: - Aave заявила, что переработает стандарты листинга залога, чтобы выходить за рамки классических проверок (волатильность, ликвидность, аудит смарт-контрактов) и явно оценивать внешнюю инфраструктуру, от которой зависят токены. - Новые критерии оценки будут включать безопасность мостов и модели верификации, зависимости от оракулов, сторонние контракты и кастодианы, операционную безопасность и ликвидность на вторичном рынке. - Aave также разрабатывает автоматизированные механизмы защиты для более быстрой реакции при признаках distress актива. Одним из предложенных мер является автоматическое снижение коэффициента кредитования актива до нуля при превышении заданных порогов риска, что блокирует возможность займа до того, как потери начнут распространяться. - Оперативно команда рисков Aave уже внесла около 295 изменений параметров на рынках V3 после эксплуатации — включая 168 снижений лимитов предложения и 66 сокращений лимитов займа — чтобы ограничить экспозицию по отдельным активам. Почему это важно: - Инцидент подчеркивает более широкий урок для DeFi: по мере усиления взаимосвязанности протоколов межсетевая и внешняя инфраструктура (мосты, релейеры, сети верификации) должна рассматриваться как первичный вектор риска наряду со смарт-контрактами и рыночным риском. - Переход Aave к оценке инфраструктуры при листинге и более быстрым автоматизированным защитным мерам может установить новый отраслевой стандарт для того, как платформы кредитования проверяют и управляют залогом, зависящим от сторонних систем. Итог: Эксплуатация rsETH не нарушила код Aave — она нарушила мост. Анализ инцидента Aave утверждает, что решение — это не просто патчи, а фундаментальный пересмотр того, как DeFi измеряет и реагирует на риски по всему стеку.