Aave, 2026'nın en büyük DeFi soygunu ile ortaya çıkan gizli sistemik bir riski ortaya çıkardı: hatalı kredi kodu değil, güvenliği ihlal edilmiş bir çapraz zincir köprüsü. Ne oldu? - Nisan ayında, saldırganlar, kullanıcıların yeniden kullanılmış staked ETH'lerini temsil eden "restaked" bir ether tokenı olan KelpDAO'nun rsETH'sini, LayerZero köprüsü aracılığıyla çapraz zincir bir mesajı sahtekarlık yoluyla istismar etti. - LayerZero ağındaki tek bir doğrulayıcı, sahte mesajı onayladı ve saldırganın alıcı zincirde 116.500 adet desteklenmeyen rsETH üretmesine izin verdi. - Bu sahte rsETH tokenları, Aave v3'e teminat olarak yatırıldı ve Aave'nin tokenların değersiz olduğu ortaya çıktığında geri alamadığı yaklaşık 230 milyon dolarlık kredi verilmesine izin verdi. - Önemli olan, Aave'nin akıllı sözleşmeleri tasarlandığı gibi çalıştı; başarısızlık köprü doğrulama sürecinde meydana geldi. LayerZero, "yüksek değerli bir doğrulama kurulumunu tek bir yapıda çalıştırdığı için bir hata yaptı" şeklinde itiraf etti. Aave'nin tepkisi: genişletilmiş risk kriterleri ve daha hızlı savunmalar - Detaylı bir事后 analizde, Aave, V3'te listelenen tüm varlıkların tam bir incelemesini ve listeleme standartlarının yeniden yazılmasını duyurdu. Protokol, geleneksel değerlendirmelerin — volatilite, likidite ve akıllı sözleşme denetimleri — artık yeterli olmadığını belirtti. - İleride, teminat onayları, çapraz zincir ve çapraz protokol altyapısını açıkça değerlendirecek: köprü güvenliği ve doğrulama modelleri, oracle bağımlılıkları, muhafaza düzenlemeleri, üçüncü taraf sözleşmeleri, operasyonel güvenlik ve ikincil piyasa likiditesi, finansal ve kod riskleriyle birlikte. - Aave ayrıca varlıkların zorlanma durumunda hızlıca harekete geçecek otomatik korumalar geliştiriyor. Önerilen önlemlerden biri, önceden tanımlanmış risk eşiği aşıldığında bir varlığın kredi/değer oranı (LTV) sıfıra düşürülmesidir; bu da kayıpların yayılmasından önce kredi alma gücünü tamamen kaldıracaktır. Hemen alınan risk yönetimi adımları - Soygundan bu yana, Aave'nin risk ekibi V3 piyasalarında yaklaşık 295 parametre değişikliği uyguladı; bunlar arasında 168 teslimat limiti azaltma ve 66 ödünç alma limiti azaltma yer alıyor. Neden bu önemli? - Olay, köprüler, mesajlaşma ağları ve diğer çapraz zincir dış doğrulayıcılar gibi giderek birbirine bağlı DeFi altyapısının, geleneksel akıllı sözleşme odaklı incelemelerin kaçırabileceği saldırı yüzeyleri yaratabileceğini vurguluyor. - Aave'nin yeniden yapılandırması, daha geniş bir endüstri değişimini işaret ediyor: protokoller artık sadece token sözleşmelerini değil, bu tokenların bağlı olduğu dış altyapıyı da değerlendirmek zorunda kalacak. DeFi daha bileşik hale geldikçe, bu bağımlılıklar sistemik riski ölçmede merkezi hale gelecek. Sonuç: Soygun, bir uyandırıcı oldu. Aave, çapraz zincir ve operasyonel tehditleri dikkate alan teminat incelemelerini ve otomatik güvenlik mekanizmalarını geliştirmek için bunu kullanıyor — bu model diğer protokollerin yakında takip etmek zorunda kalacağı bir model olabilir.
Aave, LayerZero Köprüsü aracılığıyla 230 milyon dolarlık rsETH hırsızlığından sonra teminat kurallarını sıkılaştırıyor
ChainGPTPaylaş
Özet
Aave, KelpDAO’nun rsETH tokenuyla ilgili 230 milyon dolarlık bir DeFi sızıntısının ardından kripto para kurallarını güncelledi. Saldırganlar, LayerZero köprüsü aracılığıyla sahte çapraz zincir mesajı kullanarak 116.500 desteklenmeyen rsETH tokenı çıkarttı ve bunları Aave v3’e teminat olarak yatırdı. Protokolün akıllı sözleşmeleri doğru şekilde çalıştı, ancak bu ihlal, köprü doğrulama mekanizmalarındaki zayıflıkları ortaya çıkardı. Aave, şimdi köprü güvenliği ve oracle bağımlılıkları gibi dışsal riskleri ele almak için varlık listeleme standartlarını gözden geçiriyor. Protokol, hassas varlıklara maruziyeti azaltmak için zaten 295 parametre değişikliği yaptı.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.