Bu yapısal açıklık, Kelp DAO köprüsünden gelen sahte bir çapraz zincir mesajının Aave'de milyarlarca dolarlık kötü borç yaratmasına neden oldu, ancak bu açıklık 48 saat içinde kendi ilacını da üretti: DeFi protokol ittifakı acil bir çıkış yolu başlattı.
Fluid, bir DeFi merkezi olmayan borsa ve kredi protokolü, katılın ve Aave üzerindeki ETH yatırımcıları ile döngüsel katılımcılar için, doğrudan çekim kullanılamadığında WETH pozisyonlarını satma yöntemi geliştirmek amacıyla diğer DeFi protokolleriyle iş birliği yapıyor; tamamen protokolden ayrılabilir veya başka bir teminat türüne geçebilirler.Kelp DAO açıklığı 290 milyon dolarlık kayba neden oldu.
Kurtarma Protokolü gerçek zamanlı verilere göre, Aave, başlatıldıktan sonraki ilk 48 saat içinde dondurulmuş WETH havuzundan 58.510 aWETH, yaklaşık 136 milyon ABD doları işlemi gerçekleştirdi.Dune panosu Fluid yayınlanıyor.
Bu protokol, 18 Nisan'da Kelp DAO'nun rsETH köprü uyumlu cihazının saldırıya uğraması sonrası Aave'de ETH kullanım oranının %100'e ulaşması durumuna karşı 24 saatten kısa bir sürede oluşturuldu.
Çalışma prensibi
Bu altyapı, Aave ETH kredi verenlerinin aWETH'yi tek bir işlemle wstETH veya weETH teminatına çevirmesini sağlıyor; 1.000 aWETH için çevirim indirimi yaklaşık %2,21. per 1inch ortak kurucusu Sergej Kunz ikinci el piyasa üzerinden erken çıkış işlem fiyatı, nominal değerin yaklaşık %23 altındaydı.
İki kullanıcı senaryosunu destekler: Kredi verenler için, aWETH, teminat olarak wstETH ve weETH'e dönüştürülür. Kullanıcılar ardından varlıklarını çekebilir. Kredi alanlar için, teminat ETH'den wstETH veya weETH'e dönüştürülür. Borç değişmez; kullanıcılar, önceki pozisyonlarından çıkabilir veya Aave'de getiri sağlayan teminatları koruyabilir.
Kredi verenler, aWETH'yi Fluid'in Lite ETH kasanına yatırarak wstETH veya weETH karşılığı alır. Kasa, aldığını aWETH'yi Aave'deki kısmi WETH borcunu ödemek için kullanır ve böylece WETH'nin Aave havuzundan ayrılması gerekmeden borç kaldırılır. Bu netleştirme mekanizmasının çalışmasının nedeni, Fluid'in Aave WETH pazarının en büyük tek kullanıcı olması ve Lite kasasının döngüsel pozisyonunun yaklaşık 1,5 milyar dolarlık ETH borcuna karşılık gelmesidir.
Fluid, bu ödenmesi gereken borcu üstlendiği için, protokol yeni bir yön riski almamıştır. Sadece bir LST teminat talebini başka birine değiştirmiştir; kredi verenler daha küçük kayıplarla çıkarken, kasa, arzı sınırlı piyasalardaki kredi maruziyetini azaltmıştır.
Lido Finance, Ether.fi, 0x Protocol, 1inch ve KyberNetwork bu protokolü kullanıyor. Lido ve Ether.fi LST likiditesini sağlıyor, 1inch ön uç geliştirme sorumluluğunu taşıyor, 0x ve Kyber ise sipariş yönlendirme görevini üstleniyor. Aave DAO tarafından önerilen çekim kılavuzu, sıkışan WETH tedarikçilerinin Fluid yönlendirmesini kullanmasını sağlıyor.
Fluid kurucusu ve baş mühendisi Samyak Jain, bir açıklama ile şunu söyledi: “Aave üzerindeki ETH kullanım oranı %100'e ulaştı, kredi verenlerin başka seçeneği kalmadı. Fluid, birkaç saat içinde altyapıyı kurdu ve ETH kredi verenlerini büyük ölçekli olarak destekleyebilir durumda.”
Kelp DAO güvenlik açıkları bağlamı
18 Nisan'da, bir saldırgan, Kelp DAO'nun LayerZero tabanlı rsETH köprü uyumlu arayüzündeki bir açıklığı kullanarak, dolaşımdaki arzın %18'ini oluşturan ve Ethereum tarafında karşılığı olmayan 116.500 rsETH yaratmış ve bu kilitlenmemiş rsETH'leri Aave V3 ve V4 platformlarında teminat olarak kullanarak yaklaşık 236 milyon dolar değerinde WETH ödünç almıştır; ardından piyasa donmuştur.
Kredi verenlerin kötü alacak onayı öncesi fon çekme girişimleri nedeniyle, Aave'de WETH kullanım oranı birkaç saat içinde %100'e ulaştı ve pasif çekimlere izin veren kredi mekanizmasını bozdu. Değişken kredi faiz oranları üç basamaklı seviyelere yükseldi ve WETH, ikinci el piyasada indirimli fiyatlara个交易 başladı.
Aave'in risk ekibi, 20 Nisan raporunda olay raporu’na göre, yetersiz teminatlı rsETH L2 uyumlu cihazlara yapılan taleplerin nasıl dağıtıldığına dayanarak, kötü borç modeli 123,7 milyon dolar ile 230,1 milyon dolar arasında tahmin edilmektedir.
Kelp DAO ve LayerZero, sorumluluk konusunda hâlâ anlaşamıyor. Kelp, 19 Nisan'da yaptığı açıklamada, köprüde kullanılan 1:1 DVN yapılandırmasının LayerZero'nun hızlı başlangıç kılavuzunda kayıtlı varsayılan yapılandırma olduğunu ve Kelp'in L2 genişlemesi sırasında LayerZero ekibinin bu yapılandırmanın uygunluğunu tekrar doğruladığını savunuyor. LayerZero ise bu güvenlik açıklamasını Kuzey Kore ile bağlantılı Lazarus Group'un TraderTraitor alt grubuna atfediyor ve yeni OFT dağıtımlarının 1:1 DVN yapılandırmasını artık izin vermeyeceğini belirtiyor.
Kombine edilebilirlik boyutu
Bu mimari özellik, açıkların Aave, Compound, Fluid ve diğer borsalara yayılmasına neden olurken, aynı zamanda geri ödeme protokolünün bir günden daha kısa sürede kurulmasını mümkün kılar. aWETH, standartlaştırılmış bir alım belgesidir; wstETH ve weETH ise standartlaştırılmış likidite destekleme tokenlarıdır (LST). Aave’in “repaywithAtokens” işlevi açık ve izinsizdir; agregatörler herhangi bir borsadan likidite sağlayabilir. Fluid’in süreci, yönetim oylaması, kasa fonlarının kullanılması veya yeni karşı taraf ilişkileri kurmadan bu temel unsurları bir araya getirir.
Bu protokol, Aave modelinin tahmin ettiği kötü kredileri azaltmaz, saldırganın kredi alma davranışını tersine çevirmez ve LayerZero ile Kelp arasındaki anlaşmazlığı etkilemez. Bu, sosyalleştirme sonucunu beklemek zorunda kalan veya daha büyük bir piyasa indirimi kabul etmek zorunda kalan kredi verenlere ayrı bir çıkış yolu sunar.
Fluid şirketi, kapasitesinin yeterli olduğunu ve daha fazla ortakla görüşmelerde bulunduğunu belirtti.