Aave、クロスチェーンエクスプロイト後に3億ドルの流動性を回復

Aaveは、偽造rsETHトークンを介したクロスチェーンエクスプロイトで資産が流出した後、貸出プールに3億ドルの流動性を完全に回復し、業界全体の救済基金を動員、さらに没収された資本を補充するため緊急の連邦裁判所命令を確保した。

開発者らが6月1日に発表したところによると、Aaveは3億ドル相当のクロスチェーンエクスプロイトを受けた後、貸出プールの流動性を完全に回復し、業界全体の救済基金を動員し、流出した資産を補充するための緊急連邦裁判所命令を確保した。

「この回復には、 compromised ポジションをバックストップするために、Lido、Ether.fi、Ethena、Compound全体での調整が必要でした」とAave Labsの広報担当者は事後分析で述べた。

攻撃者は4月18日、KelpおよびLayerzeroが運営するサードパーティブリッジを悪用し、クロスチェーンメッセージを偽造して116,500の偽造rsETHトークンを鋳造した。ハッカーは偽のrsETHをイーサリアム上のAave V3プラットフォームに担保として預け入れ、82,650のラップドイーサ（wETH）と821のラップドステークドイーサ（wstETH）を借り入れ、プロトコルの中核流動性プールを構造的に弱体化させた。リスクマネージャーは影響を受けた市場を凍結し、プラットフォームの資本に対する連鎖的な取り付け騒ぎを防いだ。

この事件は、DeFiのクロスチェーンインフラにおける重要な脆弱性を露呈した——単一のブリッジ侵害が最大のレンディングプロトコルから流動性を流出させ得るということだ。Aaveは295の個別パラメータ更新と、クロスチェーンインフラに侵害が発生したあらゆる資産から担保価値を剥奪する自動サーキットブレーカーを導入して対応した。

3億ドルのバックストップと法的ハードル

穴を埋めるため、Aave LabsはLido、Ether.fi、Ethena、Compoundを含む主要な業界プレーヤーの緊急連合の結成を支援した。このグループは協力して、 compromised rsETH資産をバックストップする3億ドルの回復基金を構成し、ユーザーの預金1ドルすべてが本物の準備金によって完全に担保された状態を維持することを保証した。

流動性回復への道のりは5月1日、無関係の連邦訴訟における判決債権者が、攻撃者から回収されAaveのプールに戻される予定だった約7,100万ドル相当のイーサを凍結する差し止め通知を取得したことで、法的障害に直面した。Aaveは5月4日に米連邦裁判所に緊急申し立てを行い、4日後に判事が修正命令を出し、7,100万ドルのAaveへの即時移管を許可した。開発者らは資金をプロトコルのアクティブな貸出プールに送金し、安全な市場運営に必要な流動性の深さを回復した。

295のパラメータ更新と新たなリスクアーキテクチャ

資本準備金が完全に補充され、エクスプロイト前の市場パラメータが復元された後、Aaveはリスクアーキテクチャを全面的に見直し、流動性を将来のサードパーティのシステム障害から保護した。開発者らは295の個別パラメータ更新を実行し、168の個別アセットプール全体で借入上限と供給上限を大幅に引き下げた。

プロトコルはまた、自動LTV0サーキットブレーカーを実装した。今後、任意の資産の基盤となるクロスチェーンインフラがセキュリティ侵害を経験した場合、システムは即座にその資産の担保価値を剥奪し、 compromisedトークンがAaveの市場から正当な流動性を借り入れたり流出させたりするために使用されることを防止する。

Kelp DAOの攻撃者は、Chainalysisが北朝鮮のLazarus Groupと関連付けており、その後、凍結された資金以外の約2億2,000万ドルの大部分をロンダリングしたことが、オンチーントラッキングで明らかになっている。Arbitrum上で凍結された7,100万ドルは、回収の可能性がある主要な特定済みプールとして残っている。

この記事は情報提供のみを目的としており、投資助言を構成するものではありません。