Những điểm chính:
Aave đã khôi phục hoàn toàn 300 triệu USD thanh khoản cho các pool cho vay sau vụ khai thác cross-chain làm cạn kiệt tài sản thông qua token rsETH giả, huy động quỹ cứu trợ toàn ngành và đạt được lệnh tòa liên bang khẩn cấp để thay thế số vốn bị đánh cắp.
Aave đã khôi phục hoàn toàn thanh khoản cho các pool cho vay sau vụ khai thác cross-chain trị giá 300 triệu USD, huy động quỹ cứu trợ toàn ngành và đạt được lệnh tòa liên bang khẩn cấp để thay thế tài sản bị rút cạn, các nhà phát triển cho biết vào ngày 1 tháng 6.
"Việc phục hồi đòi hỏi sự phối hợp giữa Lido, Ether.fi, Ethena và Compound để hỗ trợ các vị thế bị xâm phạm," một phát ngôn viên của Aave Labs cho biết trong báo cáo hậu sự kiện.
Kẻ tấn công đã khai thác một cầu nối bên thứ ba do Kelp và Layerzero vận hành vào ngày 18 tháng 4, làm giả các thông điệp cross-chain để đúc 116.500 token rsETH giả. Tin tặc đã gửi số rsETH giả làm tài sản thế chấp trên nền tảng V3 của Aave trên Ethereum và vay 82.650 wrapped ether cùng 821 wrapped staked ether, làm suy yếu về mặt cấu trúc các pool thanh khoản cốt lõi của giao thức. Các nhà quản lý rủi ro đã đóng băng các thị trường bị ảnh hưởng để ngăn chặn làn sóng rút vốn dây chuyền trên nền tảng.
Sự kiện này đã phơi bày một lỗ hổng nghiêm trọng trong cơ sở hạ tầng cross-chain của DeFi — một vụ xâm phạm cầu nối đơn lẻ có thể rút cạn thanh khoản khỏi giao thức cho vay lớn nhất. Aave đã phản ứng với 295 bản cập nhật tham số riêng lẻ và một bộ ngắt mạch tự động loại bỏ giá trị tài sản thế chấp khỏi bất kỳ tài sản nào có cơ sở hạ tầng cross-chain bị vi phạm.
Gói Cứu Trợ 300 Triệu USD và Rào Cản Pháp Lý
Để bịt lỗ hổng, Aave Labs đã giúp huy động một liên minh khẩn cấp gồm các bên lớn trong ngành, bao gồm Lido, Ether.fi, Ethena và Compound. Cùng nhau, nhóm này đã cấu trúc một quỹ phục hồi trị giá 300 triệu USD để hỗ trợ các tài sản rsETH bị xâm phạm, đảm bảo rằng mỗi đô la tiền gửi của người dùng vẫn được đảm bảo đầy đủ bằng dự trữ xác thực.
Con đường khôi phục thanh khoản đã gặp trở ngại pháp lý vào ngày 1 tháng 5, khi các chủ nợ phán quyết trong một vụ án liên bang không liên quan có được lệnh tạm giữ đóng băng khoảng 71 triệu USD ether đã được thu hồi từ kẻ tấn công và dự kiến sẽ được bổ sung vào các pool của Aave. Aave đã nộp đơn yêu cầu khẩn cấp lên tòa án liên bang Hoa Kỳ vào ngày 4 tháng 5, và bốn ngày sau, thẩm phán đã ban hành sửa đổi cho phép chuyển ngay 71 triệu USD trở lại quyền quản lý của Aave. Các nhà phát triển đã chuyển số tiền vào các pool cho vay đang hoạt động của giao thức, khôi phục độ sâu thanh khoản cần thiết cho hoạt động thị trường an toàn.
295 Bản Cập Nhật Tham Số và Kiến Trúc Rủi Ro Mới
Với dự trữ vốn được bổ sung đầy đủ và các tham số thị trường trước vụ khai thác được khôi phục, Aave đã đại tu kiến trúc rủi ro của mình để cách ly thanh khoản khỏi các thất bại hệ thống từ bên thứ ba trong tương lai. Các nhà phát triển đã thực hiện 295 bản cập nhật tham số riêng lẻ, cắt giảm mạnh hạn mức vay và cung cấp trên 168 pool tài sản riêng biệt.
Giao thức cũng triển khai bộ ngắt mạch LTV0 tự động. Trong tương lai, nếu cơ sở hạ tầng cross-chain cơ bản của bất kỳ tài sản nào gặp sự cố bảo mật, hệ thống sẽ ngay lập tức loại bỏ giá trị tài sản thế chấp của tài sản đó, đảm bảo các token bị xâm phạm không thể được sử dụng để vay hoặc rút thanh khoản xác thực khỏi các thị trường của Aave.
Kẻ tấn công Kelp DAO, người được Chainalysis liên kết với Tập đoàn Lazarus của Triều Tiên, đã rửa phần lớn số tiền khoảng 220 triệu USD còn lại ngoài số tiền bị đóng băng, theo dõi trên chuỗi cho thấy. 71 triệu USD bị đóng băng trên Arbitrum hiện vẫn là pool chính được xác định có khả năng phục hồi.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.
