Bankless：rsETH атака шокувала індустрію DeFi

Автор: Jack Inabinet, старший аналітик Bankless; переклад: @金色财经xz

Зі складнощами у криптовалютній індустрії, що бореться з останніми вразливостями у сфері DeFi, у всій галузі доводиться стикатися з питанням життя і смерті: Чи справді безпечні DeFi-додатки?

Минулого вихідних основний ринок криптовалютного кредитування зазнав найбільшої у цьому році атаки на вразливість у DeFi. Досвідчений зловмисник зламав міжланцюговий міст Kelp DAO, побудований на LayerZero, і незаконно створив 116 500 rsETH.

Ці новостворені (без реальної підтримки активів) токени вартістю близько 290 мільйонів доларів були згодом внесені до провідних кредитних протоколів, таких як Aave, і використані як застави для позичання сотень мільйонів доларів ETH, що призвело до виникнення безнадійних боргів і викликало кризу ліквідності у всій галузі.

1. Причини події

Атака розгорталася у два швидких етапи: зловмисник спершу успішно використав вразливість міжланцюгового мосту Kelp DAO на базі LayerZero, а потім через беззаставний rsETH зняв з Aave сотні мільйонів доларів.

Перший етап: Втрата захисту LayerZero

Міжланцюговий міст rsETH Kelp DAO залежить від інфраструктури передачі повідомлень LayerZero.

Ключова проблема полягає в тому, що: Kelp DAO при інтеграції використовував найнижчий рівень безпеки — конфігурацію 1/1 для децентралізованої верифікаційної мережі (DVN). Це дозволяло одному верифікатору, керованому LayerZero Labs, отримати повний дозвіл на передачу міжланцюгових повідомлень.

Хоча LayerZero у своїх аналізах після інциденту заявив, що попереджав про небезпеку використання такої мінімальної безпеки і рекомендував для високовартісних мостів застосовувати кілька валідаторів, протокол все ж дозволяв розгортання у конфігурації 1/1.

Більше того, близько 47% протоколів на LayerZero використовують саме цю конфігурацію.

Зловмисник скористався цією вразливістю, підробивши легальне міжланцюгове повідомлення, і змусив міст LayerZero, яким керує команда, безпосередньо створити 116 500 rsETH, що не мають реальної підтримки активів.

Хоча мультипідписний контракт Kelp DAO одразу заблокував основний контракт, вже було запущено процес, що неможливо було зупинити, і наслідки якого призвели до значних збитків…

Другий етап: Виведення ліквідності з Aave

Заволодівши токенами, зловмисник одразу ж почав масово вносити їх у Aave V3 (а також невеликі суми — у SparkLend, Fluid та інші платформи).

Завдяки цій фіктивній заставі, зловмисник зміг закласти без реальної вартості токени і позичити величезну суму WETH, що в підсумку спричинило понад 262 мільйони доларів безнадійних боргів для кредиторів Aave.

У відповідь на цю загрозу, досвідчені кредитори DeFi не чекали, поки борги з’їдять їхні позиції, а панічно почали виводити кошти у вихідні. Після атаки загалом було виведено понад 7 мільярдів доларів активів, з них лише Aave — 6,2 мільярда доларів, що становить близько 23% загальної заблокованої вартості (TVL).

Паніка на ринку призвела до того, що ставки застави на кількох ринках ETH, USDC і USDT у Aave V3 підскочили до 100%, а ліквідність фактично заблокована, і користувачі вже не можуть додатково знімати активи.

**2. **Поточна ситуація

Зі злиттям у криптовалютних кредитних ринках активів на сотні мільярдів доларів, ризики посилюються і накопичуються.

Депозитори не можуть керувати своїми позиціями через те, що їх застави вже позичені, а ставки, що залежать від рівня використання коштів, стрімко зростають, ускладнюючи боржникам ситуацію. Зі зростанням паніки і зменшенням ліквідності зростає й тривога щодо накопичення безнадійних боргів і поширення ризиків у DeFi.

Щоб обмежити збитки, керівництво Aave повністю заборонило торгівлю rsETH у V3 і V4. Однак це — лише реакція на інцидент, і до вирішення проблеми з великими боргами протоколу ще далеко.

**3. **Який подальший розвиток подій?

Заставний модуль Aave V3 наразі має 201 мільйон доларів у стабільних монетах і 56 мільйонів у WETH, ці кошти можна використати для погашення боргів, викликаних rsETH. Крім того, у безпековому модулі протоколу зберігається активів на 266 мільйонів доларів у токенах AAVE, які можна продати для покриття решти дефіциту.

Хоча масштаб цих резервів дозволяє, ймовірно, уникнути банкрутства і поглинути збитки, викликані вразливістю rsETH, ця подія викликає глибші побоювання щодо стійкості децентралізованих кредитних платформ.

Такі масштабні удари можуть знизити довіру користувачів до позичання — і навіть до використання заставних або безпекових модулів для ризиків — що може підірвати довіру до єдиної стратегії ліквідності, на якій базується Aave V3.

Криптоекономіка має будуватися на принципах стійкості і мінімізації довіри. Однак у гонитві за більш плавним досвідом користувача або більш яскравими функціями деякі команди йдуть на ризик, вводячи у систему вразливі точки — і крах LayerZero міжланцюгового мосту Kelp DAO із конфігурацією 1/1 є яскравим тому прикладом.

Ці події підкреслюють ризики недбалого проектування та напівцентралізованих систем, а також показують ціну, яку платять за спрощення ігнорування безпеки.

Якщо криптовалюта прагне виконати свої обіцянки, її творці мають відмовитися від вразливих архітектур і повернутися до пріоритету безпеки, а не покладатися на слабкі мультипідписні або однопідписні системи.