व्यापक निकासी के कारण:
- Aave V3/V4 और कई अन्य प्रोटोकॉल में $RSETH और $WETH सहित बाजारों का फ़्रीज़ होना
- LayerZero पर घृणा की लहर: हैक के 10 घंटे बाद टीम केवल लिख सकी: "हमें हैक के बारे में पता है और हम इसके कारण की तलाश कर रहे हैं"
- प्रोटोकॉल रुक जाते हैं LayerZero OFT ब्रिज के साथ काम करना।
$RSETH 20+ नेटवर्क में गारंटी के बिना रह गया।
मिखाइल एगोरोव (Curve) की टिप्पणी:
यह कहानी LayerZero से शुरू हुई, जिस पर एक चौथाई ट्रिलियन डॉलर की क्रिप्टोकरेंसी निर्भर है! तो क्या हुआ? आइए समझें।
Kelp का rsETH LayerZero ब्रिज का उपयोग करता है। ब्रिज रिसीथ को दूसरे नेटवर्क में और वापस भेजने की अनुमति देता है। rsETH को केवल Ethereum में मिंट किया जा सकता है, और दूसरे नेटवर्क में सभी rsETH की गारंटी mainnet-rsETH से होती है, जो ब्रिज में पड़ा है।
LayerZero में तथाकथित DVN का चयन किया जा सकता है। DVN ऐसे नोड्स हैं जो असल में दूसरे नेटवर्क से संदेश लाते हैं। 2-से-3 DVN की कॉन्फ़िगरेशन का मतलब होता है कि दो DVN को सहमत होना चाहिए कि "100,000 rsETH ईव को देना" वही है जो दूसरे नेटवर्क में मांगा गया था। और यहीं पर समस्या है: rsETH के लिए 1-से-1 DVN कॉन्फ़िगरेशन है—केवल एक DVN इस्तेमाल किया जाता है और पूरी तरह से विश्वास प्राप्त करता है (हालांकि यह LayerZero का मुख्य DVN है)। इसलिए उसने संदेश की पुष्टि की, जिसने हैकर को ब्रिज से पूरा rsETH देने की अनुमति दी, हालांकि यह कभी भी मूल नेटवर्क (इस मामले में—Unichain) में नहीं भेजा गया था।
जैसा कि आपने सुना होगा, मल्टीसिग के लिए 1-से-1 कॉन्फ़िगरेशन असुरक्षित होता है। यही बात DVN के साथ भी है। लेकिन यह वही आधिकारिक LayerZero DVN था—वह कैसे गलत संदेश की पुष्टि कर सकता था? क्या उसे हैक किया गया था? क्या उसे धोखा दिया गया था? हमें नहीं पता। लेकिन जब आप किसी एक तरफ़ पूरी तरह से भरोसा करते हैं—चाहे वह कोई भी हो—तो कुछ भी हो सकता है।
ठीक है, हैकर ने आधिकारिक LayerZero DVN को धोखा दिया और ढेर सारे rsETH प्राप्त कर लिए। अब क्या? हैकर के लिए सबसे फ़ायदेमंद बात यह थी कि वह rsETH को Aave में गिरवी रखे और वहां से पूरा संभव ETH उधार ले ले। और Aave rsETH के साथ रह गया, जिसे असल में बेचा नहीं जा सकता, और पूरी तरह से उधार लिए गए ETH के साथ, ताकि कोई भी ETH निकाल न सके। संभावित रूप से खराब कर्ज ~300 मिलियन का। हो सकता है कि नहीं—तकनीकी रूप से यह अभी भी गारंटीशुदा है, लेकिन Aave पर बैंक रन अभी चल रहा है।
तो इससे हम क्या निष्कर्ष निकाल सकते हैं?
* अलग-अलग ऋण, जैसे Aave में, बहुत जोखिम भरा है (हालांकि यह सबसे कम लागत वाला भी है!)। Aave v4 का हब-एंड-स्पोक मॉडल शायद कम जोखिम भरा है। Morpho भी। और Curve पर ऋण, जैसे Silo, शायद सबसे अलग—इस मामले में सबसे सुरक्षित है।
* ऋण प्रोटोकॉल धन रखने के लिए DEX से ज्यादा जोखिम भरे हैं। Curve पर USDC/USDT पूल केवल दो एसेट्स के प्रति पूल में एक्सपोज़र रखता है, जबकि Aave में सभी जोड़े गए एसेट्स के प्रति एक्सपोज़र है।
* प्रोटोकॉल ऋण में एसेट्स के ऑनबोर्डिंग के प्रति अधिक सावधानी बरतनी चाहिए। rsETH के लिए 1-से-1 DVN कॉन्फ़िगरेशन वास्तव में एक चूक है: इसे ऑनबोर्डिंग से पहले कम से कम 2-से-2 तक अपडेट करना चाहिए था।
* क्रॉस-चेन जटिल और संभावित रूप से खतरनाक है। क्रॉस-चेन इंफ्रास्ट्रक्चर का उपयोग केवल तभी करें जब यह बिल्कुल ज़रूरी हो, और इसे वास्तव में सावधानी से करें।
वैसे भी, मुझे लगता है कि DeFi इस घटना से सीखेगा और पहले से ज़्यादा मज़बूत होगा। क्रिप्टो एक कठोर वातावरण है, जिसमें कोई भी बैंक नहीं बच सकता—और फिर भी हम इसमें काम कर रहे हैं। परमिशनलेस इंफ्रास्ट्रक्चर को सुरक्षित रखने के लिए अतिरिक्त प्रयास की आवश्यकता होती है—और हम वह प्रयास कर रहे हैं!
TVL $26.4 बिलियन से घटकर $19.8 बिलियन हो गया
AAVE 17 अप्रैल के हाई से 25% गिर गया