Причини масових відтоків:
- Замороження ринків з $RSETH і $WETH у Aave V3/V4 та багатьох інших протоколах
- Хвиля хейту LayerZero: команда через 10 годин після злому змогла написати лише: «Ми в курсі злому і шукаємо причину події»
- Протоколи призупиняють роботу з мостом LayerZero OFT.
-$RSETH у 20+ мережах залишилися без забезпечення.
Коментар Михайла Єгорова (Curve):
Ця історія почалася з LayerZero, на який покладається крипта вартістю в чверть трильйона доларів! Так що ж сталося? Давайте розберемося.
rsETH від Kelp використовує міст LayerZero. Міст дозволяє переводити rsETH в інші мережі та назад. Мінти rsETH можна лише в Ethereum, а весь rsETH в інших мережах забезпечений mainnet-rsETH, що лежить у мості.
У LayerZero можна вибирати так звані DVN. DVN — це вузли, які по суті приносять повідомлення з іншої мережі. Конфігурація 2-з-3 DVN означала б, що два DVN мають погодитися з тим, що «видати 100 000 rsETH Єві» — саме це було запитано в іншій мережі. І ось тут проблема: у rsETH конфігурація 1-з-1 DVN — використовується і повністю отримує довіру лише один DVN (хоча це і основний DVN LayerZero). Тож він підтвердив повідомлення, що дозволило віддати хакеру весь rsETH з мосту, хоча це ніколи не надсилали в початковій мережі (в даному випадку — Unichain).
Як ви, напевно, чули, конфігурація 1-з-1 для мультісигів — річ небезпечна. Те ж саме і з DVN. Але це був ТОТ САМІЙ офіційний DVN LayerZero — як він міг підтвердити неправильне повідомлення? Його зламали? Його обманули? Ми не знаємо. Але все може статися, коли ти довіряєш одній-єдиній стороні — ким би вона не була.
Ну добре, хакер обманув офіційний DVN LayerZero і отримав купу rsETH. Що далі? Найвигіднішим для хакера виявилось закласти rsETH у Aave і взяти там весь можливий ETH. І Aave залишився з rsETH, який по суті неможливо продати, і з максимально зайнятим ETH, тож ніхто не може вивести ETH. Потенційно важкий борг розміром ~300 млн. Може і ні — технічно це все ще забезпечене, але банківська паніка в Aave зараз відбувається.
Такі висновки ми можемо зробити з цього?
* Неізольоване кредитування, як у Aave, дуже ризикове (хоча воно й найбільш капіталоефективне!). Aave v4 з моделлю hub-and-spoke, ймовірно, менш ризикове. Morpho теж. А кредитування на Curve, як і Silo, ймовірно, найбільш ізольоване → найбільш безпечне в цьому плані.
* Протоколи кредитування більш ризикові для розміщення коштів, ніж DEX-и. Пул USDC/USDT на Curve має експозицію лише до двох активів у пулі, а Aave має експозицію до всіх доданих туди активів.
* До онбордування активів у протоколи кредитування потрібно ставитися уважніше. Конфігурація 1-з-1 DVN для rsETH — це справді промах: її слід було оновити принаймні до 2-з-2 перед онбордуванням.
* Крос-чейн — це складно і потенційно небезпечно. Використовуйте інфраструктуру крос-чейну лише тоді, коли це абсолютно необхідно, і робіть це ДЕЙСТВИТЕЛЬНО обережно.
У будь-якому випадку, я думаю, DeFi винесе уроки з цього інциденту і стане сильнішим, ніж був. Крипта — це жорстке середовище, в якому жоден банк не вижив би, — а ми тим не менше працюємо в ньому. Безперешкодна інфраструктура потребує надзвичайних зусиль, щоб бути безпечною, — і ми ці зусилля докладаємо!
TVL впав з $26,4 млрд до $19,8 млрд
AAVE впав на 25% від максимумів 17 квітня