Эксплойт, приведший к потере $230 млн в токенах rsETH, заставил протокол Aave
AAVE$80.30-1.37% кардинально пересмотреть свои стандарты листинга активов. Официальный разбор инцидента показал, что уязвимость крылась не в смарт-контрактах, а в сбое верификации кроссчейн-моста LayerZero
ZRO$1.15+2.03%.
Уязвимость LayerZero привела к потере $230 млн из пула Aave
Согласно опубликованному постмортему, атакующий воспользовался ошибкой в механизме проверки транзакций моста LayerZero, который отвечает за перемещение активов между разными блокчейнами. Это позволило злоумышленнику вывести средства из пула ликвидности Aave, где были размещены токены rsETH — ликвидный стейкинг-дериватив (производный инструмент, представляющий заблокированные в стейкинге активы) от протокола Kelp DAO.
ETH$1,989.09-0.57%
Напомним, что апрель стал худшим месяцем для DeFi за 4 года: взломы происходили 27 из 30 дней.
Инцидент вскрыл новую категорию рисков для DeFi (децентрализованных финансов): уязвимости инфраструктурных решений, обеспечивающих взаимодействие между сетями. Ранее основное внимание уделялось багам в коде самих протоколов.
Новые стандарты листинга Aave: что изменится для токенов
В ответ на произошедшее команда Aave анонсировала масштабный пересмотр процедуры добавления новых активов на платформу. Ключевые изменения включают:
- Ужесточение требований к аудиту безопасности для любых мостов и кроссчейн-решений, используемых токеном-кандидатом.
- Обязательную проверку механизмов верификации LayerZero и аналогичных протоколов интероперабельности (способности разных блокчейнов обмениваться данными).
- Введение дополнительных тестов на устойчивость к атакам, имитирующим сценарии сбоя мостов.
Эти меры направлены на то, чтобы исключить повторение ситуации, когда уязвимость внешнего сервиса ставит под угрозу средства пользователей Aave.
Взлом rsETH показал: риски DeFi больше не ограничиваются багами в смарт-контрактах — инфраструктурные мосты стали новой целью для атак.
Почему этот взлом меняет правила игры для DeFi
Случай с rsETH стал крупнейшим взломом в DeFi за последние месяцы. Он подчёркивает растущую сложность экосистемы, где протоколы всё сильнее зависят друг от друга и от сторонних сервисов. Для инвесторов это сигнал: при оценке рисков конкретного DeFi-проекта теперь необходимо учитывать не только его собственный код, но и безопасность используемых мостов.
Хотя инцидент напрямую не связан с юрисдикцией России или СНГ, он затрагивает всех участников рынка, работающих с кроссчейн-активами. В регионе активно используют подобные мосты для доступа к ликвидности разных блокчейнов, и осознание новых рисков становится критически важным для сохранения капитала.
Aave — один из крупнейших кредитных протоколов в DeFi с многомиллиардным TVL (суммарной стоимостью заблокированных активов). Его решение ужесточить стандарты может стать прецедентом для всей индустрии.
Новые правила Aave, скорее всего, приведут к замедлению процесса листинга токенов, использующих кроссчейн-инфраструктуру. Однако это плата за повышение безопасности: протокол явно делает ставку на доверие пользователей, а не на скорость добавления активов.
Остаётся открытым вопрос, последуют ли примеру Aave другие крупные DeFi-платформы. Если да, то рынок ждёт волна пересмотра стандартов безопасности, что может временно снизить количество новых листингов, но в перспективе укрепит всю экосистему.