Бұл мақала жаңартылып, «290 млн доллар rsETH эксплойты ықтимал Aave V3-тің WETH резервінде жаман қарыз қалдырды» деп түзетілді. Оқиға әлі жалғасуда, әрі қарай ақпарат түскен сайын мақала толықтырылып отырады.
Aave V3-тің оралған эфир (WETH) резерві кейін шабуылдаушылар KelpDAO-ның rsETH сұйық қайта стейкинг токенін пайдаланып, оны кепілге қойып, несиелеу протоколынан қарыз алғаннан кейін жаман қарызбен қалып отыр.
Solidity әзірлеушісі әрі аудитор 0xQuit Х платформасында жағдайға назар аударып, депозит салушыларға WETH қоры тиімді түрде сапасыз күйге түскенін және Aave-дің Umbrella резерві тапшылықты жапқаннан кейін ғана ішінара алуға мүмкіндік тууы ықтимал екенін ескерткен.
RsETH ағызып алынуы Aave-де жаман қарызды қалай туындатты
Эксплойт шабуылдаушының Tornado Cash арқылы бірнеше әмиянға қаражат аударуынан басталды. KelpDAO-дан шамамен 116 500 rsETH ағызып алынды, яғни 290 млн доллардан астам сома.
Шабуылдаушы ұрланған rsETH-ті Aave V3-ке кепілге салып, оған қарсы үлкен көлемде WETH қарызға алды.
RsETH ағызып алынғаннан кейін нақты қамтамасыз етілуін жоғалтқандықтан, соның салдарынан қалыптасқан позициялар іс жүзінде жойылмайтын болып қалды. Бұл Aave-ді WETH бойынша қайтара алмайтын міндеттемесінде қалдырды, өйткені қалыпты жолмен жою мүмкін емес.
«Жақсы жаңалық жеткізем десем де, aave-дегі WETH нашар жағдайда секілді. Егер үлгерсеңіз, шешіп алыңыз, бірақ, сірә, тым кеш болуы ықтимал», – деп ескертті Solidity әзірлеушісі әрі аудитор 0xQuit.
Aave V3 және Aave V4 платформаларындағы rsETH нарықтары уақытша тоқтатылды, ал Aave келісімшарттарға эксплойт жасалмағанын, оқиғаның тек rsETH-ке қатысы бар екенін растады.
«RsETH нарықтарын мұздату жаңа депозиттер мен rsETH кепіліне қарсы қарыз алуды уақытша тоқтатты, ал жағдайға талдау жасалуда. Біз эксплойттан кейін Aave-де орын алған rsETH-backed займдарды тексеріп жатырмыз… егер осы оқиғадан протоколда жаман қарыз пайда болып жатса, Umbrella активтері тапшылықты жабу үшін қолданылуы мүмкін», – деп хабарлады Aave.
Umbrella WETH депозит салушылар үшін нені білдіреді
2025 жылдың соңында ескі Safety Module-ді алмастырған Aave-дің Umbrella жүйесі тура осындай жағдайға арнап жасалған еді.
Umbrella құлпына aWETH стейкинг жасаған пайдаланушылар тапшылықты жабу үшін автоматты кесімге тап болады.
Кесім процесі аяқталғаннан кейін қалған WETH жеткізушілері ішінара алу мүмкіндігін қайта иеленуі керек.
Алайда, толық қалпына келуіне кепілдік жоқ, депозит салушыларға позициялары бойынша шығынға ұшырау қауіпі бар.
Осы оқиға Umbrella-ның автоматтандырылған жаман қарызды жабу жүйесінің алғашқы елеулі шынайы сынағы саналады. Сонымен қатар, сұйық қайта стейкинг токендерін несиелеу протоколдарында кепіл ретінде whitelist-қа енгізу тәуекелдері жөнінде жаңа сұрақтар туындатып отыр.
Сол уақытта, токенделген активтерді басқаруға арналған кастодиандық емес қоймаларды ұсынатын Upshift командасы пайдаланушыларға олардың rsETH-ке ешқандай байланысы жоғын жеткізді.
«RsETH-ке қатысты ықтимал эксплойт туралы KelpDAO-мен байланыстамыз. Алдын-алу үшін Kelp командасы зерттеу жүргізу кезінде High Growth ETH және Kelp Gain қоймаларына депозит салуды және шешуді уақытша тоқтатты. Upshift USDC, Core USDC және EarnAUSD қоймалары rsETH-ке толықтай тәуелсіз. Kelp командасынан қосымша ақпарат алған сәтте, жаңалықтармен бөлісетін боламыз», – деп жазды Upshift командасы.
