Aave wdrożył funkcję Tarcza po nieudanej transakcji o wartości 50 milionów dolarów. Co więcej, deweloperzy, wraz z CoW Swap, niedawno udostępnili swoje raporty techniczne szczegółowo opisujące incydent.
Zdecentralizowany protokół finansowy Aave uruchomił nowe narzędzie ochronne o nazwie Tarcza Aave.
Ta nowa funkcja bezpieczeństwa jest bezpośrednią odpowiedzią na incydent z zeszłego tygodnia, w którym użytkownik poniósł stratę przekraczającą 50 milionów dolarów, handlując aktywami za pośrednictwem interfejsu platformy. Operacja, jak zgłoszone Jak już wcześniej informowaliśmy, w ramach tego medium dokonano konwersji 50,4 mln jednostek aEthUSDT na tokeny AAVE, ale w rezultacie otrzymano jedynie 36 500 USD w tokenie zarządzania protokołem.
Specjaliści z branży określili tę tragiczną operację mianem jednej z największych porażek w historii zdecentralizowanych finansów, ujawniającej luki w zabezpieczeniach przepływu płynności i granice tolerancji obecnych interfejsów w obliczu skrajnie niepłynnych scenariuszy rynkowych.
Unikaj błędów: Obsługuj AAVE bezpiecznie tutajOperacja, w której boty przechwyciły miliony dolarów zysku
Niezależny raport opublikowany przez zespół CoW Swap potwierdził, że niepowodzenie w wyżej wymienionej transakcji wynikało z serii łańcuch błędów technicznychAnaliza wykazała, że system odpowiedzialny za weryfikację budżetów działał z limitem 12 milionów jednostek gazu, co stanowiło przestarzałą konfigurację, która nie zaspokajała już obecnych potrzeb konsumpcyjnych. To ograniczenie uniemożliwiało systemowi akceptowanie tras o lepszych cenach rynkowych, ponieważ były one automatycznie odrzucane z powodu przekroczenia ustalonego limitu.
Podczas dochodzenia twórcy odkryli, że tylko jeden solver, zidentyfikowany jako Solver A, przeszedł wstępne kontrole, mimo że jego oferta była znacznie niższa od rzeczywistej wartości rynkowej. Wkrótce potem inny uczestnik, znany jako Solver E, wygrał dwie kolejne aukcje z bardziej konkurencyjnymi trasami. Jednak transakcje te nigdy nie zostały zrealizowane w sieci głównej, co dodatkowo pogłębiło problem.
Raport ujawnił również, że system aukcyjny nie posiadał narzędzi do identyfikacji i korygowania tych wzorców błędów, co ostatecznie doprowadziło do najgorszego scenariusza. Analiza logów Etherscan wykazała, że transakcja mogła zostać przeniesiona z prywatnej do publicznej puli pamięci. Ten wyciek umożliwił botom specjalizującym się w maksymalnej wartości możliwej do wydobycia (MEV) wykorzystanie luki i przeprowadzenie ataku typu sandwich, generując szacowany zysk w wysokości prawie 10 milionów dolarów.
Bezpiecznie korzystaj z AAVE na Bit2Me: kliknij terazAave Shield, automatyczna ochrona zapobiegająca ekstremalnym stratom
Ze swojej strony, analiza kryminalistyczna opublikowane przez Aave, skupiające się na dynamika płynności wykorzystanych depozytówRaport wskazuje, że ostateczna trasa skierowała transakcję do puli SushiSwap o całkowitej płynności wynoszącej zaledwie 73 000 USD. Wstrzykując tak dużą kwotę na tak mały rynek, cena natychmiast spadła z powodu architektury zautomatyzowanych animatorów rynku (AMM).
Twórcy protokołu potwierdzili, że chociaż użytkownik otrzymał i ręcznie zaakceptował ostrzeżenie o „wysokim wpływie na cenę” w 99,9% przypadków na swoim urządzeniu mobilnym, zidentyfikowano potrzebę wdrożenia bardziej rygorystycznych barier zapobiegawczych.
W odpowiedzi na ten incydent firma Aave wdrożyła funkcję tarczy, która Domyślnie zablokuje każdą wymianę aktywów, której przewidywany wpływ na cenę przekroczy 25%.W takich przypadkach platforma uniemożliwi przeprowadzenie transakcji, chyba że użytkownik przejdzie do ustawień zaawansowanych i dobrowolnie wyłączy ochronę.
„Aave Shield zapewnia dodatkową warstwę ochrony zapobiegającą przypadkowym potwierdzeniom, jednocześnie umożliwiając zaawansowanym użytkownikom wykonywanie operacji bez konieczności uzyskiwania uprawnień”. Zespół Aave'a skomentował:
Jeśli chodzi o opłaty, Aave zrewidował pierwotne szacunki, ustalając rzeczywistą wysokość opłat za transakcję na 110 368 USD, obliczoną na podstawie stopy 25 punktów bazowych.
Chroń swoje fundusze: uzyskaj dostęp do kryptowalut z Bit2MeDebata na temat odpowiedzialności użytkowników i programistów w DeFi rozgorzała na nowo
Niedawna operacja, która pociągnęła za sobą wielomilionową stratę w ekosystemie DeFi, wywołała dyskusję między użytkownikami i twórcami oprogramowania na temat tego, jak daleko powinna sięgać odpowiedzialność każdej ze stron.
Według danych Arkham Intelligence, konstruktorowi bloków udało się wydobyć ETH o wartości około 34 milionów dolarów podczas przetwarzania bloku. Stało się to w okresie znacznej niestabilności protokołu, który zaledwie kilka dni wcześniej odnotował straty rzędu 26 milionów dolarów z powodu błędów konfiguracji w wyroczniach cenowych.
Audyty wewnętrzne przeprowadzone w obu projektach wykazały, że środki ochrony przed maksymalną wartością ekstrakcyjną (MEV) nie zdołały ograniczyć wpływu w ekstremalnych warunkach płynności. Narzędzia te zostały wdrożone z obietnicą większego bezpieczeństwa, ale wyniki dowiodły czegoś przeciwnego. CoW Swap przyznał, że jego system weryfikacji był ograniczonym mechanizmem w przypadku transakcji na dużą skalę.
Firma Aave ze swojej strony zdecydowała się na wprowadzenie bezpośrednich ograniczeń w swoim oprogramowaniu, aby zapobiec wystąpieniu podobnego zdarzenia w przyszłości.
Właściciel zaangażowanych środków nie skontaktował się dotychczas z zespołami deweloperskimi w celu odzyskania zablokowanej kwoty odpowiadającej prowizjom pobranym podczas transakcji ani w celu wszczęcia procesu mediacji technicznej.
Kliknij tutaj: uzyskaj dostęp, kup i zarządzaj kryptowalutami
