AaveのハックがDeFiの亀裂を暴露: なぜ監査されていない契約は時限爆弾なのか

Aaveは、$56,000の損失をもたらしたParaSwapRepayAdapter契約においてエクスプロイトを受けたばかりですが、真の問題はもっと深刻です。これはDeFiにおける単なる別のハッキングではなく、業界がなぜ同じ過ちを繰り返しているのかを映し出す鏡です。

起こったこと: クラシックな監査されていない契約

攻撃者はアダプターの「アービトラリーコール」のバグを悪用し、スワップでのプラススリippageを利用して余剰トークンを蓄積しました。資金はEthereum、Arbitrum、Polygon、Optimism、Avalanche間で移動されました($51k + $5k それぞれ)。QuillAuditsは数字を確認しました。

ここが皮肉なところ: Aaveはコアプロトコルが影響を受けなかったと急いで保証しました。確かに。しかし、その詳細を見ましたか？爆発した契約は正式に監査されたことがなかったのです。数十億ドルのTVLを管理するプロトコルが、周辺機器をレビューなしで放置しています。ルーキーの動きです。

背景：Aaveはそれほど異ならない

これは孤立したことではありません。2023年11月、Aaveは完全な透明性なしに特定のプールを一時停止しました。さらに、彼らは最近、リスク管理チーム(のGauntletを失いました。ハッキングされたフォークの前例があり、それはほぼ無視されていました。

そしてドラマが始まった：Eulerの創設者がAaveを公然と批判し、数年前に失われたEulerのハッキングを祝っている間にセキュリティのインシデントを軽視していると非難した)。皮肉なことに、両者は同じことに関与している。

なぜ全てのDeFiにとって重要なのか

このレッスンはAaveについてではありません。業界が基本的な衛生措置、すなわち厳格な監査、透明なコミュニケーション、安全性の共有基準なしにどのようにスケールアップしているかについてです。

EulerやLineaのようなプロトコルがここでリーダーシップを取る機会があります。監査だけでは不十分です。すべて—コアと周辺機器を監査する必要があります。何が悪かったのかを明確に伝える必要があります。そして、これらの無限の怠慢のサイクルを避けるためのベンチマークを確立するために協力する必要があります。

未来

DeFiは成長する必要があります。しかし、安全性を犠牲にしてはいけません。ユーザーは、自分の資金が監査された契約にあるかどうかを確認する必要はありません。それは標準であるべきです。これがポイントです。

免責事項: このコンテンツは情報提供を目的としています。DeFiは高いリスクを伴います。決定を下す前に専門家に相談してください。