Взлом Aave выявляет недостатки в безопасности DeFi: критические уроки для неаудированных протоколов

Что на самом деле произошло?

Aave, крупнейшая платформа децентрализованных кредитов в экосистеме, подверглась атаке на свой периферийный контракт ParaSwapRepayAdapter. Удар был хирургическим: около $56,000 украдено, но центральный протокол остался нетронутым. Беспокоит не сумма, а урок безопасности, который она оставила.

Числа бедствия:

• Общие потери: $56,000 (~$51,000 на Ethereum, Arbitrum, Polygon, Optimism + $5,000 на Avalanche)
• Затронутые сети: 5 блокчейнов, затронутых одновременно
• Критический фактор: Контракт никогда не проходил формальную аудиторскую проверку

Как сработал эксплойт

Злоумышленник воспользовался тремя уязвимостями в цепочке:

1. Ошибка произвольного вызова - Манипулировал логикой контракта для выполнения несанкционированных транзакций
2. Положительный проскальзывание - Извлек избыточные токены во время обменов в DEX.
3. Отмывание денег - Переместил украденные активы на адреса, которые усложнили отслеживание

Это было жестокое демонстрация того, почему неаудированные периферийные контракты являются ахиллесовой пятой DeFi.

Ответ Aave ( и его ограничения )

Делегаты по управлению быстро успокоили:

• “Ядро в безопасности”
• “Это был всего лишь периферийный контракт”
• “Средства пользователей не подвергались опасности”

Технически правильно. Стратегически недостаточно.

Это не был первый испуг. В ноябре 2023 года некоторые пулы были приостановлены без полной прозрачности, что подогрело подозрения среди пользователей о том, что еще может скрываться.

Холодная война между Aave и Euler

Взлом возобновил спящие напряженности.

Основатель Euler обвинил Aave в уменьшении собственных проблем с безопасностью, пока они праздновали крах Euler (, который потерял $200 миллионов давно). Гипокризия была раскрыта: обе платформы подвергались атакам, но ведутNarrativ по очень разному.

Неприятный вопрос: Почему Aave может минимизировать хак на сумму $56,000, а другие протоколы с аналогичными потерями получают более жесткие медийные удары?

Чему DeFi должно научиться (Но, вероятно, не научится)

Для Протоколов:

1. Аудит ВСЕГО - Ядро и периферия. Без исключений.
2. Коммуницируйте прозрачность - Никакого “переделывания фактов”, чистая прозрачность.
3. Сотрудничество в области безопасности - Установите общие стандарты, а не территориальные войны.

Для пользователей:

• Периферийные контракты могут быть так же обязательны, как и основные.
• Большая платформа не гарантирует безопасность
• Аудит является основой, а не роскошью

Что теперь?

Протоколы, такие как Euler и Linea, имеют возможность вести, например, не словами. Проактивные аудиты, ясная коммуникация, управление, которое ставит безопасность выше скорости.

Рынок DeFi продолжит расти. Но если мы не извлечем уроки из Aave, вскоре будут гораздо худшие истории для рассказа.