Викрадення Aave виявляє тріщини в безпеці DeFi: критичні уроки для неаудованих протоколів

Що насправді сталося?

Aave, найбільша платформа децентралізованих кредитів в екосистемі, зазнала атаки, націленої на її периферійний контракт ParaSwapRepayAdapter. Удар був хірургічним: близько $56,000 викрадено, але центральний протокол залишився недоторканим. Тривожить не сума, а урок безпеки, який вона залишила.

Числа катастрофи:

• Загальні збитки: $56 000 (~$51 000 на Ethereum, Arbitrum, Polygon, Optimism + $5 000 на Avalanche)
• Постраждалі мережі: 5 блокчейнів, які зазнали впливу одночасно
• Критичний фактор: Контракт ніколи не був офіційно перевірений

Як спрацював експлойт

Зловмисник скористався трьома вразливостями в ланцюгу:

1. Помилка довільного виклику - Маніпулював логікою контракту для виконання несанкціонованих транзакцій
2. Позитивний сліпедж - Витягнув токени в надлишку під час свопів на DEX.
3. Легалізація коштів - Перемістив вкрадені активи на адреси, які ускладнили відстеження.

Це була жорстока демонстрація того, чому неаудовані периферійні контракти є ахіллесовою п'ятою DeFi.

Відповідь Aave ( та її межі )

Делегати з управління швидко заспокоїли:

• “Ядро в безпеці”
• “Це був лише периферійний контракт”
• “Кошти користувачів не були під загрозою”

Технічно правильно. Стратегічно недостатньо.

Це не був перший страх. У листопаді 2023 року деякі пулли були призупинені без повної прозорості, що підживлювало підозри серед користувачів щодо того, що ще може бути приховано.

Холодна війна між Aave та Euler

Злом відновив сплячі напруження.

Засновник Euler звинуватив Aave у мінімізації власних проблем безпеки, поки святкували крах Euler (, який втратив $200 мільйонів давно). Гіпокрізія виявилася: обидві платформи зазнали атак, але ведуть наратив дуже по-різному.

Неприємне запитання: Чому Aave може мінімізувати хакерську атаку на $56,000, але інші протоколи з подібними втратами отримують більш жорсткі медійні удари?

Що DeFi має навчитися (Але, ймовірно, не навчиться)

Для Протоколів:

1. Аудит ВСІ - Ядро та периферія. Без винятків.
2. Комунікуйте прозорість - Ніякого “спін-докторингу”, чиста прозорість.
3. Співпрацюйте в безпеці - Встановіть спільні стандарти, а не територіальні війни.

Для користувачів:

• Периферійні контракти можуть бути так само вразливі, як і основні
• Велика платформа не гарантує безпеку
• Аудит є основою, а не розкішшю

А що тепер?

Протоколи, такі як Euler та Linea, мають можливість лідерувати, наприклад, не словами. Проактивні аудити, чітка комунікація, управління, яке надає пріоритет безпеці над швидкістю.

Ринок DeFi продовжуватиме зростати. Але якщо ми не навчимося на прикладі Aave, незабаром з’являться набагато гірші історії для розповіді.