Aave anunciou a 1 de junho que restaurou a liquidez total nos seus pools de empréstimos na sequência de um exploit de 300 milhões de dólares entre cadeias que ameaçou as reservas de caixa do protocolo. O protocolo de finanças descentralizadas mobilizou um fundo de resgate de 300 milhões de dólares a nível da indústria e obteve uma ordem judicial federal de emergência para substituir os ativos drenados, proteger os depositantes de perdas e restaurar as operações normais de pedir e conceder empréstimos. O anúncio surgiu mais de um mês após um atacante explorar uma ponte de terceiro operada pela Kelp e pela Layerzero, cunhando 116.500 tokens rsETH contrafeitos e usando-os como colateral para desviar 82.650 wrapped ethereum e 821 wrapped staked ethereum da plataforma V3 da Aave.
Atacante explorou a ponte Kelp–Layerzero para cunhar colateral contrafeito
O atacante explorou uma ponte de terceiro operada pela Kelp e pela Layerzero, fabricando mensagens entre cadeias. O hacker cunhou 116.500 tokens rsETH contrafeitos e depositou-os na plataforma V3 da Aave como colateral. O atacante utilizou imediatamente o rsETH falso como colateral para contrair 82.650 wrapped ethereum (WETH) e 821 wrapped staked ethereum (wstETH). A retirada súbita e em massa enfraqueceu estruturalmente os pools de liquidez centrais da Aave, levando os gestores de risco a congelarem os mercados afetados para evitar uma corrida em cascata sobre o capital do protocolo.
Aave Labs mobilizou o fundo de recuperação $300M com coligação da indústria
Aave Labs ajudou a mobilizar uma coligação de emergência de grandes intervenientes do setor, incluindo Lido, Ether.fi, Ethena e Compound. Em conjunto, o grupo estruturou um fundo de recuperação de 300 milhões de dólares. Esta injeção de capital funcionou como garantia de retaguarda para os ativos rsETH comprometidos, assegurando que cada dólar dos depósitos dos utilizadores permanecesse totalmente colateralizado por reservas autênticas.
Tribunal Federal concedeu transferência de emergência dos fundos recuperados $71M
No dia 1 de maio, credores judiciais num caso federal não relacionado interceptaram o processo de recuperação. Os credores obtiveram uma notificação de injunção que congelou cerca de 71 milhões de dólares em ethereum que tinham sido recuperados do atacante e estavam destinados a reabastecer os pools da Aave. A Aave respondeu apresentando um pedido de providência urgente num tribunal federal dos EUA a 4 de maio. Quatro dias depois, a 8 de maio, um juiz concedeu uma modificação crucial ao congelamento, permitindo a transferência imediata dos 71 milhões para a custódia direta da Aave. Esta viragem legal permitiu que os programadores encaminhassem instantaneamente os fundos de volta para os pools ativos de empréstimos do protocolo, restaurando a profundidade de liquidez necessária para operações de mercado seguras.
Aave executou 295 atualizações de parâmetros e o disjuntor LTV0
Com as reservas de capital totalmente reabastecidas e os parâmetros de mercado anteriores ao exploit restaurados, a Aave está a remodelar a sua arquitetura de risco para isolar a sua liquidez de futuras falhas sistémicas de terceiros. Para impedir que futuros atacantes convertam tokens explorados em ativos líquidos do protocolo, os programadores da Aave executaram 295 atualizações individuais de parâmetros, reduzindo fortemente os limites de empréstimo e de oferta em 168 pools distintos de ativos. Além disso, o protocolo está a implementar um disjuntor automatizado LTV0 (loan-to-value zero). A partir de agora, se qualquer infraestrutura subjacente entre cadeias de um ativo sofrer uma violação de segurança, o sistema irá remover instantaneamente o valor do colateral desse ativo. Isto garante que tokens comprometidos já não podem ser usados para contrair empréstimos ou drenar liquidez autêntica dos mercados da Aave.
Perguntas frequentes
O que é que a Aave anunciou a 1 de junho?
A Aave anunciou a 1 de junho que restaurou a liquidez total nos seus pools de empréstimos na sequência de um exploit entre cadeias de 300 milhões de dólares. O protocolo mobilizou um fundo de resgate de 300 milhões de dólares a nível da indústria e obteve uma ordem judicial federal de emergência para substituir os ativos drenados e restaurar as operações normais de pedir e conceder empréstimos.
Como é que o atacante explorou a plataforma da Aave?
O atacante explorou uma ponte de terceiro operada pela Kelp e pela Layerzero, fabricando mensagens entre cadeias para cunhar 116.500 tokens rsETH contrafeitos. Estes tokens falsos foram depositados na plataforma V3 da Aave como colateral e usados imediatamente para contrair 82.650 wrapped ethereum e 821 wrapped staked ethereum.
Que medidas de segurança é que a Aave implementou após o exploit?
A Aave executou 295 atualizações individuais de parâmetros, reduzindo os limites de empréstimo e de oferta em 168 pools separados de ativos. O protocolo também implementou um disjuntor automatizado LTV0 que irá remover instantaneamente de qualquer ativo comprometido o respetivo valor de colateral se a sua infraestrutura subjacente entre cadeias sofrer uma violação de segurança.
