Wichtige Erkenntnisse:
- Aave hat die rsETH-Reserven innerhalb weniger Stunden nach dem Kelp vom 18. April eingefroren DAO Exploit, der bis zu 230,1 Millionen US-Dollar an uneinbringlichen Schulden verursachte.
- DeFi United sammelte bis zum 25. April mit Mantle und Aave 160 Millionen US-Dollar DAO Zusage von 55.000 ETH kombiniert.
- Governance-Abstimmungen über Aave DAOEs sind 25.000 ETH Die Beiträge sind noch nicht abgeschlossen, da das Protokoll daran arbeitet, die rsETH-Unterstützung vollständig wiederherzustellen.
DeFi United sammelt 160 Millionen US-Dollar für Backstop Aave
Der Exploit begann um 17:35 UTC Ethereum Block 24.908.285. Die Angreifer hatten es auf Kelp abgesehen DAO‘S Layernull V2-Brücke auf der Unichain-zu-Ethereum-rsETH-Route, die als 1-von-1-DVN ohne zusätzliche Prüfer konfiguriert wurde. Sie reichten ein gefälschtes eingehendes Paket ein, das 116.500 nicht gesicherte rsETH-Token im Wert von damals etwa 292 Millionen US-Dollar prägte, ohne dass eine entsprechende Sperre oder Zerstörung der Quellkette erfolgte.
Der Angreifer bewegte sich schnell. Etwa 89.567 rsETH im Wert von etwa 221 Millionen US-Dollar wurden als Sicherheit auf den Aave V3-Märkten auf Ethereum und Arbitrum hinterlegt. Anschließend lieh sich der Angreifer rund 82.650 WETH im Wert von etwa 191 Millionen US-Dollar sowie kleinere Beträge an wstETH.
Die Positionen wurden mit Gesundheitsfaktoren zwischen 1,01 und 1,03 belassen, sodass eine vollständige Rückzahlung unwahrscheinlich ist. Geist‘S Intelligente Verträge wurden nicht ausgenutzt. Die uneinbringlichen Forderungen stammten vollständig aus den unbesicherten externen Sicherheiten.
Der Protocol Guardian von Aave antwortete innerhalb weniger Stunden. Am 18. April um etwa 19:00 UTC wurden alle rsETH- und wrsETH-Reserven in allen V3-Bereitstellungen eingefroren, das Beleihungsverhältnis auf Null gesetzt und die Zinsmodelle zur Verwaltung angepasst Liquidität Druck.
Aave Labs und Risikomanager Llamarisk veröffentlicht ein formeller Vorfallbericht am 20. April. Der Bericht modellierte zwei Schadensszenarien, je nachdem, wie Kelp DAO sozialisiert den Mangel. Im ersten Szenario führt ein einheitlicher Abschlag für alle rsETH-Inhaber zu etwa 123,7 Millionen US-Dollar an uneinbringlichen Schulden bei Aave. Im zweiten Fall vereinzelten sich die Verluste L2 rsETH-Inhaber verursachen uneinbringliche Schulden in Höhe von rund 230,1 Millionen US-Dollar, wobei Mantle und Arbitrum das größte Risiko tragen. Andere Schätzungen gehen davon aus, dass das Gesamtengagement von Aave zwischen 196 und 200 Millionen US-Dollar liegt.
Der Markt reagierte scharf. Der Gesamtwert der Sperrung von Aave sank in den Tagen nach dem Vorfall zwischen 6 und 9 Milliarden US-Dollar. Der Preis von AAVE fiel unmittelbar danach zwischen 10 % und 22 %. Breiter DeFi In einigen Berichten überstiegen die TVL-Verluste 13 Milliarden US-Dollar.
Um die Folgen einzudämmen, starteten Aave-Dienstleister DeFi United, ein Multiprotokoll-Hilfsfonds, der Beiträge an defiunited.eth weiterleitet, Ethereum-Adresse 0x0fCa5194baA59a362a835031d9C4A25970effE68. Der Fonds zielt auf den rsETH-Defizit ab, der ursprünglich auf 68.900 bis über 100.000 geschätzt wurde ETHabhängig von den Einziehungen und den endgültigen Zahlen zu uneinbringlichen Forderungen.
Am Samstag, Arkham Intelligence bestätigt DeFi United hatte 160 Millionen Dollar eingesammelt. Mantel und Aave DAO zusammen 55.000 beigetragen ETHwas etwa 127 Millionen US-Dollar davon ausmacht. Mantle schlug bis zu 30.000 vor ETH strukturiert als dreijährige Kreditfazilität am Lido Abstecken Rendite plus 1 %. Aave DAO hat 25.000 vorgeschlagen ETH aus seiner Staatskasse, wobei die Governance-Abstimmung noch im Gange ist.
Aave-Gründer und CEO Stani Kulechov engagiert 5.000 ETH aus Eigenmitteln. Ether.fi hat 5.000 zugesagt ETH. Lido DAO bis zu 2.500 stETH angeboten. Zu den kleineren Spendern gehört die Golem Foundation mit 1.000 ETHAave-Vizepräsident Emilio Frangella bei 500 ETHund Gemeinschaftsspenden von mehr als 272 ETH Onchain gemeldet. Ethena, Layerzero, Ink Foundation, Frax und Tydro leisteten ebenfalls Unterstützung.
Der Arbitrum-Sicherheitsrat erstarrte einen Teil der Angreifergelder, wodurch sich die Nettolücke verringert, die der Fonds abdecken muss. Ein nachfolgendes bösartiges Paket über 40.000 rsETH wurde von Kelp zurückgewiesen und wiederhergestellt, bevor es verarbeitet werden konnte.
DeFi United wird von den Teilnehmern als eine der größten koordinierten Wiederherstellungsbemühungen in beschrieben DeFi Geschichte. Governance-Abstimmungen über ausstehende Beiträge bleiben aktiv, und der Fonds nimmt weiterhin Spenden an, während das Protokoll darauf hinarbeitet, die volle Unterstützung von rsETH wiederherzustellen und verbleibende uneinbringliche Schulden zu begleichen.
