Fluid запустил «аварийный выход» для $136 млн из Aave менее чем за 24 часа

Любой, кто дежурил на звонках для лендинговых рынков, знает худший сигнал тревоги: утилизация на 100%, кредиторы в очереди на вывод, и инвариант, позволявший им выйти без потерь, только что сломался. Именно такой сигнал поступил от Aave 18 апреля. То, что произошло в течение последующих 96 часов, — самая интересная история о DeFi из тех, что случились в этом году. И главное в ней — не сам эксплойт.

Главное — это устранение последствий.

Что произошло

18 апреля злоумышленник атаковал адаптер моста rsETH Kelp DAO на базе LayerZero и выпустил 116 500 rsETH на L2, не заблокировав соответствующий ETH в основной сети. Это примерно $293 млн в синтетическом обеспечении — около 18% от обращающегося объёма rsETH. Атакующий разместил ничем не обеспеченный rsETH на Aave V3 и V4, занял около $236 млн в WETH и исчез ещё до заморозки рынков.

Пул WETH Aave достиг 100% утилизации за считанные часы — реальные кредиторы бросились к выходу. Переменные ставки по займам взлетели до трёхзначных значений. aWETH начал торговаться с дисконтом на вторичных рынках: ранние выходы проходили примерно на 23% ниже номинала. Как сообщил The Defiant, Fluid и коалиция DeFi-протоколов отреагировали, запустив протокол aWETH Redemption Protocol менее чем за 24 часа.

Lido и Ether.fi обеспечили ликвидность LST. 1inch разработал фронтенд. 0x и Kyber взяли на себя маршрутизацию ордеров. За первые 48 часов протокол погашения обработал 58 510 aWETH — примерно $136 млн — из замороженного пула WETH Aave. Дисконт на своп 1 000 aWETH составил около 2,21%, что примерно в десять раз выгоднее, чем потери на вторичном рынке.

Команда риск-менеджмента Aave опубликовала 20 апреля отчёт об инциденте с оценкой безнадёжного долга в диапазоне от $123,7 млн до $230,1 млн — в зависимости от того, как будут распределены требования по недообеспеченному L2-адаптеру rsETH. Kelp и LayerZero до сих пор выясняют отношения. В заявлении Kelp от 19 апреля говорилось, что конфигурация 1-of-1 DVN являлась задокументированным дефолтным значением LayerZero в руководстве по быстрому старту и была повторно подтверждена командой LayerZero в ходе расширения Kelp на L2. LayerZero связал атаку с подгруппой TraderTraitor из группировки Lazarus и сообщил, что новые развёртывания OFT больше не будут выходить с конфигурацией 1-of-1 DVN.

Техническая анатомия

Элегантность протокола погашения состоит в том, что он не добавляет нового направленного риска. Он эксплуатирует позицию, которую Fluid уже занимает. Fluid является крупнейшим пользователем рынка WETH Aave: у него около $1,5 млрд долга в ETH, обеспеченного позициями в Lite Vault. Это не опечатка. Один протокол должен Aave полтора миллиарда долларов в ETH — и именно этот долг делает разматывание позиции возможным.

Вот как это работает. Застрявший кредитор передаёт aWETH в Lite ETH Vault Fluid. Хранилище возвращает wstETH или weETH. Затем хранилище вызывает беспрепятственный путь Aave repayWithATokens, используя входящие aWETH для погашения части собственного долга в WETH. Никакой WETH при этом не покидает пул Aave. Обязательство аннулируется с одной стороны, а квитанция сжигается с другой. Показатель утилизации пула улучшается без единого нового депозита в WETH.

Кредитор платит небольшой дисконт — около 2,21% при свопе 1 000 aWETH. Хранилище сокращает заёмную экспозицию. Провайдеры LST получают поток сделок. 1inch, 0x и Kyber обеспечивают обнаружение и маршрутизацию. Это неттинг, а не магия, и он работает только потому, что Fluid уже был крупнейшим контрагентом на другой стороне книги.

Должное стоит отдать стандартам ERC, лежащим в основе. aWETH — стандартный токен квитанции. wstETH и weETH — стандартные LST. Функция repay-with-aTokens в Aave является публичной и беспрепятственной. Маршрутизация агрегаторов по умолчанию компонуема. Та же открытость, которая позволила эксплойту за считанные часы распространиться через Aave, Compound и Fluid, позволила пяти командам собрать координированный выход без голосования по управлению, использования средств казначейства или заключения новых соглашений с контрагентами.

Мой вывод: это первый крупный DeFi-инцидент, где компонуемость оказала чистое положительное воздействие на сторону реагирования — а не только расширила поверхность атаки. Производственные инциденты, которые я наблюдал в централизованных финтех-системах, потребовали бы недели юридических переговоров для достижения аналогичного неттинга. Fluid сделал это за день, потому что примитивы уже были соединены вместе.

Кто пострадал

Депозиторы Aave, которые вышли досрочно через вторичные рынки, получили дисконт в 23%. Эти потери необратимы. Никто не возместит разницу между номиналом и паническим выходом.

Сам Aave несёт смоделированный безнадёжный долг от $123,7 млн до $230,1 млн. Для казначейства протокола среднего размера это несовместимо с выживанием без социализации потерь, страхового покрытия или разводнения токена. Протокол погашения не отменяет заимствования злоумышленника, не возвращает $236 млн WETH, которые ушли, и не влияет на разбирательство между Kelp и LayerZero. Он просто предоставляет честным кредиторам выход, не требующий ожидания решений управления.

LayerZero получает репутационный удар, который имеет значение. После того как взлом стал достоянием общественности, Dune Analytics обнаружил, что 47% OApp LayerZero используют минимальную безопасность DVN. Это не нишевая проблема. Половина развёрнутой поверхности OApp была на расстоянии одного поддельного сообщения от аналогичного инцидента. Изменение политики для новых развёртываний OFT верное, но оно ничего не даёт для приложений, уже находящихся в продакшене.

Kelp DAO борется за выживание. В момент эксплойта 18% объёма rsETH не были обеспечены. Доверие к привязке — это то, что продают LST, а такое доверие легко потерять.

Неудобный вывод: каждый протокол, использующий сегодня конфигурацию 1-of-1 DVN, держит тикающую бомбу. Команды, с которыми я работал в iGaming, провалили бы базовую проверку безопасности с такой конфигурацией — а здесь она была задокументированным дефолтом. $293 млн в синтетическом выпуске из одного поддельного сообщения — это примерно годовой операционный бюджет регулируемого оператора среднего размера. Именно на таком масштабе дефолты мостов перестают быть проблемой опыта разработчика и становятся риском на уровне совета директоров.

Руководство для крипто- и DeFi-команд

Если ваш протокол работает с кросс-чейн-сообщениями, эта неделя — для аудитов, а не для дорожных карт. Конкретные действия:

• Инвентаризируйте каждую конфигурацию DVN в продакшене. Если что-то работает на 1-of-1, создайте тикет на изменение сегодня, а не в следующем спринте. Проверьте предположения об оракулах и системе сообщений от начала до конца.
• Если вы управляете лендинговым рынком, смоделируйте ситуацию, когда один тип залога оказывается частично необеспеченным. Инвариант Aave сломался за несколько часов. Ваш сломается быстрее, если у вас меньше ликвидности.
• Если вы предоставляете ликвидность Aave или любому лендинговому рынку, проверьте экспозицию к токенам-квитанциям типа aWETH. Узнайте, где находятся выходы, до того как утилизация достигнет 100%, а не после.
• Если вы используете лупинг и ваш долг сосредоточен на одной площадке, относитесь к этому как к риску единственного поставщика. Fluid нёс $1,5 млрд долга перед Aave и удачно оказался на стороне, где неттинг сыграл в его пользу.
• Если вы создаёте интеграции, изучите архитектуру протокола погашения. Сборка за 24 часа силами пяти команд без голосования по управлению — это шаблон для реагирования на будущие инциденты, а не разовый случай.

Для технических директоров, наблюдающих со стороны: урок не в том, что DeFi хрупок. Урок в том, что открытость работает в обе стороны, и побеждают те команды, которые способны быстрее злоумышленников доставлять скоординированные исправления.

Ключевые выводы

• Fluid, Lido, Ether.fi, 1inch, 0x и Kyber запустили протокол aWETH Redemption Protocol менее чем за 24 часа и вывели $136 млн из замороженного пула WETH Aave за 48 часов.
• Разматывание работает потому, что Fluid уже должен Aave около $1,5 млрд в WETH, поэтому входящий aWETH погашает существующий долг, а не привлекает новую ликвидность.
• Первопричиной стала конфигурация 1-of-1 DVN на мосту rsETH Kelp DAO на базе LayerZero, позволившая злоумышленнику выпустить 116 500 rsETH и занять $236 млн в WETH.
• Aave сталкивается со смоделированным безнадёжным долгом от $123,7 млн до $230,1 млн; протокол погашения не устраняет эту экспозицию.
• 47% OApp LayerZero по-прежнему работают с минимальной безопасностью DVN, поэтому следующий инцидент подобного рода — это лишь вопрос аудита конфигурации.