分散型金融プロトコルAaveの流動性回復
分散型金融プロトコルAaveは、$300百万のクロスチェーン攻撃を受けた後、貸出プールの流動性を完全に回復したことを最近発表しました。分散型金融(DeFi)の先駆者であるAaveは、プロトコルの現金準備金を脅かすこの攻撃を受けて、数週間にわたる積極的な安定化努力を経て、貸出プールの流動性を完全に回復したと、開発者は6月1日に発表しました。
攻撃の詳細と対応
Aaveは、ポストモーテムで、$300百万の業界全体の救済基金を動員し、緊急の連邦裁判所命令を確保することで、流出した資産を置き換え、預金者を損失から守り、プロトコル全体で通常の借入および貸出業務を回復できたと述べました。ポストモーテムの発表は、攻撃者がKelpとLayerzeroが運営する第三者ブリッジを悪用した後、1か月以上経って行われました。
攻撃者はクロスチェーンメッセージを偽造し、116,500の偽のrsETHトークンを発行し、それをAaveのV3プラットフォームに担保として預け入れました。
攻撃者はすぐに偽のrsETHを担保として使用し、高流動性資産を引き出し、82,650のラップドイーサ(WETH)と821のラップドステークドイーサ(wstETH)を借り入れました。この突然の大量引き出しは、Aaveのコア流動性プールを構造的に弱体化させ、リスク管理者はプラットフォームの資本に対する連鎖的な取り付け騒ぎを防ぐために影響を受けた市場を凍結せざるを得ませんでした。
資金回復のための連携
穴を埋めるために、Aave LabsはLido、Ether.fi、Ethena、Compoundなどの主要な業界プレーヤーの緊急連合を動員するのを支援しました。グループは共同で$300百万の回復基金を構築しました。この資本注入は、危険にさらされたrsETH資産を効果的にバックストップし、ユーザーの預金のすべてのドルが本物の準備金によって完全に担保されることを保証しました。
しかし、流動性を回復する道のりは、5月1日に無関係な連邦事件の判決債権者が回復プロセスを妨害した際に法的な障害に直面しました。債権者は、攻撃者から回収された約$71百万のイーサリアムを凍結する差し止め通知を取得しました。この資金はAaveのプールを再充填する予定でした。
Aaveは5月4日に米国連邦裁判所に緊急動議を提出し、4日後に裁判官は凍結の重要な修正を認め、$71百万をAaveの直接管理に即座に移転することを許可しました。
将来に向けたリスク管理の強化
この法的な突破口により、開発者は資金を即座にプロトコルのアクティブな貸出プールに戻すことができ、安定した市場運営に必要な流動性の深さを回復しました。資本準備金が完全に補充され、攻撃前の市場パラメータが回復したAaveは、将来の第三者のシステム障害から流動性を保護するためにリスクアーキテクチャを見直しています。
将来の攻撃者が悪用されたトークンを流動的なプロトコル資産に変換するのを防ぐために、Aaveの開発者は295の個別パラメータ更新を実行し、168の異なる資産プール全体で借入および供給の上限を大幅に削減しました。さらに、プロトコルは自動化されたLTV0(ローン対価値ゼロ)サーキットブレーカーを実装しています。
今後、いずれかの資産の基盤となるクロスチェーンインフラがセキュリティ侵害を経験した場合、システムはその資産の担保価値を即座に剥奪します。
これにより、危険にさらされたトークンはもはやAaveの市場から本物の流動性を借りたり引き出したりするために使用できなくなります。攻撃者は2026年4月18日にKelpDAOのrsETH流動的再ステーキングトークンの脆弱性を悪用し、推定$280を引き出したと報告されています。
