Aave ужесточил листинг после инцидента с rsETH на $293 млн

Протокол Aave пересмотрел стандарты листинга активов после апрельского инцидента с rsETH, который поставил проект под угрозу возникновения безнадежного долга на сотни миллионов долларов. https://t.co/ixfuSrVKA8— Aave (@aave) May 31, 2026 Причиной происшествия стал сбой верификации в мосте LayerZero, используемом проектом Kelp, а не уязвимость в смарт-контрактах самой лендинговой платформы. Злоумышленник воспользовался ошибкой конфигурации одного из верификаторов для подделки кроссчейн-сообщения и выпуска 116 500 необеспеченных токенов rsETH ($293 млн). Активы были внесены в Aave в качестве залога. Поскольку rsETH находился в режиме eMode с высоким LTV (93%), атакующий занял ликвидные активы, которые протокол не смог бы вернуть после обесценивания rsETH. Новый фреймворк для версий V3, V4 и Horizon расширяет критерии оценки рисков. Теперь, помимо волатильности и ликвидности, Aave будет учитывать: надежность инфраструктуры мостов и количество уровней обертки токена; зависимости от внешних оракулов и кастодианов; техническую архитектуру (соответствие ERC-20, права админа и возможность апгрейда кода); оперативную безопасность эмитента активов. Команда также предложила внедрить автоматизированные защитные механизмы. Они позволят мгновенно обнулять LTV актива при достижении критических порогов риска, не дожидаясь решения управления. Риск-менеджеры уже внесли около 295 правок в параметры рынков V3, включая сокращение лимитов на поставку и заимствование для минимизации последствий подобных инцидентов.  Аудиторы OpenZeppelin подтвердили, что атака стала следствием просчетов в конфигурации инфраструктуры и управлении рисками, а не багов в коде Aave или Kelp. Напомним, 25 мая Kelp восстановил обеспечение rsETH, команда отправила финальный транш в размере 20 373 rsETH на смарт-контракт LayerZero.