Протокол Aave переглянув стандарти лістингу активів після квітневого інциденту з rsETH, що поставив проєкт під загрозу виникнення безнадійної заборгованості на сотні мільйонів доларів.
https://t.co/ixfuSrVKA8
— Aave (@aave) May 31, 2026
Причиною інциденту став збій верифікації в містку LayerZero, який використовував проєкт Kelp, а не вразливість у смартконтрактах самого кредитного протоколу. Зловмисник скористався помилкою конфігурації одного з верифікаторів, підробив кросчейн-повідомлення та випустив 116 500 незабезпечених токенів rsETH ($293 млн).
Активи були внесені в Aave як застава. Оскільки rsETH перебував у режимі eMode з високим LTV (93%), атакувальник позичив ліквідні активи, які протокол не зміг би повернути після знецінення rsETH.
Новий фреймворк для версій V3, V4 і Horizon розширює критерії оцінки ризиків. Тепер, окрім волатильності та ліквідності, Aave враховуватиме:
- надійність інфраструктури містків і кількість рівнів обгортки токена;
- залежності від зовнішніх оракулів і кастодіанів;
- технічну архітектуру (відповідність ERC-20, права адміністратора та можливість апгрейду коду);
- операційну безпеку емітента активів.
Команда також запропонувала впровадити автоматизовані захисні механізми. Вони дадуть змогу миттєво обнуляти LTV активу за досягнення критичних порогів ризику без очікування рішення управління.
Ризик-менеджери вже внесли близько 295 правок до параметрів ринків V3, зокрема зменшили ліміти на постачання та запозичення для мінімізації наслідків подібних інцидентів.
Аудитори OpenZeppelin підтвердили, що інцидент став наслідком прорахунків у конфігурації інфраструктури та управлінні ризиками, а не багів у коді Aave чи Kelp.
Нагадаємо, 25 травня Kelp відновив забезпечення rsETH, команда відправила фінальний транш у розмірі 20 373 rsETH на смартконтракт LayerZero.
