Протокол Aave переглянув стандарти для розміщення активів після інциденту у квітні з rsETH, який поставив проєкт під загрозу безнадійного боргу на сотні мільйонів доларів.
https://t.co/ixfuSrVKA8
— Aave (@aave) May 31, 2026
Причиною інциденту став збій верифікації в мосту LayerZero, який використовував проєкт Kelp, а не слабкість у смарт-контрактах самого кредитного протоколу. Зловмисник скористався помилкою конфігурації одного з верифікаторів, сфабрикував кросчейн-повідомлення та випустив 116 500 незабезпечених токенів rsETH (на суму $293 млн).
Ці активи були внесені в Aave як застава. Оскільки rsETH перебував у режимі eMode з високим LTV (93%), атакуючий зміг позичити ліквідні активи, які протокол не зміг би повернути після знецінення rsETH.
Нова структура для версій V3, V4 і Horizon розширює критерії оцінки ризиків. Тепер, крім волатильності та ліквідності, Aave враховуватиме:
- надійність інфраструктури мостів та кількість рівнів обгортки токена;
- залежність від зовнішніх оракулів та кастодіанів;
- технічну архітектуру (сумісність ERC-20, права адміністратора та можливість оновлення коду);
- операційну безпеку емітента активів.
Команда також запропонувала впровадити автоматизовані захисні механізми. Вони дозволять миттєво обнуляти LTV активу при досягненні критичних рівнів ризику без очікування рішення управління.
Ризик-менеджери вже внесли близько 295 коригувань до параметрів ринків V3, зокрема зменшили ліміти на депозити та запозичення для мінімізації наслідків подібних інцидентів.
Аудитори OpenZeppelin підтвердили, що інцидент став результатом прорахунків у конфігурації інфраструктури та управлінні ризиками, а не багів у коді Aave чи Kelp.
Нагадаємо, 25 травня Kelp відновив забезпечення rsETH, команда відправила фінальний транш у розмірі 20 373 rsETH на смарт-контракт LayerZero.