10 марта 34 аккаунта на лендинговой платформе Aave столкнулись с ликвидациями на общую сумму в $26 млн из-за сбоя в настройках системы Correlated Asset Price Oracle (CAPO). Об этом говорится в отчете Chaos Labs.
CAPO рассчитывает максимально допустимый обменный курс доходных токенов вроде wstETH, который соответствует реальной рыночной цене. Механизм призван предотвратить внезапные скачки стоимости активов.
В результате несоответствия между параметрами snapshot ratio и snapshot timestamp CAPO зафиксировал курс wstETH в 1,1939 вместо реальных 1,228.
«Snapshot ratio может возрасти максимум на 3% каждые 3 дня из-за ограничения в смарт-контракте. В рамках обновления не удалось привести его к ~1,2282 за одну итерацию», — указали специалисты.
Подобное расхождение с падением обменного курса на 2,85% запустило каскад ликвидаций на ~10 938 wstETH. Сторонние ликвидаторы заработали на инциденте ~499 $ETH. Инцидент не привел к безнадежным долгам для Aave, согласно Chaos Labs.
Разработчики оперативно устранили проблему, временно снизив лимиты на заимствования wstETH и вручную скорректировав параметры оракула.
В Aave сообщили о формировании плана компенсации. Пользователям возместят убытки за счет 141,5 $ETH, которые удалось вернуть после инцидента, а также выделят до 345 $ETH из казначейства ДАО. Детали представят позднее.
Команда заверила в безопасности базовой архитектуры оракулов. Сбой объяснили конфликтом настроек.
Позитивный тренд
В январе CEO Immunefi Митчелл Амадор отметил безопасность смарт-контрактов улучшается быстрее, чем когда-либо. Благодарить за это следует разработчиков, более тщательные аудиты и зрелые инструменты, указал топ-менеджер.
По его словам, если раньше злоумышленники часто целились на уязвимости в смарт-контрактах, то теперь ущерб обусловлен операционными сбоями и ошибками на уровне команд.
«Человеческий фактор явно является самым слабым звеном в криптобезопасности», — пояснил он.
Амадор добавил, что большинство потерь сейчас происходят из-за одобрения мошеннических транзакций, взаимодействия с поддельными интерфейсами или непреднамеренного раскрытия пользователями приватных ключей.
cryptonews.net
