Протокол Aave ужесточил правила листинга активов после апрельского инцидента с токеном rsETH на $293 млн, создавшего риск безнадежного долга. Атака была вызвана не багом в коде лендинга, а сбоем верификации в мосту LayerZero, который использовал проект Kelp. Злоумышленник подделал кроссчейн-сообщение и выпустил 116 500 необеспеченных rsETH, внеся их в Aave под 93% LTV в режиме eMode для вывода ликвидных средств.

В ответ Aave представил новый фреймворк оценки рисков для версий V3, V4 и Horizon. Теперь при листинге проверяются надежность мостов, зависимость от оракулов, права админа эмитента и возможность апгрейда кода. Для экстренных случаев внедряются механизмы автоматического обнуления LTV. 

Риск-менеджеры уже внесли 295 правок в параметры рынков V3, сократив лимиты заимствований. Аудиторы OpenZeppelin подтвердили, что причиной стала ошибка конфигурации инфраструктуры, а не уязвимость смарт-контрактов. Ранее, 25 мая, Kelp завершил восстановление обеспечения, направив финальный транш в 20 373 rsETH в контракт LayerZero.