10 березня у DeFi-протоколі Aave стався інцидент з оракулом. Це призвело до хибних ліквідацій позицій у токені wstETH на сумарну вартість близько $26 млн.
Несправність сталася через некоректну конфігурацію Correlated Asset Price Oracle (CAPO) — механізму забезпечення безпеки протоколу від різких коливань ціни. За інформацією від ризик-менеджерів з Chaos Labs, через розбіжність даних інструмент зафіксував вартість активу на рівні 1,1939 замість фактичних 1,228.
Першопричиною інциденту стала помилка під час оновлення: офчейн-алгоритм намагався скоригувати котирування одночасно. При цьому він не взяв до уваги обмеження смартконтракту: параметр можливо підвищувати максимум на 3% кожні три доби. У результаті дійсний курс обміну в протоколі знизився на 2,85%, що і спричинило хвилю ліквідацій.
Інцидент зачепив 34 облікові записи. Система примусово реалізувала 10 938 wstETH. Зовнішні ліквідатори отримали прибуток від помилки близько 499 ETH. У Chaos Labs підкреслили, що інцидент не призвів до невиправної заборгованості Aave.
Команда оперативно усунула проблему. Розробники тимчасово зменшили ліміти на позики wstETH та вручну відкоригували параметри оракула.
Зараз проєкт розробляє план компенсацій. Потерпілим відшкодують збитки за рахунок 141,5 ETH, які вдалося повернути після інциденту, а також 345 ETH з скарбниці ДАО. Команда зазначила, що базова структура оракулів безпечна, а інцидент викликаний виключно конфліктом параметрів.
Нагадаємо, в лютому сукупний обсяг позик на Aave перевищив $1 трлн. Проєкт першим в галузі децентралізованих фінансів досяг цієї відмітки.