26 millió dolláros likvidálási hullám az Aave-nél egy oracle-hiba miatt
Oracle konfigurációs hiba okozta a problémát
Az incidens közvetlen kiváltó oka az Aave kockázatkezelési oracle rendszerében található CAPO konfigurációs hiba volt. A problémát egy snapshot arány (ratio) és egy snapshot időbélyeg (timestamp) közötti eltérés idézte elő.
A rendszerben ráadásul egy olyan szabály is érvényben volt, amely szerint az adott arány legfeljebb 3%-kal növekedhetett háromnaponta. Ez a korlátozás végül azt eredményezte, hogy a wrapped staked ETH (wstETH) ára körülbelül 2,85%-kal a valós érték alatt jelent meg az oracle rendszerében.
Ez az aprónak tűnő eltérés azonban kritikus hatással volt a hitelfedezeti számításokra: több, valójában stabil fedezettségű kölcsönpozíció alulfedezettnek (under-collateralized) tűnt a rendszer számára, így automatikusan likvidálhatóvá vált.
Fontos hangsúlyozni, hogy a hiba nem a Lido wstETH tokenjéből vagy infrastruktúrájából eredt, hanem kizárólag az Aave oracle konfigurációjából.
Több mint 26 millió dollárnyi pozíciót likvidáltak
A rendelkezésre álló adatok szerint az esemény során:
- 34 felhasználói számlát érintett a likvidálás
- összesen körülbelül 10 938 wstETH került likvidálásra
- a likvidátorok mintegy 499 ETH profitot realizáltak
- a teljes likvidált érték 26–27 millió dollár között alakult
A történtek ellenére a protokoll pénzügyi stabilitása nem sérült. Az Aave vezetése szerint nem keletkezett bad debt, ami azt jelenti, hogy a rendszer alapvető kockázatkezelési mechanizmusai továbbra is működtek.
Más szóval a probléma nem rendszerszintű fizetésképtelenséget, hanem egy átmeneti árfolyam-eltérés miatt bekövetkező kényszerű pozícióleépítést (forced deleveraging) eredményezett. A károk így elsősorban az érintett hitelfelvevőket sújtották, miközben a likvidátorok profitot realizáltak.
Aave: a protokoll működése nem sérült
Az Aave vezetői hangsúlyozták, hogy az incidens nem érintette közvetlenül az Aave protokoll működését. A rendszer tartalékai és az alapvető működési folyamatok zavartalanul működtek a hiba ideje alatt is.
Ez fontos különbség a DeFi világában, ahol egy oracle-hiba sok esetben komoly likviditási problémákat vagy akár protokollszintű veszteségeket okozhat. Ebben az esetben azonban az esemény lokalizált hatású maradt.
Az incidens ugyanakkor ismét rámutat arra, hogy a DeFi protokollok árfolyam-oracle rendszerei kritikus infrastruktúrának számítanak, és már kis konfigurációs hibák is jelentős pénzügyi következményekkel járhatnak.
Teljes kártérítést ígérnek az érintett felhasználóknak
A konfigurációs hiba felelősségét az Aave külső kockázatelemző partnere, a Chaos Labs vállalta magára. A cég vezérigazgatója, Omer Goldberg egyértelművé tette:
„Minden érintett felhasználót teljes mértékben kártalanítunk.”
A tervek szerint a következő lépések várhatók:
- az érintett wallet címek azonosítása
- az érintettség ellenőrzésének publikálása hivatalos csatornákon
- a kompenzáció kifizetésének technikai részletei
A jelenlegi információk alapján a kártérítés az alulárazási időszak alatt elszenvedett veszteségeket fogja fedezni. Emellett a fejlesztők már dolgoznak az oracle paramétereinek további megerősítésén és finomhangolásán, hogy hasonló incidens a jövőben ne fordulhasson elő.
