En mindre opsætningsfejl i Aave’s kurs-system fik kortvarigt en populær token til at fremstå billigere, end den faktisk var, og det var nok til at slette brugerpositioner for 26 millioner dollars.
Det berørte token var Wrapped stETH (wstETH), et aktiv der giver udbytte og ofte bruges som sikkerhed på Aave-låneplatformen.
Sådan udløste en prisfejl millioner i tvangssalg
Aave, ligesom de fleste låneprotokoller, er afhængig af kurs-feeds for at afgøre, om en låntagers sikkerhed dækker deres lån.
Når værdien af sikkerheden falder, afvikler protokollen automatisk positioner for at beskytte långivere. I dette tilfælde faldt sikkerheden dog ikke. Aave’s system troede bare, at den gjorde.
Protokollen bruger en sikkerhedsmekanisme kaldet CAPO, forkortelse for Capped Asset Price Oracle, for at beskytte mod pludselige og kunstige kursstigninger, som kan udnyttes af ondsindede aktører.
CAPO sætter i bund og grund et loft for, hvor hurtigt kursen på et aktiv må stige ved brug af to interne indstillinger, der skal være synkroniseret. De to indstillinger kom dog ud af trit.
- Den ene blev kun delvist opdateret på grund af en indbygget fartbegrænsning
- Den anden antog, at hele opdateringen var trådt i kraft.
Mellemrummet imellem dem fik Aave til at beregne en wstETH-kurs, der lå cirka 2,85 % under dens reelle værdi.
For de fleste brugere ville et afvigelse på 2,85 % være uden betydning. Men for dem med meget gearede positioner—hvor deres lån ligger tæt på sikkerhedsgrænsen—var det nok til at presse deres konti ind i afviklings-zonen.
Hvad skete der med de afviklede brugere
På tværs af 34 konti blev omkring 10.938 wstETH automatisk solgt for at dække lån, der under normale kursforhold ville have været sunde.
Tredjeparts-bots, der overvåger Aave for afviklingsmuligheder, indtjente omtrent 499 ETH i fortjeneste på denne episode, ifølge post-mortem-rapporten udgivet af risikofirmaet Chaos Labs.
Aave selv tabte ikke nogen penge. Ingen lån blev misligholdt, og protokollens reserver blev ikke berørt.
“Der var ingen påvirkning af Aave-protokollen,” forsikrede Stani Kulechov, stifter og direktør for Aave.
Men brugerne, der fik afviklet deres positioner, led reelle tab, og Aave arbejder nu på at kompensere dem.
Protokollen har kunne hente 141,5 ETH af de mistede midler tilbage via noget kaldet BuilderNet-refusioner, plus yderligere 13 ETH i gebyrer.
De tilbagevundne midler vil blive sendt direkte til de ramte brugere. Aave bekræftede, at en eventuel resterende difference—maks. 345 ETH—vil blive dækket af DAO-treasuryen, som er finansieret af protokollens indtægter.
Community-medlemmet Frida rejste et skarpere spørgsmål i det offentlige debatforum og spurgte, om Chaos Labs, risikofirmaet der styrer Aave’s oracle-indstillinger, bør påtage sig økonomisk ansvar:
“Har Chaos Labs noget ansvar for det, der skete? Kommer der et særskilt forslag til, hvordan låntagere kan blive kompenseret, hvor CL deltager økonomisk?” Spurgte Frida.
Aaves post-mortem frikendte dog Chaos Labs for skyld og beskrev hændelsen som et opsætningsproblem snarere end en designfejl.
Det er fortsat uvist, om risikofirmaet vil bidrage til kompensation; Aave svarede ikke straks på BeInCryptos henvendelse om kommentar.
Men Chaos Labs’ stifter, Omer Goldberg, indikerede, at alle ramte brugere vil få deres tab dækket.
“Alle ramte brugere vil få fuld kompensation. Aave DAO SP’erne er ved at lægge sidste hånd på kompensationsplanen, der bliver offentliggjort snarest,” skrev Omer.
Lånegrænserne for wstETH, som midlertidigt blev frosset under hændelsen, vil blive genoprettet til tidligere niveauer på begge de ramte Aave-markeder.
AAVE steg 1,53 % til $110,52 efter post-mortem-rapporten, hvilket antyder, at markedet fandt reaktionen tilstrækkelig som skadeskontrol.
