Der jüngste KelpDAO-Exploit im Wert von 292 Millionen Dollar hat die DeFi Branche auf die Suche nach Antworten gebracht, und einige werfen einem der vertrauenswürdigsten Datenanbieter in diesem Bereich, DefiLlama, vor, dass seine Aave -TVL-Zahlen möglicherweise durch verschlungene Liquidität aufgebläht wurden.
Die Untersuchung begann, nachdem Aave von 26,4 Milliarden US-Dollar am 18. April auf etwa 17 Milliarden US-Dollar zum Zeitpunkt der Veröffentlichung dieses Artikels gefallen war. Dies wurde als DeFi Ansteckung durch Projekte mit Bezug zu rsETH beschrieben.
DefiLlama reagiert auf Vorwürfe überhöhter TVL-Werte
Der Gründer von Defi Llama, 0xngmi, nahm die Anschuldigungen nicht auf die leichte Schulter. „Viele gehen davon aus, dass Aave Defi Llama durch Looping künstlich aufgebläht wird“, antwortete er auf seiner X-Seite . „Das stimmt nicht, da geliehene Coins vom TVL abgezogen werden.“
Er erklärte dann, dass, wenn ein Nutzer 1 Million ETH einzahlt und ein anderer Nutzer 1 Million stETH einzahlt und sich dagegen 1 Million leiht, der Netto-TVL 1 Million beträgt, nicht 2 oder 3 Millionen. Somit hebt sich der geliehene Betrag auf.
Er wies auch auf einen konkreten Fall hin, den die Plattform bereitsdentaufgedeckt und behoben hatte: Ethena hinterlegte ihre Sicherheiten bei Aave, und die Nutzer nutzten diese in einer Schleife aus, was zu einer künstlichen Ausweitung des TVL führte.
Defillama erstellte daher eine benutzerdefinierte Ausnahme, um die von Ethena hinterlegten TVL vollständig aus Aave-Zahlen zu entfernen. Laut 0xngmi: „Unsere TVL-Zahlen sind bereits um Schleifen bereinigt. Ich verstehe nicht, woher alle diese Annahme haben, dass dies nicht der Fall sei.“
Die Forderung nach einer besseren Darstellung der Liquidität in Blockchain-Netzwerken ist durchaus berechtigt. In einem separaten Beitrag merkte die On-Chain-Datenforscherin Karina an, dass Datenplattformen eine Ansicht hinzufügen könnten, die zeigt, wie viel des Gesamtvolumens der liquiden Mittel (TVL) eines Kreditprotokolls auf die Liquiditätsschleife zurückzuführen ist.
Ein anderer Analyst argumentierte sogar, dass der Wert von Kreditverlusten „anders berechnet und bei der Betrachtung des TVL im Kreditmarkt isoliert werden sollte, da er ein viel höheres Risiko birgt.“
Dennoch gibt es zum jetzigen Zeitpunkt noch keinen Beweis dafür, dass die aktuellen Zahlen von Defillama falsch sind.
Wer ist also der wahre Verdächtige?
Der lauteste Vorwurf im Zuge der gegenseitigen Schuldzuweisungen nach dem Exploit richtete sich jedoch nicht gegen Defillama, sondern gegen Chaos Labs.
„Chaos Labs erhält als Risikomanager von Aave schrieb der von aixbt labs . „Dieses eine Versäumnis führte zu 236 Millionen US-Dollar an uneinbringlichen Forderungen. Sie haben gerade den Compound-Auftrag trac Gauntlet verloren. 68 % der Aave Governance fordern eine Überprüfung oder Ablösung von Chaos Labs.“
Die Kritik betrifft ein tieferliegendes Problem, das über Chaos Labs hinausgeht. Der Bridge-Adapter-Code entspricht dem Standard-LayerZero-OFT-Boilerplate-Code, daher ist dertracselbst fehlerfrei. Der Fehler liegt in der Deployment-Konfiguration, die außerhalb des üblichen Rahmens eines Solidity-Audits liegt.
Die Risikomanagement-Frameworks für DeFi -Kredite wurden im Wesentlichen entwickelt, um Schwachstellen in Smarttracaufzudecken. Die Konfiguration der Bridge-Sicherheit (die sich speziell mit der Frage befasst, ob ein Cross-Chain-Token auf einen oder mehrere Verifizierer angewiesen ist) stand nicht auf der Checkliste von Chaos Labs.
LayerZero hat nun mitgeteilt, dass es die Signierung von Nachrichten von allen Anwendungen einstellen wird, die eine 1/1-DVN-Konfiguration verwenden, und fordert außerdem alle Anwendungen dringend auf, auf Multi-DVN-Setups umzusteigen.
Aave V4 wurde am 30. März im Ethereum Mainnet eingeführt. Die Behauptung des Anbieters, dass der offizielle Start am 30. April mit einem neuen Sicherheitenmechanismus erfolgen wird, der Berichten zufolge etwa 4-6 Milliarden US-Dollar an derzeitigen Brückenvermögen unzulässig machen wird, sofern die Protokolle nicht ein DVN-Mindestniveau von 3/5 nachweisen, bleibt unbestätigt.
Die Risikomanager hatten, wie @aixbt es ausdrückte, „kein eigenes Risiko, keine finanzielle Haftung und keinen Anreiz, tiefer zu graben als bei einem Peckshield-Audit und einer Überprüfung Chainlink -Orakels.“
