Un piccolo disallineamento nelle impostazioni del sistema di pricing di Aave ha reso brevemente un popolare token apparentemente più economico di quanto fosse in realtà, ed è bastato a cancellare posizioni utente per 26 milioni di dollari.
Il token coinvolto era Wrapped stETH (wstETH), un asset che genera rendimento e viene comunemente utilizzato come collaterale sulla piattaforma di lending Aave.
Come un errore di prezzo ha innescato milioni in vendite forzate
Aave, come la maggior parte dei protocolli di lending, si affida a dei price feed per determinare se il collaterale di un mutuatario sia sufficiente a coprire i suoi prestiti.
Quando il valore del collaterale scende, il protocollo liquida automaticamente le posizioni per proteggere i prestatori. In questo caso, il collaterale in realtà non è diminuito. Il sistema di Aave però ha ritenuto che fosse così.
Il protocollo usa un meccanismo di sicurezza chiamato CAPO (Capped Asset Price Oracle), che serve a proteggere da improvvisi e artificiali spike di prezzo che potrebbero essere sfruttati da malintenzionati.
In pratica, CAPO imposta un tetto alla velocità con cui il prezzo di un asset può aumentare, utilizzando due impostazioni interne che devono rimanere sincronizzate. Queste due impostazioni si sono invece disallineate.
- Una è stata aggiornata solo in parte a causa di un limite di velocità incorporato
- L’altra ha continuato come se l’aggiornamento completo fosse andato a buon fine.
La differenza tra queste due impostazioni ha portato Aave a calcolare il prezzo di wstETH circa del 2,85% inferiore al suo reale valore.
Per la maggior parte degli utenti, una discrepanza del 2,85% non avrebbe conseguenze. Tuttavia, per coloro che avevano posizioni molto a leva, dove il prestito era vicino al limite del collaterale, ciò è bastato a spingere i loro conti in zona liquidazione.
Cosa è successo agli utenti liquidati
Su 34 account, circa 10.938 wstETH sono stati automaticamente venduti per coprire prestiti che, con la normale valutazione, sarebbero stati perfettamente in salute.
Bot di terze parti, che monitorano Aave alla ricerca di opportunità di liquidazione, hanno incassato circa 499 ETH di profitti da questo episodio, secondo il post-mortem pubblicato dalla società di risk management Chaos Labs.
Aave non ha subito perdite. Tutti i prestiti sono stati rimborsati e le riserve del protocollo non sono state intaccate.
“Non c’è stato alcun impatto per il protocollo Aave,” ha rassicurato Stani Kulechov, fondatore e CEO di Aave.
Tuttavia, gli utenti che sono stati liquidati hanno subito delle perdite reali, e Aave ora sta lavorando per risarcirli.
Il protocollo è riuscito a recuperare 141,5 ETH dei fondi persi attraverso un meccanismo chiamato BuilderNet refunds, oltre ad altri 13 ETH di commissioni.
I fondi recuperati saranno destinati direttamente agli utenti colpiti. Aave ha confermato che l’eventuale differenza rimanente, fino a un massimo di 345 ETH, sarà coperta dalla tesoreria della DAO, finanziata con i ricavi del protocollo.
Un membro della community, Frida, ha posto una domanda più incisiva nel thread pubblico, chiedendo se Chaos Labs, la società di risk management che gestisce le configurazioni degli oracoli di Aave, debba condividere la responsabilità finanziaria:
“Chaos Labs ha qualche responsabilità per quanto accaduto? Ci sarà una proposta separata su come risarcire i mutuatari che prevede anche la partecipazione di CL al finanziamento?” ha chiesto Frida.
Il post-mortem di Aave non si è spinto fino ad attribuire la colpa a Chaos Labs, ma ha presentato l’incidente come un problema di configurazione più che come un difetto di progettazione.
Non è ancora noto se la società di risk management contribuirà al risarcimento, poiché Aave non ha risposto immediatamente alla richiesta di commento di BeInCrypto.
Tuttavia, il fondatore di Chaos Labs, Omer Goldberg, ha indicato che ogni utente colpito sarà rimborsato.
“Ogni utente colpito sarà completamente rimborsato. Gli SP della DAO di Aave stanno finalizzando il piano di rimborso e lo pubblicheranno a breve,” ha scritto Omer.
I limiti di prestito su wstETH, che erano stati temporaneamente congelati durante l’incidente, saranno ripristinati ai livelli precedenti su entrambi i mercati Aave coinvolti.
Dopo la pubblicazione del post-mortem, AAVE è stato scambiato in rialzo dell’1,53% a $110,52, suggerendo che il mercato ha giudicato la risposta come un controllo dei danni adeguato.
