Een kleine instellingfout in het prijssysteem van Aave zorgde er kort voor dat een populaire token goedkoper leek dan het in werkelijkheid was. Hierdoor werden gebruikersposities ter waarde van $26 miljoen geliquideerd.
De getroffen token was Wrapped stETH (wstETH), een opbrengstgevende asset die vaak als onderpand wordt gebruikt op het Aave leenplatform.
Hoe een prijsstoring miljoenen aan gedwongen verkopen veroorzaakte
Aave gebruikt, net als de meeste leenprotocollen, prijsfeeds om te bepalen of het onderpand van een lener voldoende is om zijn leningen te dekken.
Wanneer de waarde van het onderpand daalt, liquideert het protocol automatisch posities om de uitleners te beschermen. In dit geval was de waarde van het onderpand in werkelijkheid niet gedaald. Het systeem van Aave dacht alleen dat dit wel zo was.
Het protocol gebruikt een veiligheidsmechanisme genaamd CAPO, wat staat voor Capped Asset Price Oracle. Dit beschermt tegen plotselinge, kunstmatige prijsstijgingen die door kwaadwillenden kunnen worden misbruikt.
CAPO stelt in feite een limiet aan hoe snel een asset in prijs mag stijgen, aan de hand van twee interne instellingen die gelijk moeten blijven. Deze twee instellingen raakten niet meer gelijk.
- De ene werd deels bijgewerkt door een ingebouwde snelheidslimiet.
- De andere ging vooruit alsof de volledige update was doorgevoerd.
Het verschil tussen de instellingen zorgde ervoor dat Aave een wstETH prijs berekende die ongeveer 2,85% lager lag dan de werkelijke waarde.
Voor de meeste gebruikers zou een verschil van 2,85% weinig betekenen. Maar voor mensen met posities met veel leverage, waarbij ze bijna op het maximum lenen tegenover hun onderpand, was het genoeg om hun accounts in liquidatiegebied te duwen.
Wat is er gebeurd met de geliquideerde gebruikers
In totaal werden verspreid over 34 accounts ongeveer 10.938 wstETH automatisch verkocht om leningen af te lossen die bij een normale prijs gewoon veilig zouden zijn geweest.
Volgens de post-mortem van risicobedrijf Chaos Labs, maakten externe bots die Aave op liquidatiekansen volgen, ongeveer 499 ETH winst tijdens het incident.
Aave zelf verloor geen geld. Alle leningen werden terugbetaald en de reserves van het protocol werden niet aangeraakt.
“Er was geen impact op het Aave Protocol”, verzekerde Stani Kulechov, de oprichter en CEO van Aave.
De gebruikers die wel werden geliquideerd, leden echter echt verlies. Aave werkt er nu aan om deze mensen te compenseren.
Het protocol wist via een mechanisme genaamd BuilderNet refunds 141,5 ETH van het weggenomen geld terug te halen, plus nog eens 13 ETH aan kosten.
Deze teruggehaalde middelen gaan direct naar de getroffen gebruikers. Aave bevestigde dat het resterende gat, gemaximeerd op 345 ETH, wordt aangevuld door de DAO-treasury. Hierin zit geld dat Aave via het protocol verdient.
Community-lid Frida stelde in de openbare forumdiscussie een kritische vraag, namelijk of Chaos Labs – het risicobedrijf dat de prijs-instellingen voor Aave beheert – ook financieel verantwoordelijk moet worden gehouden:
“Draagt Chaos Labs enige verantwoordelijkheid voor wat er is gebeurd? Komt er een apart voorstel om leners te compenseren waarbij CL ook bijdraagt aan de financiering?” vroeg Frida.
De post-mortem van Aave wees niet direct met de vinger naar Chaos Labs, maar noemt het incident een configuratiefout en geen ontwerpfout.
Het is nog niet bekend of het risicobedrijf financieel zal bijdragen aan de compensatie, want Aave heeft niet direct gereageerd op het verzoek van BeInCrypto om een reactie.
Toch gaf Omer Goldberg, de oprichter van Chaos Labs, aan dat iedere getroffen gebruiker vergoed zal worden.
“Elke getroffen gebruiker wordt volledig vergoed. De Aave DAO SP’s ronden het vergoedingsplan af en publiceren dit binnenkort,” schreef Omer.
De leengrenzen op wstETH, die tijdelijk bevroren waren tijdens het incident, worden op beide getroffen Aave-markten weer teruggezet naar het vorige niveau.
Na publicatie van de post-mortem steeg AAVE met 1,53% naar $110,52. Dit wijst erop dat de markt de reactie als voldoende schadebeperking zag.
