1/ stETH CAPO-feilkonfigurasjon I dag førte en feilkonfigurasjon på Aaves CAPO-orakel til likvidasjoner av wstETH E-Mode, noe som resulterte i et tap på 345 ETH. Ingen dårlig gjeld ble pådratt seg, og alle berørte brukere vil bli fullstendig refundert. Mer nedenfor.

2/ Risikoorakler er kritisk infrastruktur for Aave og har sikret hundrevis av milliarder i lån, likvidasjoner og markeder siden lanseringen. De gjør det mulig for protokollen å motta strømmende oppdateringer av risikoparametere, for å navigere i dynamiske, volatile markeder.

3/ For kontekst: Risk Oracles ble lansert for over ett år siden og har streamet over 1 200 nyttelaster for ~3 000+ parametere, uten noen hendelser som bidrar til Aaves sterkeste vekstfase noensinne.

4/ Aave CAPO (Correlated Asset Price Oracle)-systemet har som mål å forhindre en velkjent Oracle-utnyttelsesvektor som involverer kunstig oppblåste valutakursverdier og donasjonsangrep, ved å beregne et maksimalt tak på et valutakursorakel basert på observerte realistiske vekstdynamikker.

5/ CAPO er et hybrid orakelsystem: det off-chain Chaos Oracle beregner og sender inn maksimale valutakurs- og vekstrateoppdateringer, mens BGDs smarte kontrakter fungerer som kilden til sannhet og håndhever valideringslogikk.

6/ Chaos Oracle ble lansert i dag, mens CAPO wstETH smartkontraktene ble initialisert tidlig i 2024, og lagret et snapshot-forhold på 1,15; Mer om dette snart.

7/ Kontraktene fungerer som et nøkkel-på-kjede-håndtak. De begrenser referansekursveksten ('snapshot ratio') til 3 % over et 3-dagers vindu, og beskytter mot inflasjonsangrep og dårlige oppdateringer.

8/ Klokken 11:46 UTC beregnet Chaos Oracle det korrekte wstETH/stETH snapshot-forholdet på ~1,2282, basert på den 7 dager gamle valutakursen, som designet. Dette bør fungere som referansepunkt for å beregne øvre grense for kontraktens gyldige valutakurser.

9/ Problemet: den verdien kunne ikke sendes inn. Kontrakten ville ha avvist det fordi den korrekte øyeblikksbildeverdien vokste mer enn 3 % over den utdaterte verdien i februar 2024.

10/ Orakelet gjorde deretter det det var ment å gjøre: spurte kontrakten for maksimal tillatt verdi, og sendte inn ~1,19.

11/ Under normale forhold, hvor forrige snapshot-forhold er nær riktig rate, er dette den eksakte fallback-atferden vi ønsker: kom så nær den sanne verdien som mulig.

12/ Problemet: selv om snapshot-forholdet var begrenset til ~1,19, reflekterte snapshot-tidsstempelet fortsatt et 7 dager gammelt referansepunkt.

13/ CAPO beregner sin pristak ut fra forholdet + forlatt tid. Et lavt forhold, kombinert med et tidsstempel som forutsetter et fullt 7-dagers vekstvindu, resulterte i et tak under dagens markedsrente. Dette presset kunstig orakelprisen med ~2,85 %, noe som utløste E-Mode-likvidasjoner.

14/ Rotårsak: smartkontrakten påla ulike begrensninger på snapshot-forholdet og snapshot-tidsstempelet.

15/ Forholdet var prisbegrenset, mens tidsstempelet ikke var det. Når disse falt ut av synk, fordi kontrakten ble initialisert med et gammelt forhold, gikk systemet inn i en inkonsistent tilstand.

16/ Opprydding Kaos og BGD grep umiddelbart inn: → Reduserte wstETH-lånegrenser til 1 på berørte tilfeller → Manuelt justert øyeblikksbildeforholdet via Risk Steward → CAPOs valutakurs er gjenopprettet

17/ Neste steg Alle berørte brukere vil få full refusjon. Aave DAO SP-ene holder på å ferdigstille refusjonsplanen og vil publisere den snart. Merkbart er 141 ETH allerede innhentet via BuilderNet-refusjoner.