1/ stETH CAPO Fehlkonfiguration Heute hat eine Fehlkonfiguration im CAPO-Orakel von Aave zu Liquidationen im E-Modus von wstETH geführt, was zu einem Verlust von 345 ETH führte. Es wurden keine schlechten Schulden angehäuft, und alle betroffenen Nutzer werden vollständig entschädigt. Mehr dazu unten.

2/ Risiko-Orakel sind eine kritische Infrastruktur für Aave und haben seit dem Start Hunderte von Milliarden an Krediten, Liquidationen und Märkten gesichert. Sie ermöglichen es dem Protokoll, kontinuierliche Updates der Risikoparameter zu erhalten, um sich in dynamischen, volatilen Märkten zurechtzufinden.

3/ Zum Kontext: Risk Oracles wurden vor über einem Jahr gestartet und haben über 1.200 Payloads für ~3k+ Parameter gestreamt, ohne dass es zu Vorfällen gekommen ist, die zu Aaves stärkster Wachstumsphase aller Zeiten beigetragen haben.

4/ Das Aave CAPO (Correlated Asset Price Oracle) System zielt darauf ab, einen bekannten Exploit-Vektor von Orakeln zu verhindern, der mit künstlich aufgeblähten Wechselkurswerten und Spendenangriffen verbunden ist, indem ein maximaler Deckel für einen Wechselkurs-Orakel basierend auf beobachteten realistischen Wachstumsdynamiken berechnet wird.

5/ CAPO ist ein hybrides Orakel-System: Das Offchain Chaos Oracle berechnet und übermittelt Aktualisierungen des maximalen Wechselkurses und der Wachstumsrate, während die Smart Contracts von BGD als Quelle der Wahrheit dienen und die Validierungslogik durchsetzen.

6/ Das Chaos Oracle ist heute live gegangen, während die CAPO wstETH Smart Contracts Anfang 2024 initialisiert wurden und ein Snapshot-Verhältnis von 1,15 gespeichert haben; mehr dazu bald.

7/ Die Verträge dienen als wichtige On-Chain-Schutzvorrichtung. Sie begrenzen das Wachstum des Referenzwechselkurses (`snapshot ratio`) auf 3% über einen Zeitraum von 3 Tagen und schützen vor Inflationsangriffen und schlechten Updates.

8/ Um 11:46 UTC berechnete das Chaos Oracle das korrekte wstETH/stETH-Snapshot-Verhältnis von ~1,2282, basierend auf dem 7 Tage alten Wechselkurs, wie vorgesehen. Dies sollte als Referenzpunkt für die Berechnung der oberen Grenze der gültigen Wechselkurse des Vertrags dienen.

9/ Das Problem: Dieser Wert konnte nicht eingereicht werden. Der Vertrag hätte ihn abgelehnt, weil der korrekte Snapshot-Wert mehr als 3 % über dem veralteten Wert von Februar 2024 gestiegen ist.

10/ Der Oracle tat dann, wofür es entworfen wurde: Es fragte den Vertrag nach dem maximal zulässigen Wert und reichte diesen ~1,19 ein.

11/ Unter normalen Bedingungen, wenn das vorherige Snapshot-Verhältnis nahe am korrekten Satz liegt, ist dies das genaue Rückfallverhalten, das wir wollen: so nah wie möglich am wahren Wert.

12/ Das Problem: Während das Snapshot-Verhältnis auf ~1,19 begrenzt war, spiegelte der Snapshot-Zeitstempel dennoch einen 7 Tage alten Referenzpunkt wider.

13/ CAPO berechnet seine Preisobergrenze aus dem Verhältnis + vergangene Zeit. Ein niedriges Verhältnis, kombiniert mit einem Zeitstempel, der ein vollständiges 7-tägiges Wachstumsfenster annimmt, führte zu einer Obergrenze unter dem aktuellen Marktpreis. Das hat den Oracle-Preis künstlich um ~2,85 % gedrückt, was E-Mode-Liquidationen ausgelöst hat.

14/ Hauptursache: Der Smart Contract hat unterschiedliche Einschränkungen auf das Snapshot-Verhältnis und den Snapshot-Zeitstempel angewendet.

15/ Das Verhältnis war drosselungsbegrenzt, während der Zeitstempel es nicht war. Als diese aus dem Gleichgewicht gerieten, weil der Vertrag mit einem alten Verhältnis initialisiert wurde, geriet das System in einen inkonsistenten Zustand.

16/ Behebung Chaos und BGD intervenierten sofort: → wstETH-Leihobergrenzen auf 1 in betroffenen Instanzen reduziert → Das Snapshot-Verhältnis manuell über Risk Steward angepasst → Der Wechselkurs von CAPO wurde wiederhergestellt

17/ Nächste Schritte Jeder betroffene Nutzer wird vollständig entschädigt. Die Aave DAO SPs finalisieren den Entschädigungsplan und werden ihn in Kürze veröffentlichen. Bemerkenswerterweise wurden bereits 141 ETH über BuilderNet-Rückerstattungen zurückgewonnen.