Aave의 CAPO Oracle이 설정 불일치로 wstETH 가격을 1.19 ETH로 오류 산출해 $27.78M 규모 청산 발생

Context

Aave의 CAPO Oracle은 오라클 조작 방지를 위해 설계된 자동화 시스템으로, 속도를 우선시해 타임락이나 멀티시그 검토 없이 1블록 내에 실행된다. 2026년 3월 10일 snapshotRatio와 referenceRate 두 매개변수 간 설정 불일치로 인해 wstETH 가격이 시장가 대비 2.85% 낮게 산출되었다.

Technical Solution

• 안전 경계 검증 추가: 새로운 값과 기존 값의 편차를 MAX_DEVIATION_BPS 기준으로 비교하고, 초과 시 타임락이 적용된 업데이트 스케줄 기능 구현
• 다중 매개변수 일관성 검사: snapshotRatio와 exchangeCache 변경 시 계산 결과의 outputDelta를 MAX_OUTPUT_CHANGE_BPS로 검증해 동시 업데이트의 정합성 보장
• 계층화된 타임락 메커니즘: 루틴 업데이트는 30분 지연, 긴급 업데이트는 멀티시그 서명 후 즉시 실행하는 UpdateType 열거형으로 구분
• 독립적 모니터링 시스템: LTV Protocol 같은 제3자 모니터링을 일급 시민으로 구축해 공식 포스트모템보다 먼저 이상 감지
• 매개변수 업데이트 검증 강화: updateParameters() 함수에 onlyRole 제어만 적용했던 기존 방식을 일관성 검증 로직으로 대체

Impact

• 34개 E-Mode 포지션 청산
• 10,938 wstETH 손실
• 총 $27.78M 규모의 유동성 손실 발생

Key Takeaway

자동화 시스템의 빠른 응답 속도와 안전장치 간의 트레이드오프를 설계할 때, 매개변수 일관성 검사와 독립적 모니터링을 통해 자동 실패 감지 메커니즘을 구축해야 한다. 1,200회 이상의 성공 이력은 오류 하나에 대한 경계를 약화시킬 수 있으므로, 성공 기록과 관계없이 각 업데이트마다 일관된 검증 기준을 적용해야 한다.