Aave a annoncé le 1er juin avoir restauré la liquidité totale de ses pools de prêt après un exploit inter-chaînes de 300 millions de dollars qui a menacé les réserves de trésorerie du protocole. Le protocole de finance décentralisée a mobilisé un fonds de secours d'une valeur de 300 millions de dollars au niveau de l'industrie et a obtenu une ordonnance d'un tribunal fédéral d'urgence pour remplacer les actifs vidés, protéger les déposants contre les pertes et rétablir des opérations normales d'emprunt et de prêt. L'annonce est intervenue plus d'un mois après qu'un attaquant a exploité un pont tiers opéré par Kelp et Layerzero, en frappant 116 500 jetons rsETH contrefaits et en les utilisant comme collatéral pour siphonner 82 650 ethers enveloppés et 821 ethers stakés enveloppés depuis la plateforme V3 d'Aave.
L'attaquant a exploité le pont Kelp-Layerzero pour créer un collatéral contrefait
L'attaquant a exploité un pont tiers opéré par Kelp et Layerzero en fabriquant des messages inter-chaînes. Le pirate a frappé 116 500 jetons rsETH contrefaits et les a déposés dans la plateforme V3 d'Aave comme collatéral. L'attaquant a immédiatement utilisé le faux rsETH comme collatéral pour emprunter 82 650 ethers enveloppés (WETH) et 821 ethers stakés enveloppés (wstETH). Le retrait massif soudain a fragilisé structurellement les pools de liquidité essentiels d'Aave, forçant les gestionnaires de risque à geler les marchés concernés afin d'empêcher une ruée en cascade sur le capital de la plateforme.
Aave Labs a mobilisé $300M un fonds de rétablissement avec une coalition de l'industrie
Aave Labs a contribué à mobiliser une coalition d'urgence de grands acteurs de l'industrie, dont Lido, Ether.fi, Ethena et Compound. Ensemble, le groupe a structuré un fonds de rétablissement de 300 millions de dollars. Cette injection de capital a efficacement soutenu en arrière-plan les actifs rsETH compromis, garantissant que chaque dollar des dépôts des utilisateurs reste entièrement garanti par des réserves authentiques.
La cour fédérale a autorisé le transfert d'urgence des fonds $71M récupérés
Le 1er mai, des créanciers titulaires de jugements dans une affaire fédérale distincte ont intercepté le processus de récupération. Les créanciers ont obtenu un avis de suspension qui a gelé environ 71 millions de dollars en ethereum ayant été récupérés auprès de l'attaquant et destinés à réalimenter les pools d'Aave. Aave a réagi en déposant une requête d'urgence devant la cour fédérale américaine le 4 mai. Quatre jours plus tard, le 8 mai, un juge a accordé une modification cruciale du gel, autorisant le transfert immédiat des 71 millions de dollars vers la garde directe d'Aave. Cette avancée juridique a permis aux développeurs d'acheminer instantanément les fonds vers les pools de prêt actifs du protocole, restaurant la profondeur de liquidité nécessaire aux opérations sûres des marchés.
Aave a exécuté 295 mises à jour de paramètres et un coupe-circuit LTV0
Avec des réserves de capitaux entièrement reconstituées et les paramètres de marché antérieurs à l'exploit rétablis, Aave remanie son architecture de risque afin d'isoler sa liquidité des futures défaillances systémiques de tiers. Pour empêcher les futurs attaquants de convertir des jetons exploités en actifs liquides du protocole, les développeurs d'Aave ont effectué 295 mises à jour individuelles de paramètres, réduisant fortement les plafonds d'emprunt et d'approvisionnement sur 168 pools d'actifs distincts. En outre, le protocole met en place un coupe-circuit automatisé LTV0 (loan-to-value zéro). À l'avenir, si l'infrastructure inter-chaînes sous-jacente d'un quelconque actif subit une brèche de sécurité, le système retirera instantanément à cet actif sa valeur de collatéral. Cela garantit que les jetons compromis ne pourront plus être utilisés pour emprunter ou drainer la liquidité authentique des marchés d'Aave.
Questions fréquentes
Qu'a annoncé Aave le 1er juin ?
Aave a annoncé le 1er juin avoir restauré la liquidité totale de ses pools de prêt à la suite d'un exploit inter-chaînes de 300 millions de dollars. Le protocole a mobilisé un fonds de secours d'une valeur de 300 millions de dollars au niveau de l'industrie et a obtenu une ordonnance d'un tribunal fédéral d'urgence pour remplacer les actifs vidés et rétablir des opérations normales d'emprunt et de prêt.
Comment l'attaquant a-t-il exploité la plateforme d'Aave ?
L'attaquant a exploité un pont tiers opéré par Kelp et Layerzero en fabriquant des messages inter-chaînes afin de frapper 116 500 jetons rsETH contrefaits. Ces jetons factices ont été déposés dans la plateforme V3 d'Aave comme collatéral et ont été immédiatement utilisés pour emprunter 82 650 ethers enveloppés et 821 ethers stakés enveloppés.
Quelles mesures de sécurité Aave a-t-il mises en place après l'exploit ?
Aave a exécuté 295 mises à jour individuelles de paramètres, réduisant les plafonds d'emprunt et d'approvisionnement sur 168 pools d'actifs distincts. Le protocole a également mis en place un coupe-circuit automatisé LTV0 qui retirera instantanément de tout actif compromis sa valeur de collatéral si l'infrastructure inter-chaînes sous-jacente subit une brèche de sécurité.
