Aave déclare que ses opérations sont revenues à la...

Le protocole de financement décentralisé Aave a récemment révélé qu'il avait entièrement rétabli la liquidité de ses pools de prêts à la suite d'un exploit inter-chaînes de 300 millions de dollars.

L'anatomie de l'exploit

Le pionnier de la finance décentralisée (DeFi), Aave, a réussi à restaurer la totalité de la liquidité de ses pools de prêts, clôturant un effort agressif de stabilisation de plusieurs semaines à la suite d'un exploit inter-chaînes de 300 millions de dollars qui menaçait les réserves de liquidités du protocole, ont annoncé les développeurs le 1er juin.

Aave a déclaré dans son post-mortem qu'en mobilisant un fonds de sauvetage de 300 millions de dollars à l'échelle du secteur et en obtenant une ordonnance d'urgence d'un tribunal fédéral, elle a été en mesure de remplacer les actifs épuisés, de protéger les déposants des pertes et de rétablir les opérations normales d'emprunt et de prêt dans l'ensemble du protocole.

La publication de l'autopsie est intervenue plus d'un mois après qu'un attaquant a exploité un pont tiers exploité par Kelp et Layerzero. En fabriquant des messages inter-chaînes, le pirate informatique a créé 116 500 jetons rsETH contrefaits et les a déposés sur la plate-forme V3 d'Aave en guise de garantie.

L'attaquant a immédiatement utilisé le faux rsETH comme garantie pour siphonner des actifs très liquides, empruntant 82 650 Ethereum enveloppés (WETH) et 821 Ethereum jalonnés enveloppés (wstETH). Le retrait massif et soudain a affaibli structurellement les principaux pools de liquidités d’Aave, obligeant les gestionnaires de risques à geler les marchés concernés pour éviter une ruée en cascade sur le capital de la plateforme.

Pour combler le trou, Aave Labs a aidé à mobiliser une coalition d’urgence composée d’acteurs majeurs de l’industrie, dont Lido, Ether.fi, Ethena et Compound. Ensemble, le groupe a structuré un fonds de relance de 300 millions de dollars. Cette injection de capital a effectivement soutenu les actifs rsETH compromis, garantissant que chaque dollar de dépôts des utilisateurs reste entièrement garanti par des réserves authentiques.

Dégeler le capital

Cependant, le chemin vers le rétablissement des liquidités s'est heurté à un obstacle juridique le 1er mai, lorsque les créanciers judiciaires dans une affaire fédérale sans rapport ont intercepté le processus de recouvrement. Les créanciers ont obtenu un avis de restriction qui a gelé environ 71 millions de dollars d’Ethereum qui avaient été récupérés auprès de l’attaquant et qui devaient reconstituer les pools d’Aave.

Aave a répondu en déposant une requête d'urgence devant un tribunal fédéral américain le 4 mai, et quatre jours plus tard, un juge a accordé une modification cruciale au gel, autorisant le transfert immédiat des 71 millions de dollars sous la garde directe d'Aave. Cette avancée juridique a permis aux développeurs de réacheminer instantanément les fonds vers les pools de prêts actifs du protocole, rétablissant ainsi la profondeur de liquidité requise pour des opérations de marché sûres.

Avec des réserves de capital entièrement reconstituées et des paramètres de marché pré-exploités rétablis, Aave revoit son architecture de risque pour protéger ses liquidités des futures défaillances systémiques de tiers.

Pour empêcher de futurs attaquants de convertir les jetons exploités en actifs de protocole liquides, les développeurs d'Aave ont exécuté 295 mises à jour de paramètres individuels, réduisant considérablement les plafonds d'emprunt et d'approvisionnement sur 168 pools d'actifs distincts.

De plus, le protocole met en œuvre un disjoncteur automatisé LTV0 (prêt à valeur zéro). À l’avenir, si l’infrastructure inter-chaînes sous-jacente d’un actif subit une faille de sécurité, le système dépouillera instantanément cet actif de sa valeur de garantie. Cela garantit que les jetons compromis ne peuvent plus être utilisés pour emprunter ou drainer des liquidités authentiques des marchés d’Aave.