Le géant DeFi Aave est sous le choc d'une chute vertigineuse de 6 milliards de dollars en valeur totale bloquée après que l'exploit Kelp ait mis à nu des vulnérabilités cachées.
Aave vient de voir 6,6 milliards de dollars sortir, et ce n'est pas parce que quelqu'un a piraté Aave.
La valeur totale bloquée du protocole est passée de 26,4 milliards de dollars le 18 avril à près de 20 milliards de dollars dimanche matin aux États-Unis, selon DefiLlama. Le jeton $AAVE a chuté de 16 % à 92 $ et les frais quotidiens ont grimpé à 1,99 million de dollars alors que les liquidations se déroulaient tout au long du week-end.
Les déposants fuient parce qu’Aave porte un trou qu’il n’a pas créé. Lorsque les attaquants ont drainé 116 500 rsETH du pont de Kelp samedi, ils ont jeté les jetons volés sur Aave V3 comme garantie et ont emprunté de l'éther enveloppé contre eux.
Les trackers en chaîne évaluent l'emprunt spécifique à Aave à environ 196 millions de dollars, avec des positions totales dans Aave, Compound et Euler à environ 236 millions de dollars.
Aave est le plus grand protocole de prêt de DeFi, où les utilisateurs déposent des crypto-monnaies pour gagner du rendement et d'autres utilisateurs empruntent contre des garanties. Kelp est un protocole de reprise liquide, qui prend l'éther déjà mis en jeu sur Ethereum et l'achemine via un système de génération de rendement distinct appelé EigenLayer, émettant en échange un jeton de reçu appelé rsETH.
Ce rsETH est ce que les utilisateurs négocient et, surtout, ce que certains utilisateurs ont publié sur Aave comme garantie contre laquelle emprunter.
Samedi, des attaquants ont trompé le pont inter-chaînes de Kelp en libérant 116 500 rsETH, d'une valeur d'environ 292 millions de dollars, à une adresse qu'ils contrôlaient. Ils ont ensuite déposé le rsETH volé sur Aave V3 comme garantie et ont emprunté de l'éther enveloppé contre celui-ci.
Un pont est une prise basée sur la blockchain qui transfère des jetons entre différents réseaux, où ils peuvent ne pas être pris en charge à l'origine.
Aave a d'abord déclaré que la réserve Umbrella couvrirait tout déficit. Samedi après-midi, le langage s'était adouci pour "explorer les voies permettant de compenser le déficit". Ce n’est pas ainsi que parle un protocole lorsqu’il sait combien il doit et a l’argent pour le payer.
La concentration explique pourquoi les dégâts atterrissent ici. Le portefeuille de prêts d'Aave s'étend sur 22 chaînes, mais Ethereum détient à lui seul 14,24 milliards de dollars sur les 17,82 milliards de dollars d'emprunts en cours. WETH représente 39,49 % de tous les prêts sur le protocole, ce qui signifie que l'attaque a touché exactement la paire garantie-WETH qui domine le livre d'Aave.
Stani Kulechov, fondateur d'Aave, a déclaré que l'exploit était externe et que les contrats du protocole n'étaient pas compromis. Mais Aave a accepté un jeton de reprise liquide comme garantie, et le support de ce jeton a disparu sur un pont qu'Aave ne contrôle pas. Les déposants sont perdants dans tous les cas.
Les jetons de reprise de liquidités ont été ajoutés à la liste blanche de tous les principaux protocoles de prêt, car ils rapportaient du rendement et représentaient une part croissante de la valeur verrouillée d'Ethereum.
Les modèles de risque les ont évalués comme s’ils resteraient arrimés dans des conditions normales. Cependant, aucun d’entre eux n’a évalué un scénario dans lequel la garantie tomberait à zéro parce qu’un pont sur une chaîne qu’Aave ne touche pas a été exploité un samedi.
"$AAVE est l'épine dorsale de DeFi, contient des milliards, et presque toutes les nouvelles infrastructures DeFi sur les nouvelles chaînes en sont une branche", a écrit le trader Altcoin Sherpa sur X. "Lorsque $AAVE présente un risque de contagion, cela montre la fragilité de l'ensemble du système."
La question à laquelle le prix symbolique tente maintenant de répondre est de savoir si Umbrella est suffisamment grand pour couvrir le trou et si les détenteurs de stkAAVE qui soutiennent cette réserve sont sur le point de subir la perte.