Aave réécrit le règlement après que le plus grand exploit DeFi de 2026 a révélé un risque systémique caché : non pas un code de prêt défectueux, mais une passerelle interchaîne compromise. Ce qui s’est produit - En avril, des attaquants ont exploité KelpDAO’s rsETH — un jeton « restaké » d’ether qui représente les ETH stakées réutilisées par les utilisateurs — en falsifiant un message interchaîne via la passerelle LayerZero. - Un seul vérificateur du réseau LayerZero a approuvé le message falsifié, permettant à l’attaquant de créer 116 500 rsETH non garantis sur la chaîne réceptrice. - Ces jetons rsETH falsifiés ont été déposés comme garantie dans Aave v3, permettant l’octroi d’environ 230 millions de dollars en prêts que Aave n’a pas pu récupérer une fois révélé que les jetons étaient sans valeur. - Crucialement, les contrats intelligents d’Aave ont fonctionné comme conçu ; l’échec provenait du processus de vérification de la passerelle. LayerZero a reconnu avoir « commis une erreur » en exploitant un système de vérification à haute valeur dans une configuration unique. Réponse d’Aave : critères de risque élargis et défenses accélérées - Dans un post-mortem détaillé, Aave a annoncé un examen complet de chaque actif listé sur V3 et une réécriture de ses normes d’inscription. Le protocole affirme que les évaluations traditionnelles — volatilité, liquidité et audits de contrats intelligents — ne sont plus suffisantes. - Désormais, l’approbation des garanties évaluera explicitement l’infrastructure hors chaîne et inter-protocoles : sécurité des passerelles et modèles de vérification, dépendances aux oracles, arrangements de custodie, contrats tiers, sécurité opérationnelle et liquidité sur les marchés secondaires, en complément des risques financiers et code. - Aave développe également des protections automatisées pour agir rapidement en cas de détresse des actifs. Une mesure proposée consisterait à réduire automatiquement le rapport prêt/valeur (LTV) d’un actif à zéro si des seuils de risque prédéfinis sont franchis, supprimant ainsi sa capacité d’emprunt avant que les pertes ne se propagent. Mesures immédiates de gestion des risques - Depuis l’exploit, l’équipe risque d’Aave a déjà mis en œuvre environ 295 modifications de paramètres sur les marchés V3, incluant 168 réductions de plafonds de dépôt et 66 réductions de plafonds d’emprunt pour limiter l’exposition aux actifs vulnérables. Pourquoi cela compte - L’incident met en lumière comment l’infrastructure DeFi de plus en plus interconnectée — passerelles, réseaux de messagerie et autres vérificateurs hors chaîne — peut créer des surfaces d’attaque que les revues traditionnelles axées sur les contrats intelligents ignorent. - La refonte d’Aave signale un changement plus large dans l’industrie : les protocoles devront évaluer non seulement les contrats de jetons, mais aussi l’infrastructure externe sur laquelle ces jetons reposent. À mesure que DeFi devient plus composable, ces dépendances deviendront centrales pour mesurer le risque systémique. Conclusion : l’exploit a été un signal d’alerte. Aave l’utilise pour promouvoir des revues de garanties et des mécanismes de sécurité automatisés qui prennent en compte les menaces interchaînes et opérationnelles — un modèle que d’autres protocoles pourraient bientôt être contraints de suivre.
Aave resserre les règles de garantie après un exploit de 230 M $ rsETH via le pont LayerZero
ChainGPTPartager
Résumé
Aave a mis à jour ses règles concernant les cryptomonnaies après une exploitation DeFi de 230 millions de dollars impliquant le jeton rsETH de KelpDAO. Les attaquants ont utilisé un message cross-chain falsifié via le pont LayerZero pour créer 116 500 jetons rsETH non garantis, qui ont été déposés comme garantie sur Aave v3. Les contrats intelligents du protocole ont fonctionné correctement, mais la violation a révélé des faiblesses dans la vérification des ponts. Aave révise actuellement ses normes de liste d'actifs pour prendre en compte les risques hors ligne, tels que la sécurité des ponts et les dépendances aux oracles. Le protocole a déjà effectué 295 modifications de paramètres pour réduire l'exposition aux actifs vulnérables.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.