C'est précisément cette ouverture architecturale qui a permis à un message cross-chain falsifié sur le pont Kelp DAO de causer des créances douteuses à hauteur de plusieurs centaines de millions de dollars sur Aave, et qui a également généré sa propre solution en 48 heures : une voie de sortie d'urgence a été lancée par une alliance de protocoles DeFi.
Fluid, une bourse décentralisée et un protocole de prêt DeFi, propose rejoindre des partenariats avec d'autres protocoles DeFi pour permettre aux déposants et aux participants en cycle sur Aave de convertir leurs positions WETH lorsque les retraits directs ne sont pas disponibles, avec la possibilité de quitter complètement le protocole ou de passer à un autre type de garantie.Kelp DAO subit une perte de 290 millions de dollars.
Selon les données en temps réel, Aave a traité 58 510 aWETH, soit environ 136 millions de dollars américains, depuis son lancement au cours des 48 premières heures à partir de son pool WETH gelé. Dune dashboard Fluid est en cours de publication.
Ce protocole a été construit en moins de 24 heures pour répondre à l'atteinte de 100 % d'utilisation de l'ETH sur Aave après l'attaque de l'adaptateur de pont rsETH de Kelp DAO le 18 avril.
Fonctionnement
Cette infrastructure permet aux prêteurs Aave ETH d'échanger leurs aWETH contre des garanties wstETH ou weETH en une seule transaction, avec une réduction d'environ 2,21 % pour 1 000 aWETH. per 1inch co-fondateur Sergej Kunz Le prix de transaction sur le marché secondaire pour un retrait anticipé est inférieur de près de 23 % à la valeur nominale.
Deux scénarios utilisateur sont pris en charge : pour les prêteurs, aWETH est converti en wstETH et weETH en tant que garantie. L'utilisateur peut ensuite retirer ses actifs. Pour les emprunteurs, la garantie est convertie de ETH en wstETH ou weETH. La dette reste inchangée, et l'utilisateur peut choisir de sortir d'une position précédemment immobilisée ou de conserver des actifs garantissants générant des revenus sur Aave.
Les prêteurs déposent des aWETH dans le coffre Lite ETH de Fluid en échange de wstETH ou de weETH. Le coffre utilise ensuite les aWETH reçus pour rembourser une partie de sa dette WETH sur Aave, éliminant ainsi la dette sans que le WETH ne quitte le pool de liquidités d'Aave. Ce mécanisme de compensation fonctionne parce que Fluid est le plus grand utilisateur unique du marché WETH d'Aave, et que ses positions circulantes dans les coffres Lite représentent environ 1,5 milliard de dollars d'endettement en ETH.
Étant donné que Fluid a assumé cette dette à rembourser, le protocole n'a pas pris de nouveau risque directionnel. Il a simplement remplacé une créance sur les actifs LST par une autre, permettant au prêteur sortant de subir une perte moindre tout en réduisant l'exposition au risque de prêt du trésor sur un marché à offre limitée.
Lido Finance, Ether.fi, 0x Protocol, 1inch et KyberNetwork exploitent tous ce protocole. Lido et Ether.fi offrent de la liquidité LST, 1inch gère le développement de l'interface, tandis que 0x et Kyber assurent le routage des ordres. Le guide de retrait recommandé par Aave DAO oriente désormais les fournisseurs de WETH bloqués vers le routage Fluid.
Samyak Jain, fondateur et directeur technique de Fluid, a déclaré dans un communiqué : « Le taux d'utilisation de l'ETH sur Aave a atteint 100 %, les prêteurs n'ont plus aucune issue. Fluid a mis en place l'infrastructure nécessaire en quelques heures et est désormais capable de soutenir à grande échelle les prêteurs d'ETH. »
Contexte de l'exploitation de la vulnérabilité de Kelp DAO
Le 18 avril, un attaquant a exploité une vulnérabilité dans l'adaptateur de pont rsETH de Kelp DAO basé sur LayerZero, créant illégalement 116 500 rsETH d'une valeur d'environ 293 millions de dollars américains, soit 18 % de l'offre en circulation, sans que des rsETH équivalents soient verrouillés côté Ethereum. L'attaquant a utilisé ces rsETH non verrouillés comme garantie pour emprunter environ 236 millions de dollars américains de WETH sur les plateformes Aave V3 et V4, après quoi le marché a été gelé.
En raison de tentatives de retrait de fonds par les prêteurs avant la confirmation des créances douteuses, le taux d'utilisation de WETH sur Aave a atteint 100 % en quelques heures, contournant le mécanisme de prêt autorisant les retraits passifs. Les taux d'intérêt variables ont grimpé à trois chiffres, et WETH a commencé à être négocié à une décote sur le marché secondaire.
L'équipe risque d'Aave a estimé, dans son rapport du 20 avril rapport d'événement, que le modèle de créances douteuses se situe entre 123,7 millions et 230,1 millions de dollars en fonction de la répartition des réclamations sur l'adaptateur rsETH L2 sous-collatéral.
Kelp DAO et LayerZero continuent de s'affronter sur la question de la responsabilité. Dans un communiqué du 19 avril, Kelp affirme que la configuration DVN 1:1 utilisée sur le pont est la configuration par défaut documentée dans le guide de démarrage rapide de LayerZero, et que l'équipe LayerZero a à nouveau validé la légitimité de cette configuration pendant l'extension L2 de Kelp. LayerZero, quant à elle, attribue cette faille à l'organisation TraderTraitor du groupe Lazarus lié à la Corée du Nord, et déclare qu'elle n'autorisera plus les nouveaux déploiements OFT à utiliser la configuration DVN 1:1.
Dimension de la composable
C’est précisément cette caractéristique d’architecture qui a permis à la vulnérabilité de se propager à Aave, Compound, Fluid et d’autres places de marché, et qui a également permis de mettre en place le protocole de rachat en moins d’une journée. aWETH est un jeton de reçu standardisé, wstETH et weETH sont des jetons de liquidité standardisés (LST), la fonction « repaywithAtokens » d’Aave est publique et sans autorisation, et les agrégateurs peuvent obtenir de la liquidité depuis n’importe quelle place de marché. Le processus de Fluid intègre ces éléments fondamentaux sans nécessiter de vote de gouvernance, d’utilisation des fonds du trésor ou de création de nouvelles relations de contrepartie.
Ce protocole ne réduit pas les impayés prédits par le modèle Aave, ne renverse pas les emprunts effectués par l'attaquant, et n'affecte pas le différend entre LayerZero et Kelp. Il offre aux prêteurs qui devaient attendre les résultats de la socialisation ou accepter une remise de marché plus importante un moyen de sortie distinct.
Fluid indique qu'elle dispose d'une capacité de production suffisante et négocie avec davantage de partenaires.