Restauration de la Liquidité d’Aave
Le protocole de finance décentralisée Aave a récemment annoncé qu’il avait entièrement restauré la liquidité de ses pools de prêt, suite à un exploit inter-chaînes ayant entraîné un vol de 300 millions de dollars. Pionnier de la finance décentralisée (DeFi), Aave a réussi à rétablir la liquidité complète de ses pools de prêt, concluant un effort de stabilisation intensif de plusieurs semaines après cet incident qui menaçait les réserves de liquidités du protocole, comme l’ont indiqué les développeurs le 1er juin.
Rapport Post-Mortem et Mobilisation de Fonds
Dans son rapport post-mortem, Aave a précisé qu’en mobilisant un fonds de sauvetage de 300 millions de dollars à l’échelle de l’industrie et en obtenant une ordonnance d’urgence d’un tribunal fédéral, il a pu remplacer les actifs drainés, protéger les déposants contre les pertes et rétablir les opérations normales de prêt et d’emprunt au sein du protocole.
« Cette publication est survenue plus d’un mois après qu’un attaquant a exploité un pont tiers opéré par Kelp et Layerzero. »
En manipulant des messages inter-chaînes, le hacker a minté 116 500 tokens rsETH contrefaits et les a déposés sur la plateforme V3 d’Aave en tant que garantie. L’attaquant a immédiatement utilisé le faux rsETH comme garantie pour siphonner des actifs hautement liquides, empruntant 82 650 wrapped ethereum (WETH) et 821 wrapped staked ethereum (wstETH). Ce retrait massif a structurellement affaibli les pools de liquidité principaux d’Aave, forçant les gestionnaires de risque à geler les marchés affectés pour éviter une fuite en cascade sur le capital de la plateforme.
Coalition d’Urgence et Obstacles Juridiques
Pour combler le manque à gagner, Aave Labs a aidé à mobiliser une coalition d’urgence de grands acteurs de l’industrie, y compris Lido, Ether.fi, Ethena et Compound. Ensemble, ils ont structuré un fonds de récupération de 300 millions de dollars. Cette injection de capital a permis de soutenir les actifs rsETH compromis, garantissant que chaque dollar de dépôts d’utilisateurs restait entièrement couvert par des réserves authentiques.
Cependant, le chemin vers la restauration de la liquidité a rencontré un obstacle juridique le 1er mai, lorsque des créanciers de jugement dans une affaire fédérale non liée ont intercepté le processus de récupération. Ces créanciers ont obtenu un avis de restriction qui a gelé environ 71 millions de dollars en ethereum, récupérés de l’attaquant et destinés à remplir les pools d’Aave.
« En réponse, Aave a déposé une motion d’urgence dans un tribunal fédéral américain le 4 mai, et quatre jours plus tard, un juge a accordé une modification cruciale au gel. »
Rétablissement et Prévention des Futures Attaques
Cette avancée juridique a permis aux développeurs de rediriger instantanément les fonds vers les pools de prêt actifs du protocole, restaurant ainsi la profondeur de liquidité requise pour des opérations de marché sûres. Avec les réserves de capital entièrement reconstituées et les paramètres de marché rétablis à leur état pré-exploit, Aave réorganise son architecture de risque pour isoler sa liquidité des futures défaillances systémiques de tiers.
Pour empêcher de futurs attaquants de convertir des tokens exploités en actifs liquides du protocole, les développeurs d’Aave ont exécuté 295 mises à jour de paramètres individuelles, réduisant considérablement les plafonds d’emprunt et d’offre à travers 168 pools d’actifs distincts. De plus, le protocole met en œuvre un disjoncteur automatique LTV0 (loan-to-value zéro). À l’avenir, si l’infrastructure inter-chaînes sous-jacente d’un actif subit une violation de sécurité, le système retirera instantanément la valeur de garantie de cet actif.
Cela garantit que les tokens compromis ne peuvent plus être utilisés pour emprunter ou siphonner de la liquidité authentique des marchés d’Aave.
