Aave-„Periphery“-Vertrag für 56.000 US-Dollar gehackt, was zu Streit mit Euler Finance führt

Ein „Peripherie“-Vertrag der größten Kreditplattform des dezentralen Finanzsektors (DeFi), Aave, wurde heute für insgesamt 56.000 US-Dollar gehackt.

A ‘periphery’ contract of the decentralized finance (DeFi) sector’s biggest lending platform, Aave, was hacked for a total of $56,000 earlier today.

Ein „Peripherie“-Vertrag der größten Kreditplattform des dezentralen Finanzsektors (DeFi), Aave, wurde heute für insgesamt 56.000 US-Dollar gehackt.

Aave, which contains assets worth over $11 billion according to data from DeFiLlama, has made clear that the attack, which began, around 04:30 UTC placed no user funds at risk. Founder Stani Kulechov and governance delegate Marc Zeller both took to Twitter to reassure users.

Aave, das laut Daten von DeFiLlama über Vermögenswerte im Wert von über 11 Milliarden US-Dollar verfügt, hat deutlich gemacht, dass der Angriff, der gegen 04:30 UTC begann, keine Benutzergelder gefährdete. Gründer Stani Kulechov und Governance-Delegierter Marc Zeller nutzten beide Twitter, um die Nutzer zu beruhigen.

A periphery contract of @AAVE is hacked due to an arbitrary call/logic error. Most user funds are SAFU

Ein Peripherievertrag von @AAVE wird aufgrund eines willkürlichen Aufrufs/Logikfehlers gehackt. Die meisten Benutzergelder sind SAFU

pic.twitter.com/WXa0w64n0c

pic.twitter.com/WXa0w64n0c

Read more: Compound DAO asleep at the wheel as $25M governance ‘attack’ passes

Weiterlesen: Compound DAO schläft am Steuer, während der 25-Millionen-Dollar-Governance-„Angriff“ vorübergeht

Fuzzland’s Chaofan Shou identified the cause of the hack, pointing to transactions on four networks: Ethereum, Aribtrum, Arbitrum, Polygon, and Optimism. He estimated the total funds at risk to be around $70,000.

Chaofan Shou von Fuzzland identifizierte die Ursache des Hacks und verwies auf Transaktionen in vier Netzwerken: Ethereum, Aribtrum, Arbitrum, Polygon und Optimism. Er schätzte die Gesamtsumme der gefährdeten Mittel auf rund 70.000 US-Dollar.

According to analysis by security firm QuillAudits, the losses to attacks on the above networks totaled approximately $51,000. A further attack on Avalanche netted around $5,000. Funds were forwarded to a holding address on all networks.

Nach einer Analyse des Sicherheitsunternehmens QuillAudits beliefen sich die Verluste durch Angriffe auf die oben genannten Netzwerke auf insgesamt etwa 51.000 US-Dollar. Ein weiterer Angriff auf Avalanche brachte rund 5.000 US-Dollar ein. Die Gelder wurden in allen Netzwerken an eine Halteadresse weitergeleitet.

The affected periphery contract, ParaSwapRepayAdapter, isn’t part of the core Aave protocol and appears not to have been audited. It allows users to repay borrow positions using existing collateral, swapping assets via decentralized exchange ParaSwap.

Der betroffene Peripherievertrag, ParaSwapRepayAdapter, ist nicht Teil des Aave-Kernprotokolls und scheint nicht geprüft worden zu sein. Es ermöglicht Benutzern, Kreditpositionen mit vorhandenen Sicherheiten zurückzuzahlen und Vermögenswerte über die dezentrale Börse ParaSwap auszutauschen.

While the contract itself isn’t designed to hold user funds, the positive slippage on swaps leads to a gradual accrual of any leftover tokens.

Während der Vertrag selbst nicht darauf ausgelegt ist, Benutzergelder zu halten, führt der positive Slippage bei Swaps zu einer allmählichen Anhäufung übrig gebliebener Token.

In response to questions about the origin of the funds stolen, Aave delegate Marc Zeller said, “Someone raided the tip jar.”

Auf Fragen zur Herkunft der gestohlenen Gelder antwortete Aave-Delegierter Marc Zeller: „Jemand hat das Trinkgeldglas durchsucht.“

Aave development contributor BGD Labs later responded with more detail, informing users that losses were limited to the affected contracts and couldn’t spread to the wider protocol. The post also highlights that there’s no risk of a token approval-related attack.

BGD Labs, Mitwirkender bei der Aave-Entwicklung, antwortete später ausführlicher und teilte den Benutzern mit, dass die Verluste auf die betroffenen Verträge beschränkt seien und sich nicht auf das breitere Protokoll ausbreiten könnten. Der Beitrag betont auch, dass kein Risiko eines Angriffs im Zusammenhang mit der Token-Genehmigung besteht.

Today, a series of transactions across different networks were detected showing what it looked like an exploit on some Aave peripheral contracts (not part of the Aave Protocol itself).Before any further detailed report, we would like to clarify the following for transparency…

Heute wurde eine Reihe von Transaktionen über verschiedene Netzwerke hinweg entdeckt, die den Anschein erweckten, es handele sich um einen Exploit bei einigen Aave-Peripherieverträgen (die nicht Teil des Aave-Protokolls selbst sind). Vor jedem weiteren detaillierten Bericht möchten wir aus Gründen der Transparenz Folgendes klarstellen …

Read more: Seneca Protocol hack highlights dangers of Ethereum’s token approval mechanism

Weiterlesen: Der Seneca-Protokoll-Hack verdeutlicht die Gefahren des Token-Genehmigungsmechanismus von Ethereum

Two days ago, Euler Finance founder Michael Bently accused Aave of sweeping “major security issues” under the rug, in response to Kulechov’s teasing over Euler’s $200 million hack in March last year.

Vor zwei Tagen warf Michael Bently, Gründer von Euler Finance, Aave vor, „große Sicherheitsprobleme“ unter den Teppich gekehrt zu haben, als Reaktion auf Kulechovs Neckereien über Eulers 200-Millionen-Dollar-Hack im März letzten Jahres.

The comments, made in popular DeFi Telegram community LobsterDAO, resurfaced after today’s news, devolving into an argument between the two lending protocols.

Die Kommentare, die in der beliebten DeFi-Telegram-Community LobsterDAO abgegeben wurden, tauchten nach den heutigen Nachrichten wieder auf und führten zu einem Streit zwischen den beiden Kreditprotokollen.

Bently accused the Aave team of “celebrating and tweeting misinformation” shortly after Euler was drained, as well as claiming that Aave is held to different security standards by the community at large.

Bently beschuldigte das Aave-Team, kurz nachdem Euler entlassen wurde, „Fehlinformationen zu feiern und zu twittern“ und behauptete, dass für Aave in der Community insgesamt unterschiedliche Sicherheitsstandards gelten.

In November 2023, a reported security incident led to a number of Aave pools being paused, but full details remained unpublished, citing concern for potentially vulnerable ‘forks’.

Im November 2023 führte ein gemeldeter Sicherheitsvorfall dazu, dass eine Reihe von Aave-Pools angehalten wurden. Die vollständigen Details wurden jedoch nicht veröffentlicht, da Bedenken hinsichtlich potenziell anfälliger „Forks“ geäußert wurden.

However, plenty of Aave forks have been hacked in the past, with little sympathy from the original protocol.

Allerdings wurden in der Vergangenheit viele Aave-Forks gehackt, ohne dass das ursprüngliche Protokoll dafür gesorgt hätte.

Today we received a report of an issue on a certain feature of the Aave Protocol. After validation by community developers, the guardian has taken the following temporary prevention measure (no funds are at risk):

Heute haben wir einen Bericht über ein Problem mit einer bestimmten Funktion des Aave-Protokolls erhalten. Nach der Validierung durch Community-Entwickler hat der Vormund die folgende vorübergehende Präventionsmaßnahme ergriffen (es sind keine Gelder gefährdet):

Read more: Linea protocol ZeroLend is a ‘copy-paste’ Aave fork, linking to original’s docs

Weiterlesen: Linea-Protokoll ZeroLend ist ein Aave-Fork zum Kopieren und Einfügen, der auf die Originaldokumente verweist

Kulechov dismissed his own earlier comment as “shitposting” while downplaying today’s event as “basically a tip jar arbed.” Then referring to Bently’s “tiring” talk of the upcoming Euler v2, Kulechov snapped “go build it and fuck off.”

Kulechov tat seinen eigenen früheren Kommentar als „Scheißposting“ ab, während er die heutige Veranstaltung als „im Grunde ein Trinkgeldglas“ herunterspielte. Kulechov bezog sich dann auf Bentlys „ermüdendes“ Gerede über den kommenden Euler v2 und sagte: „Baut es und verpisst euch.“

Aave is certainly no stranger to heated relationships with other organizations in DeFi. Earlier this year, risk management team Gauntlet decided to leave the protocol after frustrations boiled over.

Die hitzigen Beziehungen zu anderen Organisationen im DeFi-Bereich sind Aave sicherlich nicht fremd. Anfang dieses Jahres beschloss das Risikomanagementteam Gauntlet, das Protokoll zu verlassen, nachdem die Frustration überhand genommen hatte.