Le contrat de « périphérie » d'Aave piraté pour 56 000 $, déclenchant une dispute avec Euler Finance

Un contrat « périphérique » de la plus grande plateforme de prêt du secteur de la finance décentralisée (DeFi), Aave, a été piraté pour un total de 56 000 $ plus tôt dans la journée.

A ‘periphery’ contract of the decentralized finance (DeFi) sector’s biggest lending platform, Aave, was hacked for a total of $56,000 earlier today.

Un contrat « périphérique » de la plus grande plateforme de prêt du secteur de la finance décentralisée (DeFi), Aave, a été piraté pour un total de 56 000 $ plus tôt dans la journée.

Aave, which contains assets worth over $11 billion according to data from DeFiLlama, has made clear that the attack, which began, around 04:30 UTC placed no user funds at risk. Founder Stani Kulechov and governance delegate Marc Zeller both took to Twitter to reassure users.

Aave, qui contient des actifs d'une valeur de plus de 11 milliards de dollars selon les données de DeFiLlama, a clairement indiqué que l'attaque, qui a commencé vers 04h30 UTC, ne mettait en danger aucun fonds des utilisateurs. Le fondateur Stani Kulechov et le délégué à la gouvernance Marc Zeller ont tous deux utilisé Twitter pour rassurer les utilisateurs.

A periphery contract of @AAVE is hacked due to an arbitrary call/logic error. Most user funds are SAFU

Un contrat de périphérie de @AAVE est piraté en raison d'un appel arbitraire/d'une erreur logique. La plupart des fonds d'utilisateurs sont des SAFU

pic.twitter.com/WXa0w64n0c

pic.twitter.com/WXa0w64n0c

Read more: Compound DAO asleep at the wheel as $25M governance ‘attack’ passes

Lire la suite : Composé DAO endormi au volant alors que « l'attaque » de gouvernance de 25 millions de dollars passe

Fuzzland’s Chaofan Shou identified the cause of the hack, pointing to transactions on four networks: Ethereum, Aribtrum, Arbitrum, Polygon, and Optimism. He estimated the total funds at risk to be around $70,000.

Chaofan Shou de Fuzzland a identifié la cause du piratage, en soulignant les transactions sur quatre réseaux : Ethereum, Aribtrum, Arbitrum, Polygon et Optimism. Il a estimé le montant total des fonds menacés à environ 70 000 dollars.

According to analysis by security firm QuillAudits, the losses to attacks on the above networks totaled approximately $51,000. A further attack on Avalanche netted around $5,000. Funds were forwarded to a holding address on all networks.

Selon l'analyse de la société de sécurité QuillAudits, les pertes dues aux attaques sur les réseaux ci-dessus se sont élevées à environ 51 000 dollars. Une nouvelle attaque contre Avalanche a rapporté environ 5 000 $. Les fonds ont été transférés à une adresse de stockage sur tous les réseaux.

The affected periphery contract, ParaSwapRepayAdapter, isn’t part of the core Aave protocol and appears not to have been audited. It allows users to repay borrow positions using existing collateral, swapping assets via decentralized exchange ParaSwap.

Le contrat de périphérie concerné, ParaSwapRepayAdapter, ne fait pas partie du protocole Aave principal et ne semble pas avoir été audité. Il permet aux utilisateurs de rembourser leurs positions d'emprunt en utilisant les garanties existantes, en échangeant des actifs via l'échange décentralisé ParaSwap.

While the contract itself isn’t designed to hold user funds, the positive slippage on swaps leads to a gradual accrual of any leftover tokens.

Bien que le contrat lui-même ne soit pas conçu pour conserver les fonds des utilisateurs, le glissement positif sur les swaps entraîne une accumulation progressive des jetons restants.

In response to questions about the origin of the funds stolen, Aave delegate Marc Zeller said, “Someone raided the tip jar.”

En réponse aux questions sur l'origine des fonds volés, le délégué de l'Aave, Marc Zeller, a déclaré : « Quelqu'un a fait une descente dans le pot à pourboires ».

Aave development contributor BGD Labs later responded with more detail, informing users that losses were limited to the affected contracts and couldn’t spread to the wider protocol. The post also highlights that there’s no risk of a token approval-related attack.

BGD Labs, contributeur au développement d'Aave, a ensuite répondu avec plus de détails, informant les utilisateurs que les pertes étaient limitées aux contrats concernés et ne pouvaient pas s'étendre au protocole plus large. Le message souligne également qu'il n'y a aucun risque d'attaque liée à l'approbation des jetons.

Today, a series of transactions across different networks were detected showing what it looked like an exploit on some Aave peripheral contracts (not part of the Aave Protocol itself).Before any further detailed report, we would like to clarify the following for transparency…

Aujourd'hui, une série de transactions sur différents réseaux ont été détectées, montrant à quoi cela ressemblait à un exploit sur certains contrats périphériques Aave (ne faisant pas partie du protocole Aave lui-même). Avant tout rapport plus détaillé, nous aimerions clarifier ce qui suit par souci de transparence…

Read more: Seneca Protocol hack highlights dangers of Ethereum’s token approval mechanism

Lire la suite : Le piratage du protocole Seneca met en évidence les dangers du mécanisme d'approbation des jetons d'Ethereum

Two days ago, Euler Finance founder Michael Bently accused Aave of sweeping “major security issues” under the rug, in response to Kulechov’s teasing over Euler’s $200 million hack in March last year.

Il y a deux jours, le fondateur d'Euler Finance, Michael Bently, a accusé Aave d'avoir balayé sous le tapis les « problèmes de sécurité majeurs », en réponse aux taquineries de Kulechov concernant le piratage de 200 millions de dollars d'Euler en mars de l'année dernière.

The comments, made in popular DeFi Telegram community LobsterDAO, resurfaced after today’s news, devolving into an argument between the two lending protocols.

Les commentaires, faits dans la communauté populaire DeFi Telegram LobsterDAO, ont refait surface après les nouvelles d'aujourd'hui, se transformant en une dispute entre les deux protocoles de prêt.

Bently accused the Aave team of “celebrating and tweeting misinformation” shortly after Euler was drained, as well as claiming that Aave is held to different security standards by the community at large.

Bently a accusé l'équipe d'Aave de « célébrer et tweeter des informations erronées » peu de temps après l'épuisement d'Euler, et a également affirmé qu'Aave était soumis à des normes de sécurité différentes par la communauté dans son ensemble.

In November 2023, a reported security incident led to a number of Aave pools being paused, but full details remained unpublished, citing concern for potentially vulnerable ‘forks’.

En novembre 2023, un incident de sécurité signalé a entraîné la suspension d'un certain nombre de pools Aave, mais tous les détails sont restés inédits, citant des inquiétudes concernant des « forks » potentiellement vulnérables.

However, plenty of Aave forks have been hacked in the past, with little sympathy from the original protocol.

Cependant, de nombreux forks Aave ont été piratés dans le passé, avec peu de sympathie de la part du protocole d'origine.

Today we received a report of an issue on a certain feature of the Aave Protocol. After validation by community developers, the guardian has taken the following temporary prevention measure (no funds are at risk):

Aujourd'hui, nous avons reçu un rapport faisant état d'un problème concernant une certaine fonctionnalité du protocole Aave. Après validation par les développeurs de la communauté, le tuteur a pris la mesure de prévention temporaire suivante (aucun fonds n'est en danger) :

Read more: Linea protocol ZeroLend is a ‘copy-paste’ Aave fork, linking to original’s docs

Lire la suite : Le protocole Linea ZeroLend est un fork d'Aave « copier-coller », reliant aux documents d'origine

Kulechov dismissed his own earlier comment as “shitposting” while downplaying today’s event as “basically a tip jar arbed.” Then referring to Bently’s “tiring” talk of the upcoming Euler v2, Kulechov snapped “go build it and fuck off.”

Kulechov a rejeté son propre commentaire antérieur en le qualifiant de « shitposting » tout en minimisant l'événement d'aujourd'hui en le qualifiant de « essentiellement un pot de pourboires arbed ». Faisant ensuite référence au discours « fatiguant » de Bently sur le prochain Euler v2, Kulechov a lancé « va le construire et va te faire foutre ».

Aave is certainly no stranger to heated relationships with other organizations in DeFi. Earlier this year, risk management team Gauntlet decided to leave the protocol after frustrations boiled over.

Aave n’est certainement pas étranger aux relations houleuses avec d’autres organisations de DeFi. Plus tôt cette année, l’équipe de gestion des risques Gauntlet a décidé de quitter le protocole après que les frustrations aient débordé.