Aave の「Periphery」契約が 56,000 ドルでハッキングされ、オイラー・ファイナンスとの争いが勃発

分散型金融（DeFi）セクター最大の融資プラットフォーム「Aave」の「周辺」契約が、本日初めに総額5万6000ドルでハッキングされた。

A ‘periphery’ contract of the decentralized finance (DeFi) sector’s biggest lending platform, Aave, was hacked for a total of $56,000 earlier today.

分散型金融（DeFi）セクター最大の融資プラットフォーム「Aave」の「周辺」契約が、本日初めに総額5万6000ドルでハッキングされた。

Aave, which contains assets worth over $11 billion according to data from DeFiLlama, has made clear that the attack, which began, around 04:30 UTC placed no user funds at risk. Founder Stani Kulechov and governance delegate Marc Zeller both took to Twitter to reassure users.

DeFiLlamaのデータによると、110億ドル以上相当の資産を保有するAaveは、協定世界時4時30分頃に始まった攻撃により、ユーザーの資金が危険にさらされていなかったことを明らかにした。創設者のスタニ・クレチョフ氏とガバナンス代表のマーク・ゼラー氏はともにツイッターでユーザーを安心させるよう訴えた。

A periphery contract of @AAVE is hacked due to an arbitrary call/logic error. Most user funds are SAFU

@AAVE の周辺コントラクトが、任意の呼び出し/ロジック エラーによりハッキングされました。ほとんどのユーザー資金は SAFU です

pic.twitter.com/WXa0w64n0c

pic.twitter.com/WXa0w64n0c

Read more: Compound DAO asleep at the wheel as $25M governance ‘attack’ passes

続きを読む: 2,500万ドルのガバナンス「攻撃」が通過する中、化合物DAOは運転中に眠っている

Fuzzland’s Chaofan Shou identified the cause of the hack, pointing to transactions on four networks: Ethereum, Aribtrum, Arbitrum, Polygon, and Optimism. He estimated the total funds at risk to be around $70,000.

FuzzlandのChaofan Shou氏は、イーサリアム、アリビットラム、アービトラム、ポリゴン、オプティミズムの4つのネットワークでのトランザクションを指摘し、ハッキングの原因を特定した。同氏は、危険にさらされている資金の総額を約7万ドルと見積もった。

According to analysis by security firm QuillAudits, the losses to attacks on the above networks totaled approximately $51,000. A further attack on Avalanche netted around $5,000. Funds were forwarded to a holding address on all networks.

セキュリティ会社 QuillAudits の分析によると、上記のネットワークに対する攻撃による損失は総額約 51,000 ドルに達しました。 Avalanche へのさらなる攻撃により、約 5,000 ドルの利益が得られました。資金はすべてのネットワーク上の保留アドレスに転送されました。

The affected periphery contract, ParaSwapRepayAdapter, isn’t part of the core Aave protocol and appears not to have been audited. It allows users to repay borrow positions using existing collateral, swapping assets via decentralized exchange ParaSwap.

影響を受けるペリフェラル コントラクトである ParaSwapRepayAdapter は、コア Aave プロトコルの一部ではなく、監査も受けていないようです。これにより、ユーザーは既存の担保を使用して借入ポジションを返済し、分散型取引所ParaSwapを通じて資産を交換することができます。

While the contract itself isn’t designed to hold user funds, the positive slippage on swaps leads to a gradual accrual of any leftover tokens.

契約自体はユーザーの資金を保持するように設計されていませんが、スワップのプラスのスリッページにより、残ったトークンが徐々に発生します。

In response to questions about the origin of the funds stolen, Aave delegate Marc Zeller said, “Someone raided the tip jar.”

盗まれた資金の出所に関する質問に答えて、Aaveの代議員マーク・ゼラー氏は「誰かがチップの壺を襲撃した」と述べた。

Aave development contributor BGD Labs later responded with more detail, informing users that losses were limited to the affected contracts and couldn’t spread to the wider protocol. The post also highlights that there’s no risk of a token approval-related attack.

Aave の開発に貢献した BGD Labs はその後、より詳細な回答を返し、損失は影響を受ける契約に限定されており、より広範なプロトコルには拡大しないことをユーザーに通知しました。この投稿では、トークン承認関連の攻撃のリスクがないことも強調しています。

Today, a series of transactions across different networks were detected showing what it looked like an exploit on some Aave peripheral contracts (not part of the Aave Protocol itself).Before any further detailed report, we would like to clarify the following for transparency…

本日、さまざまなネットワークにわたる一連のトランザクションが検出され、一部の Aave 周辺コントラクト (Aave プロトコル自体の一部ではない) に対するエクスプロイトのようなものを示しました。さらなる詳細なレポートの前に、透明性のために次の点を明確にしたいと思います…

Read more: Seneca Protocol hack highlights dangers of Ethereum’s token approval mechanism

続きを読む: Seneca プロトコルのハッキングでイーサリアムのトークン承認メカニズムの危険性が浮き彫りになる

Two days ago, Euler Finance founder Michael Bently accused Aave of sweeping “major security issues” under the rug, in response to Kulechov’s teasing over Euler’s $200 million hack in March last year.

2日前、オイラー・ファイナンスの創設者マイケル・ベントリー氏は、昨年3月にオイラー社による2億ドル規模のハッキングをクレチョフ氏がからかったことに対し、アーヴェ氏が「重大なセキュリティ問題」を水面下で一掃したと非難した。

The comments, made in popular DeFi Telegram community LobsterDAO, resurfaced after today’s news, devolving into an argument between the two lending protocols.

人気のDeFiテレグラムコミュニティLobsterDAOで行われたこのコメントは、今日のニュース後に再浮上し、2つの融資プロトコル間の議論に発展した。

Bently accused the Aave team of “celebrating and tweeting misinformation” shortly after Euler was drained, as well as claiming that Aave is held to different security standards by the community at large.

ベントリーは、オイラー氏が解雇された直後に、Aave チームが「誤った情報を称賛し、ツイートしている」と非難し、Aave はコミュニティ全体によって異なるセキュリティ基準に拘束されていると主張した。

In November 2023, a reported security incident led to a number of Aave pools being paused, but full details remained unpublished, citing concern for potentially vulnerable ‘forks’.

2023 年 11 月に報告されたセキュリティ インシデントにより、多くの Aave プールが一時停止されましたが、潜在的に脆弱な「フォーク」への懸念を理由に、詳細は未公開のままでした。

However, plenty of Aave forks have been hacked in the past, with little sympathy from the original protocol.

ただし、多くの Aave フォークが過去にハッキングされており、元のプロトコルからの同情はほとんどありませんでした。

Today we received a report of an issue on a certain feature of the Aave Protocol. After validation by community developers, the guardian has taken the following temporary prevention measure (no funds are at risk):

本日、Aave プロトコルの特定の機能に関する問題の報告を受け取りました。コミュニティ開発者による検証の後、保護者は次の一時的な予防措置を講じました (資金が危険にさらされることはありません)。

Read more: Linea protocol ZeroLend is a ‘copy-paste’ Aave fork, linking to original’s docs

続きを読む: Linea プロトコル ZeroLend は、オリジナルのドキュメントにリンクしている「コピー＆ペースト」の Aave フォークです

Kulechov dismissed his own earlier comment as “shitposting” while downplaying today’s event as “basically a tip jar arbed.” Then referring to Bently’s “tiring” talk of the upcoming Euler v2, Kulechov snapped “go build it and fuck off.”

クレチョフ氏は、自身の以前のコメントを「くだらない投稿」と一蹴し、今日の出来事を「基本的にチップの箱が用意されている」と軽視した。次に、Bently が次期 Euler v2 について「うんざりする」話をしたことに触れ、Kulechov 氏は「さあ、作って終わりだ」と言いました。

Aave is certainly no stranger to heated relationships with other organizations in DeFi. Earlier this year, risk management team Gauntlet decided to leave the protocol after frustrations boiled over.

Aave は、DeFi における他の組織との激しい関係に慣れていることは確かです。今年初め、リスク管理チームのガントレットは不満が沸騰したため、プロトコルからの離脱を決定した。