Points clés à retenir :
Aave a entièrement restauré 300 millions $ de liquidité dans ses pools de prêt après qu'une exploitation inter-chaînes a drainé des actifs via de faux jetons rsETH, mobilisant un fonds de sauvetage à l'échelle du secteur et obtenant une ordonnance d'urgence d'un tribunal fédéral pour remplacer le capital volé.
Aave a entièrement restauré la liquidité de ses pools de prêt après une exploitation inter-chaînes de 300 millions $, mobilisant un fonds de sauvetage à l'échelle du secteur et obtenant une ordonnance d'urgence d'un tribunal fédéral pour remplacer les actifs drainés, ont annoncé les développeurs le 1er juin.
« La reprise a nécessité une coordination entre Lido, Ether.fi, Ethena et Compound pour soutenir les positions compromises », a déclaré un porte-parole d'Aave Labs dans le compte rendu post-mortem.
L'attaquant a exploité un pont tiers exploité par Kelp et Layerzero le 18 avril, fabriquant des messages inter-chaînes pour frapper 116 500 faux jetons rsETH. Le pirate a déposé les faux rsETH comme garantie sur la plateforme V3 d'Aave sur Ethereum et a emprunté 82 650 ethers enveloppés et 821 ethers mis en jeu enveloppés, affaiblissant structurellement les pools de liquidité principaux du protocole. Les gestionnaires de risques ont gelé les marchés concernés pour empêcher une ruée en cascade sur le capital de la plateforme.
L'épisode a exposé une vulnérabilité critique dans l'infrastructure inter-chaînes de la DeFi — un seul pont compromis peut drainer la liquidité du plus grand protocole de prêt. Aave a répondu avec 295 mises à jour individuelles de paramètres et un coupe-circuit automatique qui prive de sa valeur de garantie tout actif dont l'infrastructure inter-chaînes subit une brèche.
Le filet de sécurité de 300 millions $ et l'obstacle juridique
Pour combler le trou, Aave Labs a contribué à mobiliser une coalition d'urgence des principaux acteurs du secteur, notamment Lido, Ether.fi, Ethena et Compound. Ensemble, le groupe a structuré un fonds de sauvetage de 300 millions $ qui a soutenu les actifs rsETH compromis, garantissant que chaque dollar de dépôts d'utilisateurs restait entièrement collatéralisé par des réserves authentiques.
Le chemin vers la restauration de la liquidité a rencontré un obstacle juridique le 1er mai, lorsque des créanciers judiciaires dans une affaire fédérale non liée ont obtenu une injonction de restriction qui a gelé environ 71 millions $ en ether qui avaient été récupérés auprès de l'attaquant et devaient remplir les pools d'Aave. Aave a déposé une requête d'urgence devant un tribunal fédéral américain le 4 mai, et quatre jours plus tard, un juge a accordé une modification permettant le transfert immédiat des 71 millions $ sous la garde d'Aave. Les développeurs ont acheminé les fonds vers les pools de prêt actifs du protocole, restaurant la profondeur de liquidité nécessaire à des opérations de marché sûres.
295 mises à jour de paramètres et une nouvelle architecture de risque
Avec les réserves de capital entièrement reconstituées et les paramètres de marché d'avant l'exploitation restaurés, Aave a révisé son architecture de risque pour isoler sa liquidité des futures défaillances systémiques de tiers. Les développeurs ont exécuté 295 mises à jour individuelles de paramètres, réduisant les plafonds d'emprunt et d'approvisionnement dans 168 pools d'actifs distincts.
Le protocole a également mis en œuvre un coupe-circuit automatique LTV0. Désormais, si l'infrastructure inter-chaînes sous-jacente d'un actif subit une brèche de sécurité, le système privera instantanément cet actif de sa valeur de garantie, garantissant que les jetons compromis ne peuvent plus être utilisés pour emprunter ou drainer la liquidité authentique des marchés d'Aave.
L'attaquant de Kelp DAO, que Chainalysis a lié au groupe Lazarus de Corée du Nord, a depuis blanchi la majeure partie des quelque 220 millions $ qui restaient en dehors des fonds gelés, selon le suivi on-chain. Les 71 millions $ gelés sur Arbitrum restent le principal pool identifié disponible pour une éventuelle récupération.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
