Aave a publié un rapport officiel sur l'exploitation de 230 millions de dollars de rsETH en avril — la plus coûteuse attaque DeFi de 2026 — et l'utilise pour justifier une refonte complète de son évaluation des risques liés aux garanties. L'attaque n'a pas eu lieu dans les propres contrats intelligents d'Aave, qui ont fonctionné comme prévu, mais dans une défaillance de vérification du pont LayerZero qui a permis à un seul vérificateur compromis d'approuver un message inter-chaînes falsifié, mintant 116 500 rsETH non garantis sur Ethereum. Ces tokens ont été déposés dans Aave en tant que garantie et utilisés pour vider des prêts que le protocole n'a pas pu récupérer.
À l'avenir, Aave déclare que les évaluations des garanties iront au-delà du traditionnel trio de volatilité, de liquidité et d'audits de contrats intelligents pour inclure l'infrastructure des ponts, les dépendances des oracles, les arrangements de garde, les contrats tiers et les pratiques de sécurité opérationnelle. Le protocole développe également des défenses automatisées qui peuvent instantanément réduire le ratio prêt-valeur d'un actif de garantie à zéro une fois que des seuils de risque prédéfinis sont dépassés — coupant ainsi le pouvoir d'emprunt avant que les pertes ne puissent se propager.
Depuis l'exploitation, les gestionnaires de risques d'Aave ont déjà exécuté environ 295 changements de paramètres à travers les marchés V3, y compris 168 réductions de plafond d'offre et 66 réductions de plafond d'emprunt. LayerZero a reconnu séparément qu'il a "fait une erreur" en permettant à son système de vérification de fonctionner dans une configuration un-à-un pour des actifs de grande valeur. Le rapport post-mortem d'Aave cadre l'incident comme un avertissement structurel pour l'ensemble du secteur DeFi : à mesure que les protocoles deviennent plus interconnectés, les actifs sur lesquels l'infrastructure dépend sont désormais aussi critiques que les actifs eux-mêmes.
CoinTelegraph
TheBlock
WuBlockchain