Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
DeFi à nouveau piraté pour 292 millions de dollars, cette fois même Aave n'est plus sûr ?
null
Original | Odaily Planet Daily (@OdailyChina)
Auteur|Azuma (@azuma_eth)
Heure de Beijing 19 avril, la sécurité de DeFi subit une nouvelle lourde attaque.
Les données on-chain montrent qu’à 1h35 ce matin, le deuxième plus grand protocole de staking liquide Kelp DAO, basé sur le pont rsETH de LayerZero, aurait été exploité par un hacker, avec une perte de 116 500 rsETH, d’une valeur d’environ 292 millions de dollars.
En poursuivant la traque des enregistrements on-chain, l’adresse de l’attaquant a reçu environ 1 ETH comme fonds initiaux d’un protocole de mixage Tornado Cash environ 10 heures avant l’incident, puis cette adresse a appelé la fonction lzReceive du contrat EndpointV2 de LayerZero, ce qui a déclenché le contrat de pont de Kelp, transférant 116 500 rsETH vers une autre adresse de l’attaquant.
Environ 2 heures et demie après l’incident, l’équipe officielle de Kelp DAO a confirmé l’attaque sur X : « Plus tôt aujourd’hui, nous avons détecté une activité inter-chaînes suspecte impliquant rsETH. Pendant l’enquête, nous avons suspendu les contrats rsETH sur le réseau principal et plusieurs Layer2. Nos auditeurs collaborent avec des experts en sécurité de LayerZero et Unichain pour suivre la situation de près. Nous vous tiendrons informés des dernières nouvelles, veuillez suivre nos canaux officiels. »
Après l’incident, diverses équipes DeFi et organismes de sécurité ont analysé la cause. D2 Finance, analysé dans la communauté, a indiqué que LayerZero Scan a marqué cette source comme étant Kelp DAO, ce qui signifie que le message provient du contrat légitime déployé par Kelp lui-même, et que cette voie comptait déjà 308 messages nonce. La cause principale de cette attaque réside donc dans la « clé privée de la chaîne source compromise ».
Steven Enamakel, développeur de TinyHumans AI, a ajouté que ce contrat est uniquement protégé par un ensemble de validateurs 1/1 (DVN), ce qui signifie qu’une seule erreur de transaction de la part d’un validateur peut suffire à causer un problème.
Les hackers ont utilisé Aave pour s’enfuir, ce qui pourrait avoir causé des créances irrécouvrables
Étant donné la liquidité limitée de rsETH, les hackers ont choisi de passer par des protocoles de prêt comme Aave, en déposant rsETH en garantie et en empruntant du wETH, plus liquide.
Selon PeckShield Alert, jusqu’à 4h30 ce matin, l’adresse de l’attaquant a déposé le rsETH volé dans des protocoles de prêt comme Aave V3, Compound V3, Euler, et a emprunté une grande quantité de WETH, avec une dette totale dépassant 236 millions de dollars — dont 196 millions pour Aave, 39,4 millions pour Compound, et 840 000 dollars pour Euler.
Après l’incident, Aave a immédiatement gelé le marché rsETH sur Aave V3 et V4. L’équipe a publié une déclaration officielle sur X : « Les contrats d’Aave n’ont pas été attaqués, cette attaque est liée à rsETH. La suspension de rsETH vise à empêcher de nouveaux dépôts et emprunts en rsETH pendant l’évaluation. Nous examinons les emprunts en rsETH qui ont eu lieu après l’attaque et partagerons bientôt plus de détails. »
Peu après cette déclaration initiale, Aave a mis à jour la situation en ajoutant : « Si cette attaque entraîne des créances irrécouvrables, nous explorerons des moyens de compenser le déficit. »
Au moment de la rédaction, le montant précis des créances irrécouvrables causées par cet incident reste inconnu.
Le directeur stratégique de la concurrence directe d’Aave, Spark, monetsupply.eth, a déclaré que si rsETH subit une décote de 19 % (montant volé représentant 19 % de l’offre totale de rsETH), Aave pourrait enregistrer plus d’un milliard de dollars de créances irrécouvrables, en raison d’un effet de levier élevé dans le cycle de prêt.
Cependant, Marc Zeller, fondateur de l’équipe de gouvernance représentative de l’écosystème Aave, Aave Chan Initiative (qui a annoncé son départ d’Aave en juillet pour divergences de gouvernance), a une opinion différente. Zeller avait conseillé aux utilisateurs de retirer rapidement leur WETH d’Aave V3 pour éviter des pertes, confirmant que les marchés USDC et USDT sur Aave n’étaient pas affectés. Lorsqu’un autre utilisateur a suggéré que la créance pourrait atteindre des milliards, il a répondu : « Bien loin de ce chiffre. »
Mais Zeller a aussi mentionné qu’il était temps de tester Umbrella en environnement de production. Umbrella, c’est le module de sécurité automatique d’Aave, un fonds destiné à couvrir les créances irrécouvrables. Les utilisateurs peuvent y déposer des actifs pour obtenir des incitations élevées, mais en cas de créance irrécouvrable, ce fonds doit aussi supporter la perte potentielle.
Les données du protocole Aave montrent qu’actuellement, environ 50 millions de dollars en WETH sont disponibles dans Umbrella pour couvrir d’éventuelles créances irrécouvrables liées à cet incident, mais il n’est pas encore certain que cela suffise à combler le trou.
Suite à cet incident, AAVE a chuté de près de 10 % à court terme, atteignant actuellement 104,6 USDT.
Un autre incident de sécurité de plusieurs centaines de millions en avril
Ce n’est pas la première grosse attaque de ce mois-ci.
Déjà le 1er avril, la plateforme dérivée de Solana, Drift Protocol, avait été attaquée, avec une perte de 280 millions de dollars (voir « Blague du poisson d’avril ? Drift Protocol volé à plus de 280 millions de dollars, peut-être le deuxième plus gros braquage DeFi de l’écosystème Solana »).
Après coup, Drift Protocol a imputé le vol à des hackers « nord-coréens », mais heureusement, des institutions comme Tether ont promis d’injecter 147,5 millions de dollars pour indemniser les utilisateurs, leur donnant une lueur d’espoir.
À peine quelques jours plus tard, un incident encore plus important a éclaté. Que va-t-il se passer cette fois ?
La sécurité de la DeFi est-elle encore assurée ?
Les problèmes de sécurité de la DeFi s’aggravent.
D’un côté, des attaques continues, de l’autre, des menaces de sécurité persistantes liées à l’IA, comme Mythos (voir « Odaily exclusive : Yu Xian révèle la fuite du nouveau modèle d’Anthropic, de niveau nucléaire, comment cela influence-t-il la sécurité cryptographique ? »). Pour les utilisateurs de DeFi, la stratégie précédente était de concentrer leurs fonds sur des protocoles bien audités et de réputation solide. Mais aujourd’hui, même des protocoles de haut niveau comme Aave, que l’on pensait peu susceptibles d’être compromis, subissent des impacts indirects. Où peuvent-ils encore déplacer leurs fonds ?
Personnellement, je ne recommande pas vraiment de laisser beaucoup de fonds sur la chaîne pour le moment. Si c’est nécessaire, il faut absolument diversifier et isoler ses positions.
Au moment de la rédaction, de nombreux détails sur cet incident restent flous. Odaily continuera de suivre l’évolution de la situation, restez connectés.