Aave : une faille de sécurité critique découverte de justesse
Une faille chez Aave – Aave est un protocole emblématique de la DeFi sur Ethereum. Fort de plus de 5 milliards de dollars de TVL, Aave est le 4ᵉ plus gros protocole DeFi. Pendant le weekend, une faille a été détectée sur le protocole. Heureusement, les équipes d’Aave ont pu réagir avant que celle-ci ne soit exploitée.
Aave victime d’une faille critique
Samedi 4 novembre, les équipes du protocole Aave ont alerté leurs utilisateurs de la présence d’une faille. En pratique, celle-ci impacte le code d’Aave V2 et V3.
« Nous avons reçu aujourd’hui un rapport faisant état d’un problème sur une certaine fonctionnalité du protocole Aave. Après validation par les développeurs communautaires, les gardiens ont pris des mesures de prévention temporaire (aucun fonds n’est menacé). »
En pratique, la faille a été révélée par un membre de la communauté via le programme de bug bounty mis en place par Aave.
Heureusement, la faille a pu être découverte avant qu’elle ne soit exploitée par un utilisateur malveillant. Grâce à cela, Aave a pu mettre en pause le marché Aave V2 sur Ethereum, certains actifs d’Aave V2 sur Avalanche ainsi que certains actifs sur Aave V3 sur Polygon, Arbitrum et OP Mainnet.
Par conséquent, aucun actif déposé sur le protocole Aave n’est à risque. De surcroît, les utilisateurs sont toujours en mesure de retirer ainsi que de rembourser leurs positions sur les actifs gelés par Aave. Seuls les dépôts et les emprunts ont été bloqués jusqu’à nouvel ordre.
Détail de la faille et suite des évènements
Pour le moment, aucune information précise n’a été révélée quant à la nature de la faille. En effet, les équipes d’Aave ont jugé irresponsable de partager ces informations. Effectivement, le code d’Aave est utilisé par une multitude d’autres protocoles. Ainsi, dévoiler les dessous de la faille engendrerait un risque pour les protocoles ayant forké le code d’Aave.
Toutefois, les équipes ont uniquement révélé qu’en désactivant les emprunts à taux stables, la faille n’est pas exploitable.
Désormais, les équipes d’Aave préparent activement une proposition de gouvernance qui aura plusieurs objectifs :
- Désactiver les protections mises en place ;
- Appliquer des protections plus spécifiques en désactivant les taux stables sur les pools problématiques ;
- Mettre au point un plan pour relancer les pools affectés.
Cette proposition devrait être présentée dans les jours à venir à la communauté.
Quoi qu’il en soit, Aave se place une nouvelle fois comme le bon élève de la DeFi. En effet, le protocole a toujours su naviguer entre les hacks et évoluer de manière décentralisée en reposant sur sa DAO.
De leur côté, les utilisateurs DeFi sont soulagés de voir qu’Aave a su réagir avant que la faille ne soit exploitée. En effet, une attaque sur le protocole Aave n’aurait fait qu’alourdir le bilan des hacks crypto en 2023, qui s’élève déjà à plus d’un milliard de dollars.
En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !