Aave ciblé par une attaque : le hacker de Mango Markets met le CRV au cœur du conflit
L’arroseur arrosé – Depuis plusieurs jours, le protocole Aave est au centre de l’attention sur Ethereum. En effet, le hacker à l’origine de l’attaque de Mango Market semble avoir jeté son dévolu sur le géant du lending. Revenons ensemble sur cette affaire et ses différents rebondissements.
Avaraham Eisenberg : le hacker de Mango Markets
Le 12 octobre dernier, le protocole Mango Markets évoluant sur la blockchain Solana a été la cible d’une attaque. Au total, l’attaquant a réussi à siphonner plus de 100 millions de dollars dans les pools du protocole.
Rapidement, l’attaque a été revendiquée par un internaute répondant un pseudo de @Avi_eisen sur Twitter. Celui-ci avait alors décrit la manœuvre comme étant un « mouvement de trading hautement profitable ».
Par la suite, celui-ci avait refait parler de lui en déclarant qu’une attaque similaire à celle de Mango Markets pouvait être menée sur le protocole Aave.
« On m’a dit qu’Aave était parfaitement sûr, alors voici une stratégie de trading potentielle. Il ne s’agit pas d’un conseil financier ou juridique, mais si vous gagnez 9 chiffres avec cette stratégie, n’hésitez pas à envoyer un pourboire. »
Environ un mois après cette publication, Avi Eisen a, semble-t-il, décidé de mettre en oeuvre sa stratégie.
Ojectif de l’attaque : faire baisser le prix cu CRV
La manœuvre d’Avi a débuté le 22 novembre. Ainsi, il a emprunté 20 millions de jetons CRV (9,9M$) sur le protocole Aave. Cet emprunt a été réalisé via la collatéralisation d’USDC.
Son objectif étant de faire baisser le prix du CRV pour pouvoir shorter l’actif, Avi a transféré 10 millions de CRV empruntés sur la plateforme OKEx pour les revendre massivement.
Cette vente a entraîné le prix du jeton vers le bas, le faisant passer de 0,625$ à 0,464$, comme rapporté par @Lookonchain.
En pratique, le plan d’Avi semble clair : faire chuter le cours du CRV et maintenir une position de short pour profiter de la baisse, le tout en laissant une dette massive du côté d’Aave.
Une stratégie à perte
Néanmoins, la stratégie n’aura pas eu l’impact escompté. En effet, la position de Avi devenue à risque avec la chute du CRV a pu être liquidée par le protocole. De ce fait, l’attaquant n’a pas pu effectuer de profit sur sa position en short et s’est fait liquider son collatéral par le protocole.
Néanmoins, la situation n’est pas pour autant anodine pour Aave. Ainsi, la manœuvre a tout de même laissé une mauvaise dette de 1,3 million de dollars, comme annoncé par Gauntlet.
« La tentative de short squeeze CRV sur Aave a échoué et n’a pas été rentable. Malgré cela, Aave a accumulé une position insolvable. »
Comment Aave va-il gérer cette insolvabilité ?
Certes la situation n’a pas entraîné de dette insolvable comme cela avait pu être le cas pour Mango Markets, néanmoins Aave va devoir trouver un moyen pour couvrir ces pertes.
Dans un premier temps, Gauntlet a effectué une proposition de gouvernance visant à mitiger ce vecteur d’attaque.
En pratique, Gauntlet propose de geler un certain nombre d’actifs sur Aave v2 afin d’atténuer le risque jusqu’au déploiement de la v3. Les actifs impactés par ce gel sont les suivants : YFI, CRV, ZRX, MANA, 1inch, BAT, sUSD, ENJ, GUSD, AMPL, RAI, USDP, LUSD, xSUSHI, DPI, renFIL et MKR. Ces actifs ont été sélectionnés du fait de leur manque de liquidités.
En parallèle, celle-ci propose une accélération du déploiement de la version 3 d’Aave qui implémente différents mécanismes de protections supplémentaires.
Du côté de la dette créée, plusieurs méthodes pourraient permettre de la compenser. Dans un premier temps, la DAO du protocole pourrait envisager d’utiliser les réserves pour couvrir la dette, comme souligné par @MonetSupply.
« Au taux d’utilisation élevé actuel, les réserves augmentent en fait plus rapidement que les créances irrécouvrables – les réserves rattraperaient les créances irrécouvrables en ~24 jours aux taux actuels. »
Dans un second temps, Gauntlet envisagerait d’utiliser les fonds de son programme de remboursement en cas d’insolvabilité, présenté en septembre dernier.
Enfin, la DAO pourrait décider d’avoir recours à son module de sécurité. Pour rappel, celui-ci est étroitement lié au programme de staking des jetons AAVE sur le protocole.
« En cas de déficit, une partie des AAVE bloqués sont mis aux enchères sur le marché pour être vendus contre les actifs nécessaires pour atténuer le déficit constaté. »
Cependant, la marche à suivre sera décidée de manière décentralisée via la gouvernance du protocole.
En parallèle, le protocole Aave est à quelques semaines du déploiement de la version 3 de son protocole. Celle-ci apportera de nombreuses évolutions notamment en termes de sécurité et de gestion des risques.