Aave annonce un retour à la normale de ses opérations, une réserve de 300 millions de dollars venant compenser les actifs épuisés

Anatomie de l'attaque

Aave, pionnier de la finance décentralisée (DeFi), a réussi à rétablir pleinement la liquidité de ses pools de prêt, couronnant ainsi un effort de stabilisation intensif de plusieurs semaines à la suite d'une attaque inter-chaînes de 300 millions de dollars qui menaçait les réserves de trésorerie du protocole, ont annoncé les développeurs le 1er juin.

Aave a déclaré dans son rapport d'analyse rétrospective qu'en mobilisant un fonds de sauvetage de 300 millions de dollars à l'échelle du secteur et en obtenant une ordonnance d'urgence d'un tribunal fédéral, il avait pu remplacer les actifs épuisés, protéger les déposants contre les pertes et rétablir les opérations normales d'emprunt et de prêt sur l'ensemble du protocole.

La publication de ce rapport d'analyse est intervenue plus d'un mois après qu'un attaquant a exploité un pont tiers exploité par Kelp et Layerzero. En fabriquant de faux messages inter-chaînes, le pirate a créé 116 500 jetons rsETH contrefaits et les a déposés sur la plateforme V3 d'Aave en guise de garantie.

L'attaquant a immédiatement utilisé les faux rsETH comme garantie pour siphonner des actifs hautement liquides, empruntant 82 650 wrapped ethereum (WETH) et 821 wrapped staked ethereum (wstETH). Ce retrait massif et soudain a affaibli structurellement les pools de liquidité principaux d'Aave, forçant les gestionnaires de risques à geler les marchés concernés afin d'empêcher une ruée en cascade sur le capital de la plateforme. Pour combler le trou, Aave Labs a aidé à mobiliser une coalition d'urgence regroupant les principaux acteurs du secteur, notamment Lido, Ether.fi, Ethena et Compound. Ensemble, le groupe a mis en place un fonds de sauvetage de 300 millions de dollars. Cette injection de capitaux a efficacement soutenu les actifs rsETH compromis, garantissant que chaque dollar des dépôts des utilisateurs restait entièrement garanti par des réserves authentiques.

Déblocage des capitaux

Cependant, le chemin vers le rétablissement de la liquidité s'est heurté à un obstacle juridique le 1er mai, lorsque des créanciers judiciaires dans une affaire fédérale sans rapport avec celle-ci ont intercepté le processus de redressement. Les créanciers ont obtenu une ordonnance de gel qui a bloqué environ 71 millions de dollars en ethereum qui avaient été récupérés auprès de l'attaquant et devaient servir à renflouer les pools d'Aave.

Aave a réagi en déposant une requête d'urgence devant un tribunal fédéral américain le 4 mai, et quatre jours plus tard, un juge a accordé une modification cruciale de la mesure de gel, autorisant le transfert immédiat des 71 millions de dollars sous la garde directe d'Aave. Cette avancée juridique a permis aux développeurs de réinjecter instantanément les fonds dans les pools de prêt actifs du protocole, rétablissant ainsi la profondeur de liquidité nécessaire au bon fonctionnement du marché. Les réserves de capital étant désormais entièrement reconstituées et les paramètres de marché d'avant l'exploitation rétablis, Aave procède à une refonte de son architecture de gestion des risques afin de protéger sa liquidité contre de futures défaillances systémiques de tiers.

Afin d'empêcher de futurs attaquants de convertir des jetons exploités en actifs liquides du protocole, les développeurs d'Aave ont procédé à 295 mises à jour de paramètres individuelles, réduisant considérablement les plafonds d'emprunt et d'offre sur 168 pools d'actifs distincts. De plus, le protocole met en place un dispositif de coupure automatique LTV0 (ratio prêt/valeur nul). À l'avenir, si l'infrastructure inter-chaînes sous-jacente d'un actif subit une faille de sécurité, le système retirera instantanément la valeur de garantie de cet actif. Cela garantit que les tokens compromis ne pourront plus être utilisés pour emprunter ou drainer de la liquidité authentique des marchés d'Aave.