L’accord de ré-imposition de la liquidité Kelp et le pont inter-chaînes ont été attaqués le samedi. L’attaquant a dérobé 116 500 unités de rsETH (environ 292 millions de dollars), puis a déposé les tokens volés dans Aave V3 comme collatéral, pour emprunter massivement des Ether emballés (WETH). Bien que le contrat de l’accord Aave n’ait pas été affecté, l’attaque a créé dans le grand livre environ 196 millions de dollars de créances irrécouvrables, et le TVL de la plateforme a chuté à environ 20 milliards de dollars.

Trajectoire de l’attaque : comment la faille de pont de Kelp déclenche indirectement des créances irrécouvrables sur Aave

Le point d’entrée de l’attaque n’est pas Aave lui-même, mais le pont inter-chaînes de Kelp. Le samedi, l’attaquant a trompé le pont de Kelp pour qu’il libère 116 500 unités de rsETH vers une adresse sous son contrôle. Le rsETH est le token de preuve de ré-imposition de la liquidité de Kelp : il représente les rendements des ethers mis en jeu acheminés via EigenLayer.

L’attaquant a ensuite déposé le rsETH volé dans Aave V3 comme collatéral et a emprunté du WETH. Comme le collatéral sous-jacent a disparu au niveau de la couche de pont que Aave ne peut pas atteindre, ces positions d’emprunt sont en fait devenues des créances irrécouvrables impossibles à récupérer. Les données on-chain montrent que les créances irrécouvrables d’Aave s’élèvent à environ 196 millions de dollars, et que les positions ouvertes totales d’Aave, Compound et Euler représentent environ 236 millions de dollars.

Raison de la concentration des créances : la paire rsETH/WETH domine le grand livre d’Aave

Le carnet de prêts d’Aave s’étend sur 22 chaînes, mais la chaîne principale Ethereum détient 14,24 milliards de dollars sur 17,82 milliards de dollars d’encours de prêts, tandis que le WETH représente à lui seul 39,49% de tous les prêts d’Aave. Cette attaque a frappé avec précision la paire de prêts avec collatéral rsETH/WETH la plus importante en taille dans le grand livre d’Aave, ce qui explique pourquoi les créances irrécouvrables étaient très concentrées au lieu d’être réparties sur l’ensemble de la plateforme.

Le fondateur d’Aave, Stani Kulechov, a confirmé que c’était une attaque externe et que le contrat de l’accord était intact. Mais Aave accepte le rsETH comme collatéral, et la sécurité de ses actifs sous-jacents dépend d’un pont inter-chaînes situé en dehors du périmètre de contrôle d’Aave ; au final, quelles que soient les circonstances, le risque de perte est supporté par les déposants.

Incertitude du mécanisme de réserve Umbrella : risques potentiels pour les détenteurs de stkAAVE

Au départ, Aave avait indiqué que la réserve d’Umbrella compenserait tout déficit. Mais à samedi après-midi, les formulations officielles se sont assouplies en « explorer des voies pour compenser un déficit », ce qui montre que le montant des réserves pourrait ne pas suffire à couvrir entièrement le manque de créances irrécouvrables de 196 millions de dollars.

Si la réserve Umbrella ne peut pas couvrir intégralement les pertes, selon le mécanisme de conception d’Aave, les détenteurs de stkAAVE (les tokens AAVE mis en jeu) pourraient devoir supporter une partie des pertes. C’est l’une des raisons profondes pour lesquelles le token AAVE a subi une pression de 16% lors de cet événement.

Leçon plus large : angles morts de risque systémique des collatéraux LRT

La leçon centrale de cet événement dépasse le cadre de Kelp et d’Aave eux-mêmes. Les tokens de ré-imposition de liquidité (LRT) ont été intégrés par toutes les principales plateformes DeFi de prêt à la liste blanche des collatéraux, en raison du fait qu’ils ont une composante de rendement et représentent une proportion croissante de la valeur verrouillée sur Ethereum. Cependant, dans les modèles de risque existants pour valoriser les LRT, il est supposé qu’ils conserveront leur valeur ancrée dans des conditions de marché normales, sans prendre en compte les scénarios extrêmes où le pont sous-jacent est attaqué et où le collatéral tombe instantanément à zéro.

Le trader Altcoin Sherpa a indiqué sur X : « AAVE est le pilier de la DeFi, et il renferme des dizaines de milliards de dollars de capitaux. Quand un risque de contagion apparaît sur AAVE, cela indique la fragilité de l’ensemble du système. »

FAQ

Le contrat de l’accord Aave a-t-il été piraté lors de cette attaque ?

Non. Le fondateur d’Aave, Stani Kulechov, a clairement déclaré qu’il s’agissait d’une attaque externe, et que les contrats intelligents d’Aave n’ont pas été endommagés. La création des créances irrécouvrables vient du fait qu’Aave a accepté le rsETH comme collatéral, et que ses actifs sous-jacents ont disparu après que le pont inter-chaînes de Kelp, auquel Aave ne peut pas accéder, ait été attaqué, ce qui a rendu les positions de prêt concernées impossibles à récupérer comme créances.

Comment fonctionne le mécanisme de réserve Umbrella d’Aave, et pourquoi les détenteurs de stkAAVE sont-ils exposés au risque ?

Umbrella est le module de sécurité d’Aave, conçu pour faire face aux déficits de créances irrécouvrables de l’accord. Lorsque les fonds de réserve ne parviennent pas à compenser intégralement les pertes, les détenteurs de stkAAVE (c’est-à-dire les utilisateurs des tokens AAVE mis en jeu) en tant que dernier rempart : leurs tokens mis en jeu peuvent être réduits (Slashing) pour compenser le déficit. Dans cet événement, il demeure incertain qu’Umbrella puisse couvrir les créances irrécouvrables de 196 millions de dollars ; c’est la raison centrale de la forte pression subie par le token AAVE cette fois-ci.

Quel impact systémique cet événement a-t-il sur le marché de prêt DeFi ?

Cet événement révèle un angle mort systémique des collatéraux de type LRT : les accords de prêt acceptent largement les LRT comme collatéraux, mais en pratique, ils introduisent le risque de sécurité des ponts dans le grand livre des prêts. Tout échec de sécurité d’un pont inter-chaînes peut entraîner des créances irrécouvrables imprévues dans les accords de prêt qui acceptent les LRT correspondants. Cela oblige chaque protocole DeFi à réévaluer les modèles de risque des collatéraux LRT, les ratios de collatéral et les limites de positions.

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.