Взламано Aave через периферійний контракт — $56 тисяч украдено

Aave взламано через периферійний контракт — з `копілки` вкрадено $ 56 тисяч

Периферійний контракт найбільшої платформи децентралізованої фінансової (DeFi) сфери, Aave, був взламаний на загальну суму $ 56 000 раніше сьогодні.

Aave, в якому знаходяться активи на суму понад $ 11 мільярдів за даними від DeFiLlama, чітко вказав, що атака, яка почалася близько 04:30 за UTC, не ставить під загрозу кошти користувачів. Засновник Стані Кулечов та делегат управління Марк Зеллер обидва звернулися до Х (колись Twitter), щоб заспокоїти користувачів.

Віртуальна Chaofan Shou з Fuzzland визначила причину взлому, вказавши на транзакції на чотирьох мережах: Ethereum, Aribtrum, Polygon і Optimism. Він оцінив загальні кошти, які перебували під загрозою, приблизно у розмірі $ 70,000.

Згідно з аналізом компанії з безпеки QuillAudits, втрати від атак на вищезазначені мережі становили приблизно $ 51,000. Ще одна атака на Avalanche приносила приблизно $ 5,000. Кошти були направлені на утримувальну адресу на всіх мережах.

Порушений периферійний контракт ParaSwapRepayAdapter не є частиною основного протоколу Aave і, схоже, не був перевірений. Він дозволяє користувачам погашати позиції з позиками, використовуючи наявні забезпечення, обмінюючи активи через децентралізовану біржу ParaSwap.

Хоча сам контракт не призначений для утримання коштів користувачів, позитивний кліничний проплив при обмінах призводить до поступової акумуляції будь-яких невикористаних токенів.

У відповідь на запитання про походження вкрадених коштів делегат Aave Марк Зеллер заявив: `Хтось обікрав копілку`.

Розробник BGD Labs Aave пізніше відповів більш детально, повідомивши користувачам, що втрати обмежувалися порушеними контрактами і не могли розповсюдитися на широкий протокол. Допис також підкреслює, що немає ризику атаки, пов`язаної з схваленням токенів.

Два дні тому засновник Euler Finance Майкл Бентлі звинуватив Aave в тому, що він приховував `суттєві проблеми з безпекою` відповідно до насмішок Кулечова щодо крадіжки Euler на $ 200 мільйонів у березні минулого року.

Коментарі, зроблені в популярному спільноті DeFi Telegram LobsterDAO, виявилися після сьогоднішніх новин, переростаючи в аргумент між двома кредитними протоколами.

Бентлі звинуватив команду Aave у `святкуванні та поширенні дезінформації` незабаром після того, як Euler був зліпаний, а також стверджував, що Aave ставиться до великих стандартів безпеки іншою спільнотою в цілому.

У листопаді 2023 року повідомлено, що подія з безпекою призвела до того, що декілька пулів Aave було призупинено, проте повних відомостей не було опубліковано, посилаючись на занепокоєння щодо можливо уразливих `форків`.

Однак багато клонів Aave були взламані раніше, із малою співчуттям від оригінального протоколу.

Кулечов відхилив свій власний попередній коментар як `шумні пости` і знизив сьогоднішню подію як `практично арбітраж з копілки`. Потім, звертаючись до `втомлюючих` розмов про майбутній Еулер v2 від Бентлі, Кулечов відмовився: `побудуйте це і зникніть`.

Aave безсумнівно не є чужим до напружених відносин з іншими організаціями в DeFi. Раніше цього року команда управління ризиками Gauntlet вирішила покинути протокол після того, як роздратування наростилося.