ช่องโหว่ที่ไม่เปิดเผยของ Aave อาจถูกทำซ้ำในโครงการใดบ้าง

ต้นฉบับ - โอเดลี่

ผู้เขียน - อาซึมะ

เมื่อวันที่ 4 พฤศจิกายน โครงการให้กู้ยืมชั้นนำ Aave ได้ประกาศอย่างเป็นทางการบน X ว่าได้รับรายงานช่องโหว่ในฟังก์ชันบางอย่างของโปรโตคอล หลังจากการตรวจสอบแล้ว นักพัฒนาชุมชนได้ตัดสินใจที่จะเริ่มมาตรการป้องกันชั่วคราว

ตามรายงานต่อมาที่เผยแพร่โดย Aave ในฟอรัมการกำกับดูแล ช่องโหว่นี้ไม่ก่อให้เกิดความสูญเสียทางการเงินใดๆ และกลุ่มสภาพคล่องทั้งหมดในตลาดได้รับการคุ้มครองอย่างเหมาะสม

เกี่ยวกับรายละเอียดของช่องโหว่ ขณะนี้ Aave เปิดเผยเพียงว่าช่องโหว่นั้นเกี่ยวข้องกับรูปแบบการให้กู้ยืมอัตราดอกเบี้ยที่มั่นคง เป้าหมายการโจมตีที่อาจเกิดขึ้น ได้แก่ ตลาด V2 บน Ethereum mainnet รวมถึงสินทรัพย์บางอย่างในตลาด V3 บน Optimism, Arbitrum, หิมะถล่มและรูปหลายเหลี่ยม

เป็นที่น่าสังเกตว่าเมื่ออธิบายว่าทำไมเขาไม่เปิดเผยรายละเอียดเพิ่มเติม Aave กล่าวว่า: เนื่องจากยังมีโครงการจำนวนไม่น้อยในตลาดที่แยกจาก Aave Aave จึงตัดสินใจที่จะไม่เปิดเผยรายละเอียดทั้งหมดเกี่ยวกับช่องโหว่นี้ เมื่อทีมงานรู้สึกว่าเป็นความรับผิดชอบของพวกเขาในการเปิดเผยข้อมูลดังกล่าว Aave จะเผยแพร่คำอธิบายโดยละเอียดเกี่ยวกับช่องโหว่และแนวทางการดำเนินการตั้งแต่การเปิดเผยข้อมูลไปจนถึงการแก้ไข”

การทำงานของ Aave นี้เรียกได้ว่าค่อนข้างละเอียดอ่อน แน่นอนว่า เป็นที่เข้าใจได้ว่าจะไม่เปิดเผยรายละเอียดของช่องโหว่เพื่อป้องกันไม่ให้แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ดังกล่าวก่อน แต่การทำเช่นนี้ยังหมายความว่าโครงการจำนวนมากที่ถูกแยกจาก Aave ยังคงไม่สามารถเรียนรู้รายละเอียดของช่องโหว่นั้นได้ และอาจถึงขั้น ยังคงแบกรับความเปราะบางเอาไว้เอง” ริ้ว”

ส่วนว่าโครงการที่แยกออกมาสามารถรับข้อมูลเพิ่มเติมจากทีม Aave แบบส่วนตัวได้หรือไม่นั้นทั้งหมดขึ้นอยู่กับว่า Aave ยินดีที่จะแบ่งปันข้อมูลหรือไม่ ท้ายที่สุด Aave และโครงการที่แยกออกนั้นมีความสัมพันธ์เชิงแข่งขันกันเป็นหลัก

ในเรื่องนี้ banteg ผู้พัฒนาที่มีชื่อเสียงในระบบนิเวศ Ethereum ให้ความเห็นว่า: เมื่อคุณแยกโปรเจ็กต์ อย่าลืมแชร์โทเค็นบางส่วนกับโปรเจ็กต์ดั้งเดิม การทำเช่นนี้อาจทำให้พวกเขาจำคุณได้และเต็มใจที่จะทำข้อตกลงการเปิดเผยข้อมูลทวิภาคีกับคุณด้วยซ้ำ”

อย่างไรก็ตาม สถานการณ์ปัจจุบันคือหลังจากยุคของการเติบโตอย่างรวดเร็วของ DeFi ยกเว้นบางโครงการเช่น Spark Protocol ที่สามารถ ดื่มน้ำและคิดถึงแหล่งที่มา โครงการ fork ส่วนใหญ่มักจะเพิกเฉยต่อความสำเร็จของโครงการเดิมเมื่อ พวกเขา ทำซ้ำ โครงการดั้งเดิม การบริจาคจะไม่แชร์โทเค็นใด ๆ กับโครงการดั้งเดิมเลย

สิ่งนี้ยังทำให้โครงการที่แยกจากกันจำนวนมากตกอยู่ในสถานการณ์ที่ค่อนข้างน่าอายในเหตุการณ์ Aave นี้ - พวกเขาเคย ค้าประเวณี Aave เพื่อทำกำไร และตอนนี้พวกเขาจะขอให้ Aave แบ่งปันข้อมูลได้อย่างไร

ไม่นานหลังจากเหตุการณ์ดังกล่าว Marc Zeller หัวหน้าฝ่ายกลยุทธ์ของ Aave โพสต์เมื่อสักครู่หรือเป็นการบอกเป็นนัยว่าโปรเจ็กต์ที่แยกออกมาจำนวนมากกำลังติดต่อกับ Aave อย่างจริงจัง โดยหวังว่าจะยืนยันว่าโปรเจ็กต์ของพวกเขาจะได้รับผลกระทบหรือไม่

เมื่อรวมกับการเปิดเผยของ Aave ช่องโหว่นี้จะมีผลกระทบบางอย่างต่อทั้งตลาดเวอร์ชัน V2 และ V3 ตามสถิติจาก Defi Llamaขณะนี้มี 5 โปรเจ็กต์ที่แยกจาก Aave V3 และ 31 โปรเจ็กต์ที่แยกจาก Aave V2โดยมีรายการเฉพาะดังต่อไปนี้

ห้าโครงการที่แยกจาก Aave V3 คือ:

1. Spark Protocol

2. Kinza Finance

3. Seamless Protocol 

4. ZeroLend 

5. Mooncake Finance

31 โปรเจ็กต์ที่แยกจาก Aave V2 ได้แก่:

1. Radiant V2 

2. UwU Lend

3. RealT RMM Marketplace

4. Agave

5. Granary Finance

6. Phiat Protocol

7. SiO 2 Finance

8. Goledo

9. Moola Market

10. KlayBank

11. Lendle

12. Valas Finance

13. Starlay Finance

14. Radiant V1

15. Pinjam Labs

16. Reax Lending

17. Klap

18. Roe Finance

19. MonoLend

20. Geist Finance

21. Omnidex Lend

22. PolyLend

23. MahaLend

24. Sculptor Finance

25. Tropykus zkEVM

26. WaterLoan

27. SSAP

28. Omni Protocol

29. Toreus

30. Blizz Finance

31. Xensa

ควรสังเกตว่าข้อมูลข้างต้นเป็นเพียงสถิติโดยรวมของโปรเจ็กต์ทั้งหมดที่แยกจาก Aaveเนื่องจากช่องโหว่นี้เกี่ยวข้องกับสัญญาของ Aave บางส่วนเท่านั้น โครงการที่กล่าวมาข้างต้นจึงอาจไม่ได้รับผลกระทบจากช่องโหว่นี้

สิ่งที่แน่นอนในตอนนี้ก็คือโปรเจ็กต์บางโปรเจ็กต์ที่มีขนาดใหญ่กว่าและมีความสามารถในการปฏิบัติงานที่แข็งแกร่งกว่าได้ติดต่อกับ Aave หรือแฮ็กเกอร์แฮกเกอร์เพื่อแยกแยะความเป็นไปได้ที่จะได้รับผลกระทบ

ตัวอย่างเช่น Spark Protocol (ซึ่งครองอันดับหนึ่งใน TVL ในบรรดาโปรเจ็กต์ที่แยกส่วนด้วยเงินประมาณ 850 ล้านดอลลาร์สหรัฐ) ซึ่งระบุไว้ก่อนการเปิดตัวว่าจะแบ่งรายได้ส่วนหนึ่งของโปรโตคอลกับ Aave ได้ประกาศบน X ว่าสัญญาทั้งหมดจะไม่เป็น ได้รับผลกระทบและผู้ใช้ไม่ต้องกังวล

นอกจากนี้ Radiant Capital ซึ่งเป็นข้อตกลงการให้กู้ยืมที่มุ่งเน้นไปที่แนวคิดข้ามเครือข่าย (TVL อยู่ในอันดับที่สองในบรรดาโครงการ fork ด้วยมูลค่าประมาณ 341 ล้านดอลลาร์สหรัฐ) ยังได้ประกาศว่า: ได้รับการยืนยันจากแฮกเกอร์หมวกขาวหลายคนว่ากลุ่มการให้กู้ยืมของ Radiant จะ ไม่ได้รับผลกระทบ

นอกจากนี้ UwU Lend (อันดับสามใน TVL ในบรรดาโครงการที่แยกจากกัน ซึ่งมีมูลค่าประมาณ 26 ล้านดอลลาร์) ยังได้ประกาศว่าช่องโหว่นี้เกี่ยวข้องกับฟังก์ชันบางอย่างที่โครงการไม่ได้เปิดใช้งานเท่านั้น ดังนั้นจึงจะไม่ได้รับผลกระทบใดๆ

อย่างไรก็ตาม นอกเหนือจากโปรเจ็กต์ขนาดใหญ่ที่กล่าวข้างต้น ซึ่ง TVL คิดเป็นสัดส่วนมากกว่า 90% ของโปรเจ็กต์ที่ถูกแยกส่วน สำหรับโปรเจ็กต์ขนาดเล็กอื่นๆ การยืนยันสถานะความปลอดภัยของโปรโตคอลนั้นไม่ใช่เรื่องง่าย

เนื่องจากความกังวลเรื่องความปลอดภัยOdaily แนะนำให้ผู้ใช้ที่ใช้โปรเจ็กต์ที่ถูกแยกมากกว่า 30 โปรเจ็กต์ที่กล่าวถึงข้างต้นตรวจสอบอย่างรอบคอบว่าโปรเจ็กต์ได้เปิดเผยสถานะความปลอดภัยหรือไม่ หากยังไม่มีการเปิดเผยในขณะนี้ ขอแนะนำอย่างยิ่งให้ถอนเงินเพื่อความปลอดภัย