Những lỗ hổng chưa được tiết lộ của Aave có thể được sao chép trong những dự án nào?

Bản gốc - Odaily

Tác giả - Azuma

Vào ngày 4 tháng 11, dự án cho vay hàng đầu Aave đã chính thức thông báo trên X rằng họ đã nhận được báo cáo về lỗ hổng trong một số chức năng của giao thức. Sau khi xác minh, các nhà phát triển cộng đồng đã quyết định tiến hành các biện pháp phòng ngừa tạm thời.

Theo các báo cáo tiếp theo được Aave công bố trên diễn đàn quản trị, lỗ hổng này không gây ra bất kỳ tổn thất tài chính nào và tất cả các nhóm thanh khoản trên thị trường đều được bảo vệ đúng cách.

Về chi tiết của lỗ hổng, Aave hiện chỉ tiết lộ rằng lỗ hổng này liên quan đến mô hình cho vay lãi suất ổn định. Các mục tiêu tấn công tiềm năng bao gồm thị trường V2 trên mạng chính Ethereum, cũng như một số tài sản nhất định trên thị trường V3 trên Optimism, Arbitrum, Tuyết lở và Đa giác.

Điều đáng nói là khi giải thích lý do không tiết lộ thêm chi tiết, Aave cho biết: Vì vẫn còn khá nhiều dự án trên thị trường được phân nhánh từ Aave nên Aave đã quyết định chưa tiết lộ thông tin chi tiết đầy đủ về lỗ hổng này. Sau khi nhóm cảm thấy có trách nhiệm tiết lộ lỗ hổng, Aave sẽ công bố giải thích chi tiết về lỗ hổng bảo mật và quá trình hành động từ tiết lộ đến khắc phục.”

Thao tác này của Aave có thể nói là khá tinh tế. Tất nhiên, việc không tiết lộ chi tiết lỗ hổng để ngăn chặn tin tặc khai thác trước là điều dễ hiểu, nhưng làm như vậy cũng có nghĩa là một số lượng lớn các dự án rẽ nhánh từ Aave vẫn không thể tìm hiểu chi tiết về lỗ hổng, thậm chí có thể vẫn đang mang trong mình lỗ hổng “Vệt”.

Về việc liệu dự án fork có thể lấy thêm thông tin riêng tư từ nhóm Aave hay không, tất cả phụ thuộc vào việc Aave có sẵn sàng chia sẻ thông tin hay không. Xét cho cùng, Aave và dự án fork về cơ bản là trong mối quan hệ cạnh tranh.

Về vấn đề này, banteg, một nhà phát triển nổi tiếng trong hệ sinh thái Ethereum, đã nhận xét: “Khi bạn phân nhánh một dự án, hãy nhớ chia sẻ một số token với dự án ban đầu. Bằng cách đó, họ có thể nhớ đến bạn và thậm chí sẵn sàng thiết lập thỏa thuận tiết lộ thông tin song phương với bạn.”

Tuy nhiên, tình hình hiện nay là sau thời kỳ DeFi phát triển rầm rộ, ngoại trừ một vài dự án như Spark Protocol có thể “uống nước nhớ nguồn”, hầu hết các dự án fork đều có xu hướng bỏ qua thành quả của dự án ban đầu khi họ tái tạo dự án ban đầu. Các đóng góp sẽ không chia sẻ bất kỳ mã thông báo nào với dự án ban đầu.

Điều này cũng đã đẩy nhiều dự án fork vào tình huống khá xấu hổ trong vụ việc Aave này - họ từng “bán dâm” Aave để kiếm lời, và bây giờ làm sao họ có thể yêu cầu Aave chia sẻ thông tin tình báo được.

Ngay sau vụ việc, Marc Zeller, người đứng đầu chiến lược tại Aave, đã đăng trênHoặc nó ám chỉ rằng nhiều dự án fork đang tích cực liên hệ với Aave, với hy vọng xác nhận liệu dự án của họ có bị ảnh hưởng hay không.

Kết hợp với tiết lộ của Aave, lỗ hổng này sẽ có tác động nhất định tới cả thị trường phiên bản V2 và V3.Theo thống kê từ Defi Llama,Hiện tại có 5 dự án đã rẽ nhánh từ Aave V3 và 31 dự án đã rẽ nhánh từ Aave V2., danh sách cụ thể như sau.

Năm dự án rẽ nhánh từ Aave V3 là:

1. Spark Protocol

2. Kinza Finance

3. Seamless Protocol 

4. ZeroLend 

5. Mooncake Finance

31 dự án được phân nhánh từ Aave V2 là:

1. Radiant V2 

2. UwU Lend

3. RealT RMM Marketplace

4. Agave

5. Granary Finance

6. Phiat Protocol

7. SiO 2 Finance

8. Goledo

9. Moola Market

10. KlayBank

11. Lendle

12. Valas Finance

13. Starlay Finance

14. Radiant V1

15. Pinjam Labs

16. Reax Lending

17. Klap

18. Roe Finance

19. MonoLend

20. Geist Finance

21. Omnidex Lend

22. PolyLend

23. MahaLend

24. Sculptor Finance

25. Tropykus zkEVM

26. WaterLoan

27. SSAP

28. Omni Protocol

29. Toreus

30. Blizz Finance

31. Xensa

Cần lưu ý rằng trên chỉ là số liệu thống kê tổng thể của tất cả các dự án rẽ nhánh từ Aave.Vì lỗ hổng này chỉ liên quan đến một số hợp đồng của Aave nên các dự án nêu trên có thể không nhất thiết bị ảnh hưởng bởi lỗ hổng này.

Điều chắc chắn hiện nay là,Một vài dự án có quy mô lớn hơn, khả năng hoạt động mạnh hơn đã liên hệ với Aave hoặc hacker mũ trắng để loại trừ khả năng bị ảnh hưởng.

Ví dụ: Giao thức Spark (đứng đầu về TVL trong số các dự án phân nhánh, với khoảng 850 triệu đô la Mỹ), đã tuyên bố trước khi ra mắt rằng nó sẽ chia sẻ một phần doanh thu giao thức với Aave, đã thông báo trên X rằng tất cả các hợp đồng sẽ không được thực hiện. bị ảnh hưởng và người dùng không cần phải lo lắng.

Ngoài ra, Radiant Capital, một thỏa thuận cho vay tập trung vào các khái niệm chuỗi chéo (TVL đứng thứ hai trong số các dự án fork, với khoảng 341 triệu USD), cũng đã thông báo: “Đã có nhiều tin tặc mũ trắng xác nhận rằng nhóm cho vay của Radiant sẽ không bị ảnh hưởng.

Ngoài ra, UwU Lend (đứng thứ ba về TVL trong số các dự án fork, xấp xỉ 26 triệu USD) cũng đã thông báo rằng lỗ hổng này chỉ liên quan đến một số chức năng mà dự án không kích hoạt nên sẽ không chịu bất kỳ ảnh hưởng nào.

Tuy nhiên, bỏ qua các dự án quy mô lớn nêu trên, trong đó TVL chiếm hơn 90% số dự án phân nhánh, đối với các dự án quy mô nhỏ hơn, việc xác nhận trạng thái bảo mật của giao thức không phải là điều dễ dàng như vậy.

do lo ngại về an toàn,Odaily khuyến nghị người dùng đang sử dụng hơn 30 dự án phân nhánh được đề cập ở trên hãy kiểm tra cẩn thận xem dự án có tiết lộ trạng thái bảo mật hay không, nếu tạm thời vẫn chưa tiết lộ thì nên rút tiền để đảm bảo an toàn.