原創- Odaily
作者- Azuma
11 月4 日,龍頭借貸計畫Aave 在X 上官方宣布,已收到了協議部分功能存在漏洞的報告,社群開發者在驗證後決定啟動臨時防範措施。
根據後續Aave 於治理論壇內所公開的報告,本次漏洞並未造成任何資金層面的損失,所有市場上的流動性池也都被妥善保護。
關於漏洞細節,Aave 目前只透露了該漏洞與穩定利率借貸模式有關,潛在的可被攻擊目標包括以太坊主網上的V2 市場,以及Optimism、Arbitrum、Avalanche、Polygon 上的V3 市場內的某些資產。
值得一提的是,在解釋為何不公開更多詳情時,Aave 表示:「鑑於市面上仍有相當多的項目系分叉自Aave,因此Aave 決定暫不公佈關於漏洞的完整細節。一旦團隊認為有責任公開,Aave 將發布關於漏洞的詳細解釋以及從揭露到修復的行動過程。”
Aave 的這項操作可以說是相當微妙。當然了,出於防止駭客搶先利用的考量,不公開漏洞詳情的做法也可以理解,但這麼做也意味著大量分叉自Aave 的項目暫時仍無法獲悉漏洞細節,甚至可能自己仍在帶著漏洞“裸奔”。
至於分叉項目能否私下裡從Aave 團隊處單獨得到更多情報,也完全取決於Aave 是否願意共享信息,畢竟本質上Aave 和分叉項目還是存在著競爭關係的。
就此,以太坊生態知名開發者banteg 評論表示:「當你分叉某個項目時,記得給原項目分享一些代幣。這麼做他們或許會記得你,甚至願意與你建立雙邊的資訊揭露協議。”
然而現狀卻是,經歷了當年DeFi 野蠻生長的時代,除了諸如Spark Protocol 等少部分項目能“飲水思源”之外,大多數分叉項目在“復刻”原項目之時往往會忽視原項目所作出的貢獻,根本不會與原項目分享任何代幣。
這也使得許多分叉項目在本次Aave 事件中陷入了一個較為尷尬的境地—— 當年曾「白嫖」 Aave 獲利,現在又該如何開口求Aave 分享情報。
事後不久,Aave 戰略負責人Marc Zeller 曾於X 發文笑稱“今天意識到了許多人的存在”,或是在暗指已有許多分叉項目在主動聯繫Aave,希望確認自身項目是否會遭受影響。
結合Aave 的揭露,本次漏洞對V2、V3 版本市場均會造成一定影響,而根據Defi Llama 的統計,目前分叉自Aave V3 的共有5 家項目,分叉自Aave V2 的則有31 家項目,具體名單如下。
分叉自Aave V3 的5 家專案為:
需要說明的是,以上僅是對所有分叉自Aave 的項目的一個整體統計,由於本次漏洞也只涉及了Aave 的部分合約,上述項目並不一定會受到該漏洞影響。
目前可以確定的是,少數規模較大、營運實力較強的項目已與Aave 或白帽駭客接洽,排除了受影響的可能性。
例如啟動前就已表態會與Aave 分享部分協議收入的Spark Protocol(分叉項目中TVL 排名第一,約8.5 億美元)就已在X 宣布所有合約不受影響,用戶無需擔憂。
此外,主打跨鏈概念的借貸協議Radiant Capital(分叉項目中TVL 排名第二,約3.41 億美元)也已宣布:“已與多位白帽黑客共同確認,Radiant 的借貸池不受影響。”
此外,UwU Lend(分叉項目中TVL 排名第三,約2600 萬美元)也宣布本次漏洞僅涉及該項目未啟用的部分功能,因此也不會遭受任何影響。
然而,拋開上述幾家TVL 佔分叉項目比重遠超九成的大規模項目不提,對於其他較小規模的項目而言,想要確認協議的安全狀況就沒那麼容易了。
出於安全考慮,Odaily 建議正在使用前文所提到的三十餘個分叉項目的用戶們,認真檢查項目是否已披露安全狀況,若暫時仍無任何披露,強烈建議撤出資金,保證安全。
