Aave未披露的漏洞,可能在这30+个项目身上复现
原创 | Odaily星球日报
作者 | Azuma
11 月 4 日,龙头借贷项目 Aave 于 X 上官方宣布,已收到了关于协议部分功能存在漏洞的报告,社区开发者在验证后决定启动临时防范措施。
根据后续 Aave 于治理论坛内所公开的报告,本次漏洞并未造成任何资金层面的损失,所有市场上的流动性池也均被妥善保护。
关于漏洞细节,Aave 当前只透露了该漏洞与稳定利率借贷模式有关,潜在的可被攻击目标包括以太坊主网上的 V2 市场,以及 Optimism 、 Arbitrum 、 Avalanche 、 Polygon 上的 V3 市场内的某些资产。
值得一提的是,在解释为何不公开更多详情时,Aave 表示:“ 鉴于市面上仍有相当多的项目系分叉自 Aave,因此 Aave 决定暂不公布关于漏洞的完整详情。一旦团队认为有责任公开,Aave 将发布关于漏洞的详细解释以及从披露到修复的行动过程。 ”
Aave 的这一操作可以说是相当微妙。当然了,出于防止黑客抢先利用的考量,不公开漏洞详情的做法也可以理解,但这么做也意味大量分叉自 Aave 的项目暂时仍无法获悉漏洞细节,甚至可能自己仍在带着漏洞“裸奔”。
至于分叉项目能否私下里从 Aave 团队处单独得到更多情报,也完全取决于 Aave 是否愿意共享信息,毕竟本质上 Aave 和分叉项目还是存在着竞争关系的。
就此,以太坊生态知名开发者 banteg 评论表示:“ 当你分叉某个项目时,记得给原项目分享一些代币。这么做他们或许会记得你,甚至愿意与你建立双边的信息披露协议。 ”
然而现状却是,经历了当年 DeFi 野蛮生长的时代,除了诸如 Spark Protocol 等少部分项目能“饮水思源”之外, 大多数分叉项目在“复刻”原项目之时往往会忽视原项目所作出的贡献,根本不会与原项目分享任何代币。
这也使得许多分叉项目在本次 Aave 事件中陷入了一个较为尴尬的境地 —— 当年曾“白嫖” Aave 获利,现在又该怎么请求 Aave 分享情报。
事后不久,Aave 战略负责人 Marc Zeller 曾于 X 发文笑称“今天意识到了许多人的存在”, 或是在暗指已有许多分叉项目在主动联系 Aave,希望确认自身项目是否会遭受影响。
结合 Aave 的披露,本次漏洞对 V2、V3 版本市场均会造成一定影响,而根据 Defi Llama 的统计, 当前分叉自 Aave V3 的共有 5 家项目,分叉自 Aave V2 的则有 31 家项目 ,具体名单如下。
分叉自 Aave V3 的 5 家项目为:
-
Spark Protocol
-
Kinza Finance
-
Seamless Protocol
-
ZeroLend
-
Mooncake Finance
分叉自 Aave V2 的 31 家项目为:
-
Radiant V2
-
UwU Lend
-
RealT RMM Marketplace
-
Agave
-
Granary Finance
-
Phiat Protocol
-
SiO 2 Finance
-
Goledo
-
Moola Market
-
KlayBank
-
Lendle
-
Valas Finance
-
Starlay Finance
-
Radiant V1
-
Pinjam Labs
-
Reax Lending
-
Klap
-
Roe Finance
-
MonoLend
-
Geist Finance
-
Omnidex Lend
-
PolyLend
-
MahaLend
-
Sculptor Finance
-
Tropykus zkEVM
-
WaterLoan
-
SSAP
-
Omni Protocol
-
Toreus
-
Blizz Finance
-
Xensa
需要说明的是,以上仅是对所有分叉自 Aave 的项目的一个整体统计, 由于本次漏洞也仅仅涉及了 Aave 的部分合约,所以上述项目并不一定会受到该漏洞影响。
当前可以确定的是, 少数规模较大、运营实力较强的项目已与 Aave 或白帽黑客们接洽,排除了受影响的可能性。
比如启动前就已表态会同 Aave 分享部分协议收入的 Spark Protocol(分叉项目中 TVL 排名第一,约 8.5 亿美元)就已在 X 宣布所有合约不受影响,用户无需担忧。
此外,主打跨链概念的借贷协议 Radiant Capital (分叉项目中 TVL 排名第二,约 3.41 亿美元)也已 宣布:“已与多位白帽黑客共同确认,Radiant 的借贷池不受影响。”
此外,UwU Lend(分叉项目中 TVL 排名第三,约 2600 万美元)也已宣布本次漏洞仅涉及该项目未启用的部分功能,因此也不会遭受任何影响。
然而,抛开上述几家 TVL 占分叉项目比重远超九成的大规模项目不提,对于其他较小规模的项目而言,想要确认协议的安全状况就没那么容易了。
出于安全考虑, Odaily 星球日报建议正在使用前文所提到的三十余个分叉项目的用户们,认真检查项目是否已披露安全状况,若暂时仍无任何披露,强烈建议撤出资金,保证安全。