根据 Aave 团队于社群的公告,Aave 近日收到漏洞报告,已确认漏洞问题并关闭部分协议功能,资金目前已脱离风险。但现阶段部分 Aave 协议的质押池中的资产仍暂时被冻结无法提款,目前社群已开始重启相关代币池的治理提案,预计近日会恢复提款功能。
Aave 爆安全漏洞
以太坊最大的借贷协议 Aave,其团队表示于 11 月 4 号收到来自社群的协议漏洞报告,目前已经确认其为严重的安全漏洞,经由创始团队 BGD Labs 与几位 Aave Guardian 的协调之下,已经关闭了多个资金池,包含以下市场的部分资产:
- Aave V2 Ethereum
- Aave V3 Polygon
- Aave V3 Avalanche
- Aave V3 Optimism
- Aave V3 Arbitrum
考量到目前有许多协议分岔自 Aave 协议,因此目前团队并没有分享过多漏洞的细节。不过表示将会在在解冻资金池提案时,同时停止稳定利率模组 (Stable Interest Rate Model),以确保该漏洞无法使用。
目前资金并没有面临任何风险,也没有发生任何攻击事件,不过上述资金池部分资产仍在冻结状态,需要经过社群治理结束后才可解冻。目前已进行到投票阶段,于 11 月 8 号晚上结束,若通过预计最快可于 11 月 10 晚上解冻资产。
另外,团队表示有在规划,针对未来吸引用户来恢复市场的计划。
代币价格并没有受到影响。
补充资讯
公告下方有部分社群成员表示,为什么去中心化的借贷协议可以随意停止?为什么重新开启却需要等待社群治理结果?其实 Aave 的治理机制设计非常有趣。
Aave Guardian 是什么
大多数协议都有后门,Aave 也有,不过其机制相对公正。
上述由提到 Aave 创始团队与多位 Aave Guardian 讨论后,才关闭链上协议部分的资金池,Aave Guardian 是指拥有协议修改权限的多签合约,由 10 位个人或实体共同决定政策是否执行,需要有 6/10 的地址同意才可执行,创始团队 BGD Labs 也只是其中一个管理者。
Aave Guardian 的职责主要有三个:
- 防止恶意 AIP 损害协议
- 不须经链上治理修改与维护跨链市场
- 暂停市场以保护协议(本次事件)
Aave Guardian 大多是负责应对紧急情况,若没有急迫性,则通常会走社群治理机制来修改协议状态。
也因此关闭有漏洞风险的资金池运作属于紧急事项,Aave Guardian 有适当性可以直接修改协议以维护安全;而重新开启则是非紧急事项,应该交由社群治理机制开启。
Aave 治理流程
Aave 的治理流程在 2020 年底的治理提案 AIP-4 之后有了全面的更新,只有经链上投票的治理机制,才可以修改协议内容。链上治理的提案通过后,都将经由 Aave 治理模组自动执行。
而 Aave Guardian 除了可以暂停部分市场,也可以在 AIP 投票阶段时取消该议题,防止恶意提案损害协议价值。
