Aave a rencontré une panne de l'oracle, 26 millions de wstETH liquidés de manière inappropriée

Le protocole DeFi de prêt Aave a rencontré une panne de son oracle le 10 mars sur ses instances Ethereum Core et Prime, entraînant la liquidation injuste d’environ 26 millions de dollars en wstETH, affectant environ 34 comptes. Selon le rapport de Chaos Labs, principal fournisseur de gestion des risques d’Aave, la cause du problème réside dans une erreur de configuration de l’oracle de prix des actifs concernés, et non dans un défaut de conception sous-jacent.

Origine technique de la panne de l’oracle : incohérence entre le taux de snapshot et le timestamp

(Source : Etherscan)

CAPO est un mécanisme de sécurité conçu par Aave pour empêcher une hausse soudaine du prix des actifs. La cause principale de la panne est une incohérence entre le taux de snapshot utilisé par CAPO et le timestamp du snapshot.

Chaos Labs explique en détail la chaîne technique : le processus hors chaîne a déterminé que le taux de snapshot de wstETH devait être mis à jour à environ 1,2282 (correspondant au taux du marché il y a 7 jours). Cependant, le paramètre du taux de snapshot est limité par la chaîne, ne pouvant augmenter que de 3 % tous les 3 jours, ce qui empêche une mise à jour immédiate vers la valeur cible. Cette contrainte a réduit le taux de change effectif utilisé par le protocole d’environ 2,85 %, portant le taux maximal rapporté à environ 1,1939, bien en dessous du taux du marché réel d’environ 1,228, ce qui a déclenché une liquidation erronée de positions en mode E.

Chaos Labs déclare : « Cet incident ne reflète pas un défaut de conception de l’oracle de risque hors chaîne ou de CAPO, mais résulte d’un décalage de configuration dû à des contraintes de mise à jour sur la chaîne. »

Impact de l’événement : données quantifiées en trois dimensions

La panne de l’oracle peut être quantifiée selon les dimensions suivantes :

Amplitude de la liquidation abusive : environ 10 938 wstETH liquidés, pour un total d’environ 26 millions de dollars

Comptes affectés : environ 34 comptes ont subi des pertes suite à la liquidation erronée de positions E-Mode

Profits de tiers : des liquidateurs externes ont réalisé un profit d’environ 499 ETH lors de cet incident

Situation des créances douteuses du protocole : aucune, le protocole Aave n’a subi aucune créance douteuse suite à cet incident

Plan de compensation : 141,5 ETH + fonds du DAO

Après la panne, Chaos Labs est rapidement intervenu pour réduire temporairement le plafond de prêt de wstETH et ajuster manuellement les paramètres du snapshot, ramenant la valeur de l’oracle à un niveau correct.

Concernant la compensation, deux sources de fonds seront utilisées : 141,5 ETH récupérés lors de l’incident, et jusqu’à 345 ETH provenant du fonds du DAO d’Aave. Chaos Labs indique que le processus de compensation est en cours, et que les paiements seront directement effectués aux environ 34 comptes affectés.

Questions fréquentes

Qu’est-ce que l’oracle CAPO d’Aave, et pourquoi cette panne est-elle survenue ?

CAPO (Correlated Asset Price Oracle) est un mécanisme de sécurité conçu par Aave pour prévenir les hausses soudaines du prix des actifs. La panne est due à une erreur dans le processus hors chaîne, qui n’a pas pris en compte la limite d’augmentation de 3 % tous les 3 jours sur la chaîne, entraînant une incohérence entre le taux de snapshot et le timestamp, et provoquant un rapport d’oracle inférieur au taux du marché, ce qui a déclenché une liquidation erronée.

Le protocole Aave a-t-il subi des créances douteuses à cause de cette panne ?

Selon l’analyse post-incident de Chaos Labs, le protocole Aave n’a pas subi de créances douteuses. Les pertes se concentrent sur 34 comptes utilisateurs liquidés de manière incorrecte, et sur un profit d’environ 499 ETH réalisé par des liquidateurs tiers. La santé financière globale du protocole n’a pas été affectée.

Comment les utilisateurs affectés par la panne de l’oracle d’Aave seront-ils indemnisés ?

Un plan de compensation a été lancé, utilisant 141,5 ETH récupérés lors de l’incident, ainsi qu’un maximum de 345 ETH provenant du fonds du DAO d’Aave, pour verser directement des indemnités aux 34 comptes affectés. Chaos Labs indique que le processus de paiement est en cours.