HypurrFi, un marché de prêt sur HyperEVM d’Hyperliquide supportant à la fois les marchés mutualisés et isolésa exposé une vulnérabilité d’arrondi dans le code principal d’Aave V3 avant la version 3.5, mettant ainsi un frein aux marchés XAUTO et UBTC pour garantir la sécurité des fonds des utilisateurs.
La nouvelle arrive alors qu’Aave Labs a publié un rapport détaillé sur le succès de la mise à niveau V4, indiquant qu’après un an de tests, aucune vulnérabilité critique n’a été trouvée.
Ainsi, même si les progrès de la mise à jour V4 sont intéressants, un doute persiste en raison d’un bug apparent actuellement dans le protocole, abritant 26,5 milliards de dollars de dépôts d’utilisateurs.
Qu’a trouvé HypurrFi ?
HypurrFi, grâce à son système de surveillance interne, découvert des erreurs dans la logique de calcul V3 d’Aave, suspendant immédiatement les nouveaux dépôts et emprunts sur les marchés concernés. Cette décision a été prise afin de garantir la sécurité des fonds des utilisateurs et de permettre des retraits et des remboursements sans aucun risque.
Afin de résoudre ces problèmes, HypurrFi s’est désormais associé à des déployeurs Aave et à des chercheurs en sécurité. Ils ont également exhorté d’autres projets Aave Fork à les contacter pour obtenir des informations sur la sécurité, laissant entendre que la vulnérabilité pourrait affecter d’autres plates-formes en dehors de leurs propres marchés.
Les développements récents soulèvent des questions sur l’Aave V3, donnant potentiellement plus de points à Aave Labs en faisant valoir l’urgence de sa mise à niveau très contestée V4. Aave refait à neuf 120 millions de dollars de revenus l’année dernière, selon les données Defillama.
Voir aussi Prédiction du prix d’ondulation : XRP à 0,23 $, analyste
Dans quelle mesure la mise à niveau V4 d’Aave Labs est-elle sécurisée ?
Quelques jours seulement avant que la vulnérabilité d’arrondi ne soit exposée, Aave Labs a publié un rapport de sécurité complet pour la V4. Le document comprenait des détails sur le processus d’examen d’un an mené de mars 2025 à février 2026. Le processus a duré un total de 345 jours d’examen, impliquant plusieurs cabinets d’audit, dont Certora, ChainSecurity, Trail of Bits et Blackthorn. Il comprenait également plus de 900 chercheurs indépendants qui ont soumis leurs conclusions lors d’un concours de sécurité Sherlock de six semaines.
Dans le rapport, Aave Labs affirme qu’« aucune vulnérabilité critique ou de haute gravité n’a été trouvée », précisant que le cadre de sécurité de la mise à niveau V4 comprend une vérification formelle, des audits manuels, des tests invariants, un fuzzing et une analyse assistée par l’IA, qui représentent tous une approche « la sécurité d’abord » qui applique des protections au début des étapes de conception plutôt qu’à la fin.
Même si cela semble rassurant, les utilisateurs se méfient car la V3 est passée par audits similaires provenant de grandes entreprises avant son déploiement et après des années de fonctionnement, HypurrFi a trouvé un bug.
Qu’est-ce que cela signifie pour Aave ?
Ce rapport arrive au milieu d’une période difficile pour l’écosystème Aave, puisque BDG Labs a annoncé le 20 février qu’il partirait le 1er avril, citant le contrôle des laboratoires sur la gouvernance et les contraintes artificielles sur les développements V3 comme raisons derrière sa décision.
Voir aussi Le fournisseur de paiement singapourien Alchemy Pay obtient un financement de 10 millions de dollars pour se développer en Corée du Sud
Quelques semaines plus tard, ACI a également annoncé qu’elle ne renouvellerait pas son contrat avec Aave, et verrait son accord s’étaler sur les quatre mois de validité restants. Le fondateur de l’ACI, Marc Zeller, continue en mentionnant la proposition « Aave Will Win », qui accorderait aux laboratoires environ 51 millions de dollars de financement, la citant comme preuve qu’« une seule entité détient suffisamment de pouvoir de vote pour adopter ses propres propositions budgétaires malgré l’opposition de la communauté ».
La proposition a passé tous les contrôles nécessaires et a reçu un soutien de 52,8 % de la communauté, mais Zeller protesté que les votes auraient échoué s’ils ne dépendaient pas d’environ 233 000 AAVE provenant d’adresses liées aux Labs, dont 111 000 prétendument délégués par le fondateur Stani Kulechov.
Les départs de BDG et d’ACI pointent vers un problème commun : la frustration face aux efforts du Lab pour migrer de la V3 à la V4. Les propositions initiales suggéraient de modifier lentement les paramètres de la V3, obligeant les utilisateurs à migrer une fois la V4 lancée. BDG s’y oppose avec audace cette décision, critiquant en outre Aave Labs pour avoir délibérément arrêté le développement de la V3 tout en promouvant la V4 en la comparant négativement à la V3.
