Le 10 mars, le protocole DeFi Aave a subi une défaillance de son oracle. Celle-ci a entraîné des liquidations erronées de positions en token wstETH d'une valeur d'environ 26 millions de dollars.
Le problème est survenu suite à une configuration incorrecte de l'oracle de prix des actifs corrélés (CAPO), un mécanisme de protection du protocole contre les fluctuations brutales des prix. Selon les gestionnaires de risques de Chaos Labs, une désynchronisation des données a conduit l'outil à fixer le taux de l'actif à 1,1939 au lieu de sa valeur réelle de 1,228.
L'incident a été provoqué par une erreur lors de la mise à jour : l'algorithme hors chaîne a tenté d'ajuster simultanément les cours. Or, il n'a pas tenu compte de la limitation du contrat intelligent : le paramètre ne peut être augmenté que de 3 % maximum tous les trois jours. De ce fait, le taux de change effectif du protocole a diminué de 2,85 %, ce qui a déclenché une cascade de liquidations.
La panne a affecté 34 comptes. Le système a forcé la vente de 10 938 wstETH. Des liquidateurs tiers ont tiré profit de cette erreur en réalisant un profit d'environ 499 ETH. Chaos Labs a souligné que cet incident n'a pas entraîné l'insolvabilité d'Aave.
L'équipe a rapidement résolu le problème. Les développeurs ont temporairement abaissé les limites d'emprunt de wstETH et ajusté manuellement les paramètres de l'oracle.
Le projet prépare actuellement un plan d'indemnisation. Les victimes seront indemnisées à hauteur de 141,5 ETH récupérés après l'incident, ainsi que de 345 ETH provenant de la trésorerie de la DAO. L'équipe a précisé que l'architecture de base des oracles est sécurisée et que la panne est uniquement due à un conflit de configuration.
Pour rappel, en février, le volume total des prêts sur Aave a dépassé 1 000 milliards de dollars, ce qui en fait le premier projet du secteur de la finance décentralisée à atteindre ce seuil.