Les équipes d'Aave et de CoW Swap ont présenté des versions différentes de l'incident, qui a entraîné la perte de plus de 50 millions de dollars pour un utilisateur lors d'un échange de jetons.
Version CoW
L'équipe de l'agrégateur estime que l'échec de l'accord avec AAVE est dû à une combinaison de plusieurs facteurs :
- un ordre « exécuter ou annuler » sur une paire illiquide avec un volume énorme ;
- limite de gaz obsolète dans le système de vérification ;
- un solveur qui n'a pas pu s'exécuter ;
- Fuite probable de données de transaction provenant d'un mempool privé.
https://t.co/1JJhoyi3Pd
— CoW DAO (@CoWSwap) 14 mars 2026
Lors de la demande de devis, trois fournisseurs ont proposé des prix. Le plus avantageux d'entre eux offrait environ 5 millions de dollars de valeur moyenne actualisée (AAVE) pour 50 millions de dollars, soit une perte d'environ 90 %. Le système de vérification, avec sa limite stricte de 12 millions de dollars de gaz (code obsolète, comme expliqué dans le document de travail), a éliminé ces options.
Le seul devis vérifié du Solver A proposait un AAVE d'environ 329, soit 150 à 200 fois moins bon que les alternatives non vérifiées. C'est ce chiffre qui a servi de base au prix de l'ordre à cours limité.
Au cours de l'exécution, la situation s'est aggravée. Le solveur E a trouvé un itinéraire plus rentable et a remporté deux enchères, mais aucune transaction n'a abouti. Après deux échecs, il a cessé de participer, ne laissant en lice que le solveur le plus faible, avec le prix le plus désavantageux.
« Aucun mécanisme prévu dans la vente aux enchères ne permettrait de suivre un tel scénario », a fait remarquer CoW.
Les développeurs ont également détecté une possible fuite de données dans la mempool. La transaction a été envoyée via un RPC privé, mais marquée comme « confirmée dans 30 secondes ». Cela se produit lorsqu'une transaction est repérée dans la file d'attente publique avant d'être incluse dans un bloc. L'enquête est en cours.
Version Aave
Aave estime que l'incident est principalement dû à un manque de liquidités sur le marché et à un choix de l'utilisateur. Le rapport retrace le déroulement de la transaction : le solveur a converti des aEthUSDT en USDT via Aave V3, puis les a échangés contre du WETH sur la plateforme Uniswap V3, et a finalisé la transaction via le pool SushiSwap, dont la liquidité s'élevait à seulement 73 000 $.
https://t.co/UmXulxU7NS
– Aave (@aave) 14 mars 2026
L'équipe a constaté que le widget affichait un avertissement « Impact important sur le prix (99,9 %) » et nécessitait une vérification de consentement. L'utilisateur a confirmé la transaction depuis son appareil mobile. Les fonds sont toujours disponibles, mais il n'a pas pu se connecter.
En réponse, Aave a lancé Aave Shield. Cette nouvelle fonctionnalité bloque par défaut toute transaction d'échange ayant un impact sur le prix supérieur à 25 %. La protection peut être désactivée manuellement dans les paramètres.
Auparavant, Stani Kulechov, fondateur du projet, avait évoqué un retour sur investissement d'environ 600 000 $ en frais. Dans la dernière publication, ce montant a été ajusté à 110 368 $ (soit une réduction de 25 points de base). L'exactitude de ce montant est confirmée par les métadonnées de l'agrégateur CoW Swap.
Ce montant fait l'objet d'une controverse au sein de la communauté Aave. Depuis décembre 2025, l'instance dirigeante n'a pas réussi à se décider : faut-il verser les fonds à la trésorerie générale de la DAO ou aux développeurs d'Aave Labs ?
Facteur MEV
Il est significatif que les publications officielles ne mentionnent en aucun cas les bots MEV qui ont le plus profité de l'erreur du trader. Selon Arkham, l'algorithme Titan Builder a engrangé environ 34 millions de dollars en ETH. Un autre bot a reçu 9,9 millions de dollars à la suite d'une attaque par sandwich réussie.
Titan Builder a tiré profit de ce fiasco en récupérant l'équivalent de 34 millions de dollars en ETH.
Ils ont immédiatement transféré l'intégralité des recettes à Coinbase https://t.co/B9j8p2czTD pic.twitter.com/5Ll8mZxiEB
— Emmett Gallic (@emmettgallic) 12 mars 2026
CoW s'est contenté de mentionner une « infrastructure back-end importante » et de lister des adresses, sans employer le terme « sandwich » ni en dévoiler les mécanismes. Parallèlement, l'intégration de CoW Swap était présentée comme une protection contre MEV.
Pour rappel, le 10 mars, une défaillance de l'oracle s'est produite chez Aave. Elle a entraîné la liquidation erronée de positions en jetons wstETH d'une valeur d'environ 26 millions de dollars.