Aave未披露的漏洞，可能在这30+个项目身上复现

11 月 4 日，龙头借贷项目 Aave 于 X 上官方宣布，已收到了关于协议部分功能存在漏洞的报告，社区开发者在验证后决定启动临时防范措施。

根据后续 Aave 于治理论坛内所公开的报告，本次漏洞并未造成任何资金层面的损失，所有市场上的流动性池也均被妥善保护。

关于漏洞细节，Aave 当前只透露了该漏洞与稳定利率借贷模式有关，潜在的可被攻击目标包括以太坊主网上的 V2 市场，以及  Optimism 、 Arbitrum 、 Avalanche 、 Polygon 上的 V3 市场内的某些资产。

值得一提的是，在解释为何不公开更多详情时，Aave 表示：“鉴于市面上仍有相当多的项目系分叉自 Aave，因此 Aave 决定暂不公布关于漏洞的完整详情。一旦团队认为有责任公开，Aave 将发布关于漏洞的详细解释以及从披露到修复的行动过程。”

Aave 的这一操作可以说是相当微妙。当然了，出于防止黑客抢先利用的考量，不公开漏洞详情的做法也可以理解，但这么做也意味大量分叉自 Aave 的项目暂时仍无法获悉漏洞细节，甚至可能自己仍在带着漏洞“裸奔”。

至于分叉项目能否私下里从 Aave 团队处单独得到更多情报，也完全取决于 Aave 是否愿意共享信息，毕竟本质上 Aave 和分叉项目还是存在着竞争关系的。

就此，以太坊生态知名开发者 banteg 评论表示：“当你分叉某个项目时，记得给原项目分享一些代币。这么做他们或许会记得你，甚至愿意与你建立双边的信息披露协议。”

然而现状却是，经历了当年 DeFi 野蛮生长的时代，除了诸如 Spark Protocol 等少部分项目能“饮水思源”之外，大多数分叉项目在“复刻”原项目之时往往会忽视原项目所作出的贡献，根本不会与原项目分享任何代币。

这也使得许多分叉项目在本次 Aave 事件中陷入了一个较为尴尬的境地 —— 当年曾“白嫖” Aave 获利，现在又该如何开口求 Aave 分享情报。

事后不久，Aave 战略负责人  Marc Zeller 曾于 X 发文笑称“今天意识到了许多人的存在”，或是在暗指已有许多分叉项目在主动联系 Aave，希望确认自身项目是否会遭受影响。

结合 Aave 的披露，本次漏洞对 V2、V3 版本市场均会造成一定影响，而根据 Defi Llama 的统计，当前分叉自 Aave V3 的共有 5 家项目，分叉自 Aave V2 的则有 31 家项目，具体名单如下。

关于【Aave未披露的漏洞，可能在这30+个项目身上复现】的延伸阅读

• 浅析Aave V4的核心要点——“统一流动性层”

  Aave V4将推出" 统一流动性层"，整合多个网络的流动性。类似于V3的Portal，但更高效灵活。通过模块化设计，Aave可更有效管理流动性，提高资金效率。升级还将允许添加新模块，如隔离池和RWA模块。Aave将成为无视链间流动性隔阂的DeFi协议，但需要信任假设。V4引入改进，如动态利率、流动性溢价、智能账户，构建Aave Network。旨在推动生态系统进一步采用，服务于10亿潜在用户。

• Aave v4 的一些思考：每个大协议都应该发链？

  Aave v4的改进旨在提高用户体验、降低治理成本、防止不良债务扩散，并为长期发展提供便利。其中包括统一流动性层、模糊控制利率、流动性溢价机制、智能账户和金库、动态风险参数配置、超额债务保护机制、与GHO稳定币的原生集成和计划推出的Aave Network。Aave计划推出的新网络层将作为GHO稳定币和借贷协议的核心枢纽，使用GHO支付费用，以Aave V4为枢纽，$AAVE作为主要质押资产。Aave未来将专注于稳定币市场，为GHO创造场景。Aave Labs将持续关注网络发展，选择最合适的技术方案。

分叉自 Aave V3 的 5 家项目为：

1. Spark Protocol
2. Kinza Finance
3. Seamless Protocol 
4. ZeroLend 
5. Mooncake Finance

分叉自 Aave V2 的 31 家项目为：

1. Radiant V2 
2. UwU Lend
3. RealT RMM Marketplace
4. Agave
5. Granary Finance
6. Phiat Protocol
7. SiO 2 Finance
8. Goledo
9. Moola Market
10. KlayBank
11. Lendle
12. Valas Finance
13. Starlay Finance
14. Radiant V1
15. Pinjam Labs
16. Reax Lending
17. Klap
18. Roe Finance
19. MonoLend
20. Geist Finance
21. Omnidex Lend
22. PolyLend
23. MahaLend
24. Sculptor Finance
25. Tropykus zkEVM
26. WaterLoan
27. SSAP
28. Omni Protocol
29. Toreus
30. Blizz Finance
31. Xensa

需要说明的是，以上仅是对所有分叉自 Aave 的项目的一个整体统计，由于本次漏洞也仅仅涉及了 Aave 的部分合约，所以上述项目并不一定会受到该漏洞影响。

当前可以确定的是，少数规模较大、运营实力较强的项目已与 Aave 或白帽黑客们接洽，排除了受影响的可能性。

比如启动前就已表态会同 Aave 分享部分协议收入的 Spark Protocol（分叉项目中 TVL 排名第一，约 8.5 亿美元）就已在 X 宣布所有合约不受影响，用户无需担忧。

此外，主打跨链概念的借贷协议  Radiant Capital （分叉项目中 TVL 排名第二，约 3.41 亿美元）也已宣布：“已与多位白帽黑客共同确认，Radiant 的借贷池不受影响。”

此外，UwU Lend（分叉项目中 TVL 排名第三，约 2600 万美元）也已宣布本次漏洞仅涉及该项目未启用的部分功能，因此也不会遭受任何影响。

然而，抛开上述几家 TVL 占分叉项目比重远超九成的大规模项目不提，对于其他较小规模的项目而言，想要确认协议的安全状况就没那么容易了。

出于安全考虑，Odaily 星球日报建议正在使用前文所提到的三十余个分叉项目的用户们，认真检查项目是否已披露安全状况，若暂时仍无任何披露，强烈建议撤出资金，保证安全。

免责声明：本文仅代表作者个人观点，不代表链观CHAINLOOK立场，不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险，以及遵守所在国家和地区的相关法律法规。
图文来源：Azuma，如有侵权请联系删除。转载或引用请注明文章出处！

标签：AAVE漏洞