Aave 爆安全漏洞｜資金已無風險待社群投票重啟市場

2023/11/6

根據 Aave 團隊於社群的公告，Aave 近日收到漏洞報告，已確認漏洞問題並關閉部分協議功能，資金目前已脫離風險。但現階段部分 Aave 協議的質押池中的資產仍暫時被凍結無法提款，目前社群已開始重啟相關代幣池的治理提案，預計近日會恢復提款功能。

內容目錄

Aave 爆安全漏洞

以太坊最大的借貸協議 Aave，其團隊表示於 11 月 4 號收到來自社群的協議漏洞報告，目前已經確認其為嚴重的安全漏洞，經由創始團隊 BGD Labs 與幾位 Aave Guardian 的協調之下，已經關閉了多個資金池，包含以下市場的部分資產：

考量到目前有許多協議分岔自 Aave 協議，因此目前團隊並沒有分享過多漏洞的細節。不過表示將會在在解凍資金池提案時，同時停止穩定利率模組 (Stable Interest Rate Model)，以確保該漏洞無法使用。

目前資金並沒有面臨任何風險，也沒有發生任何攻擊事件，不過上述資金池部分資產仍在凍結狀態，需要經過社群治理結束後才可解凍。目前已進行到投票階段，於 11 月 8 號晚上結束，若通過預計最快可於 11 月 10 晚上解凍資產。

另外，團隊表示有在規劃，針對未來吸引用戶來恢復市場的計劃。

代幣價格並沒有受到影響。

公告下方有部分社群成員表示，為什麼去中心化的借貸協議可以隨意停止？為什麼重新開啟卻需要等待社群治理結果？其實 Aave 的治理機制設計非常有趣。

大多數協議都有後門，Aave 也有，不過其機制相對公正。

上述由提到 Aave 創始團隊與多位 Aave Guardian 討論後，才關閉鏈上協議部分的資金池，Aave Guardian 是指擁有協議修改權限的多簽合約，由 10 位個人或實體共同決定政策是否執行，需要有 6/10 的地址同意才可執行，創始團隊 BGD Labs 也只是其中一個管理者。

Aave Guardian 的職責主要有三個：

Aave Guardian 大多是負責應對緊急情況，若沒有急迫性，則通常會走社群治理機制來修改協議狀態。

也因此關閉有漏洞風險的資金池運作屬於緊急事項，Aave Guardian 有適當性可以直接修改協議以維護安全；而重新開啟則是非緊急事項，應該交由社群治理機制開啟。

Aave 的治理流程在 2020 年底的治理提案 AIP-4 之後有了全面的更新，只有經鏈上投票的治理機制，才可以修改協議內容。鏈上治理的提案通過後，都將經由 Aave 治理模組自動執行。

而 Aave Guardian 除了可以暫停部分市場，也可以在 AIP 投票階段時取消該議題，防止惡意提案損害協議價值。