HypurrFi, un mercato di prestito su HyperEVM di Hyperliquid che supporta sia mercati aggregati che isolati , ha esposto una vulnerabilità di arrotondamento nel Aave V3 precedente alla versione 3.5, bloccando i mercati XAUTO e UBTC per garantire la sicurezza dei fondi degli utenti.
La notizia arriva mentre Aave Labs ha pubblicato un rapporto dettagliato sul successo dell'aggiornamento V4, affermando che dopo un anno di test non sono state rilevate vulnerabilità critiche.
Quindi, sebbene i progressi dell'aggiornamento V4 siano interessanti, permangono dubbi persistenti a causa di un apparente bug attualmente presente nel protocollo, che ospita 26,5 miliardi di dollari in depositi degli utenti.
Cosa ha scoperto HypurrFi?
HypurrFi, attraverso il suo sistema di monitoraggio interno, ha scoperto errori nella Aave , sospendendo immediatamente i nuovi depositi e i prestiti sui mercati interessati. Questa decisione è stata presa per garantire la sicurezza dei fondi degli utenti e consentire prelievi e rimborsi senza alcun rischio.
Per risolvere il problema, HypurrFi ha collaborato con gli sviluppatori Aave e i ricercatori di sicurezza. Ha inoltre invitato altri progetti fork Aave a contattarli per approfondimenti sulla sicurezza, suggerendo che la vulnerabilità potrebbe interessare altre piattaforme al di fuori dei propri mercati.
I recenti sviluppi sollevano interrogativi sull'Aave Aave , dando potenzialmente Aave Labs più punti nel sostenere l'urgenza del suo contestato aggiornamento V4. Defi llama, l'anno scorso Aave ha fatturato oltre 120 milioni di dollari
Quanto è sicuro l'aggiornamento V4 di Aave Labs?
Pochi giorni prima che la vulnerabilità di arrotondamento venisse scoperta, Aave Labs ha pubblicato un rapporto completo sulla sicurezza per V4 . Il documento includeva i dettagli del processo di revisione durato un anno, condotto da marzo 2025 a febbraio 2026. Il processo ha richiesto un totale di 345 giorni di revisione, coinvolgendo diverse società di revisione, tra cui Certora, ChainSecurity, Trail of Bits e Blackthorn. Ha inoltre coinvolto oltre 900 ricercatori indipendenti dent hanno presentato i loro risultati durante un concorso di sicurezza Sherlock durato sei settimane.
Nel rapporto, Aave Labs ha affermato che "non sono state rilevate vulnerabilità critiche o di elevata gravità", affermando che il framework di sicurezza nell'aggiornamento V4 include verifica formale, audit manuali, test invarianti, fuzzing e scansione assistita dall'intelligenza artificiale, tutti elementi che rappresentano un approccio "security first" che applica misure di sicurezza all'inizio delle fasi di progettazione anziché alla fine.
Sebbene ciò possa sembrare rassicurante, gli utenti sono diffidenti perché la V3 è stata sottoposta a verifiche simili da parte di aziende leader prima di essere distribuita e, dopo anni di funzionamento, HypurrFi ha riscontrato un bug.
Cosa significa questo per Aave?
Questo rapporto giunge in un momento difficile per l'ecosistema Aave poiché il 20 febbraio BDG Labs ha annunciato che avrebbe lasciato l'azienda il 1° aprile, citando come ragioni alla base della sua decisione il controllo di Labs sulla governance e i vincoli artificiali sugli sviluppi V3.
Poche settimane dopo, l'ACI ha annunciato che non rinnoverà iltraccon Aavee che l'accordo scadrà nei restanti quattro mesi di validità. Il fondatore dell'ACI, Marc Zeller, continua a menzionare la proposta "Aave Will Win", che garantirebbe ai Labs circa 51 milioni di dollari di finanziamenti, citandola come prova del fatto che "una singola entità detiene sufficiente potere di voto per approvare le proprie proposte di bilancio nonostante l'opposizione della comunità"
La proposta ha superato tutti i controlli necessari e ha ricevuto il 52,8% di sostegno dalla comunità, ma Zeller ha protestato affermando che le votazioni sarebbero fallite se non si fosse basata su circa 233.000 AAVE provenienti da indirizzi collegati a Labs, tra cui 111.000 presumibilmente delegati dal fondatore Stani Kulechov.
Sia BDG che ACI hanno abbandonato il progetto per un problema comune: la frustrazione per la spinta di Lab a migrare da V3 a V4. Le proposte iniziali suggerivano di modificare gradualmente le impostazioni di V3, costringendo gli utenti a migrare dopo il lancio di V4. BDG si è opposta con fermezza a questa mossa, criticando ulteriormente Aave Labs per aver deliberatamente bloccato lo sviluppo di V3, promuovendo V4 confrontandolo negativamente con V3.
