Vandaag onthult HypurrFi een afrondingskwetsbaarheid in Aave V3-versies vóór 3.5, die het mogelijk maakt om onderliggende tokens te extraheren via herhaalde aanvoer/opname en lenen/terugbetalen cycli onder bepaalde voorwaarden.

Aangetaste markten zijn XAUT0 en UBTC in HypurrFi Pooled. Er is geen risico voor klantfondsen. Nieuwe leveringen en leningen in die markten zijn gepauzeerd, in afwachting van een patch. Opnames en terugbetalingen zijn beschikbaar. Verder functioneren alle markten normaal.

We hebben dit snel in het wild gedetecteerd dankzij onze interne monitoringsystemen die ons in staat stelden om het probleem snel te beheersen, te onderzoeken en de getroffen markten te bevriezen.

We zijn in coördinatie met andere Aave-implementaties en beveiligingsonderzoekers, en alle andere Aave-forks zijn uitgenodigd om contact op te nemen om verbonden te worden. Zie de bovenstaande advies voor meer details. We blijven beschikbaar via onze sociale kanalen voor eventuele vragen.