资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
借贷协议HypurrFi发现Aave V3舍入漏洞
基于Hyperliquid的HyperEVM、同时支持集合与隔离市场的借贷协议HypurrFi,在Aave V3核心代码(3.5版本前)中发现了一个舍入漏洞。为确保用户资金安全,HypurrFi已暂停其XAUTO和UBTC市场业务。这一消息发布之际,Aave Labs刚刚公布了V4升级的详细成功报告,称经过一年测试未发现关键漏洞。尽管V4升级进展值得关注,但当前协议中仍存在明显缺陷——管理着265亿美元用户存款——这引发了持续的疑虑。
漏洞发现与应对措施
HypurrFi通过内部监控系统发现Aave V3计算逻辑存在错误后,立即暂停受影响市场的新存款和借款业务,以确保用户资金安全,同时允许用户无风险提款和还款。为彻底解决问题,HypurrFi已联合Aave部署方及安全研究人员展开合作,并呼吁其他Aave分叉项目主动联系获取安全洞见,暗示该漏洞可能影响其自身市场之外的其他平台。这一进展使市场对Aave V3的安全性产生质疑,也可能为Aave Labs推动争议不断的V4升级提供更多依据。根据Defillama数据,Aave去年收入超过1.2亿美元。
V4升级的安全性质疑
就在舍入漏洞被披露前几天,Aave Labs发布了V4全面安全报告。该文件详述了从2025年3月至2026年2月长达一年的审查流程,累计投入345个审查日,涉及Certora、ChainSecurity、Trail of Bits及Blackthorn等多家审计公司,并在为期六周的Sherlock安全竞赛中收集了超过900名独立研究员提交的发现。报告中声称“未发现关键或高危漏洞”,强调V4采用的安全框架包含形式化验证、人工审计、不变性测试、模糊测试及AI辅助扫描,体现了“安全优先”的设计理念。尽管报告内容令人宽慰,但用户仍持谨慎态度——因为V3上线前同样经过顶尖公司的类似审计,却在运行数年后被HypurrFi发现了漏洞。
生态系统的深层动荡
这份报告的发布正值Aave生态系统多事之秋。BDG Labs于2月20日宣布将于4月1日退出生态,指出Labs对治理的控制权及对V3发展的人为限制是其退出的主因。数周后,ACI也宣布不再续约,将在剩余四个月协议期内逐步退出。ACI创始人Marc Zeller特别提及“Aave必胜”提案——该提案计划为Labs提供约5100万美元资金,他将其视为“单一实体掌握足够投票权以压倒社区反对通过自身预算提案”的证明。虽然该提案通过了所有必要检查并获得社区52.8%的支持,但Zeller指出若剔除与Labs关联地址提供的约23.3万枚AAVE(其中11.1万枚据称由创始人Stani Kulechov委托),该提案本将无法通过。BDG与ACI的退出共同指向一个核心矛盾:社区对Labs强行推动从V3向V4迁移的不满。早期提案曾建议逐步更改V3设置,迫使用户在V4上线后迁移。BDG强烈反对此举,并批评Aave Labs通过刻意暂停V3开发、在推广V4时贬低V3的对比方式操纵生态发展。
