A HypurrFi identifica uma vulnerabilidade de erro de arredondamento no Aave V3

A HypurrFi, um mercado de empréstimos na HyperEVM da Hyperliquid que suporta mercados agrupados e isolados , expôs uma vulnerabilidade de arredondamento no Aave V3 anterior à versão 3.5, bloqueando os mercados XAUTO e UBTC para garantir a segurança dos fundos dos usuários.

A notícia surge no momento em que Aave Labs publicou um relatório detalhado sobre o sucesso da atualização para a versão 4, afirmando que, após um ano de testes, nenhuma vulnerabilidade crítica foi encontrada.

Embora o progresso da atualização para a versão 4 seja interessante, ainda persiste uma dúvida devido a um aparente bug no protocolo, que abriga US$ 26,5 bilhões em depósitos de usuários.

O que a HypurrFi descobriu?

A HypurrFi, por meio de seu sistema interno de monitoramento, detectou erros na Aave , suspendendo imediatamente novos depósitos e empréstimos nos mercados afetados. A medida foi tomada para garantir a segurança dos fundos dos usuários e permitir saques e reembolsos sem riscos.

Para solucionar os problemas, a HypurrFi agora se uniu a desenvolvedores e pesquisadores de segurança Aave . Eles também incentivaram outros projetos derivados do Aave a contatá-los para obter informações sobre segurança, sugerindo que a vulnerabilidade pode afetar outras plataformas fora de seus respectivos mercados.

Os recentes acontecimentos levantam questões sobre o Aave V3 , potencialmente dando Aave Labs mais argumentos para defender a urgência da sua controversa atualização para a versão V4. Aave faturou mais de 120 milhões de dólares no ano passado, segundo dados Defi

Quão segura é a atualização V4 da Aave Labs?

Apenas alguns dias antes da vulnerabilidade de arredondamento ser exposta, Aave Labs publicou um relatório de segurança abrangente para a versão 4. O documento incluía detalhes do processo de revisão que durou um ano, de março de 2025 a fevereiro de 2026. O processo levou um total de 345 dias de revisão e envolveu diversas empresas de auditoria, incluindo Certora, ChainSecurity, Trail of Bits e Blackthorn. Também contou com a participação de mais de 900 pesquisadores independentes dent submeteram suas descobertas durante uma competição de segurança Sherlock de seis semanas.

No relatório, Aave Labs afirmou que "nenhuma vulnerabilidade crítica ou de alta gravidade foi encontrada", declarando que a estrutura de segurança na atualização V4 inclui verificação formal, auditorias manuais, testes invariantes, fuzzing e varredura assistida por IA, o que representa uma abordagem de "segurança em primeiro lugar" que aplica salvaguardas no início das etapas de projeto, em vez de no final. 

Embora isso pareça tranquilizador, os usuários estão receosos porque a versão 3 passou por auditorias semelhantes de empresas renomadas antes de ser implementada e, após anos de operação, a HypurrFi encontrou um bug.

O que isso significa para Aave?

Este relatório surge em meio a tempos difíceis para o ecossistema Aave , após o anúncio da BDG Labs, em 20 de fevereiro, de que deixaria o projeto em 1º de abril, citando o controle da Labs sobre a governança e as restrições artificiais ao desenvolvimento da versão 3 como razões para sua decisão. 

Algumas semanas depois, a ACI também anunciou que não renovaria seutraccom Aavee que cumpriria o acordo pelos quatro meses restantes de validade. O fundador da ACI, Marc Zeller, menciona a proposta "Aave Will Win", que concederia à Labs cerca de US$ 51 milhões em financiamento, citando-a como prova de que "uma única entidade detém poder de voto suficiente para aprovar suas próprias propostas orçamentárias, mesmo com a oposição da comunidade"

A proposta passou por todas as verificações necessárias e recebeu 52,8% de apoio da comunidade, mas Zeller protestou que as votações teriam sido rejeitadas se não dependessem de aproximadamente 233.000 AAVE inglês vernáculo afro-americano) de endereços vinculados ao Labs, incluindo 111.000 supostamente delegados pelo fundador Stani Kulechov.

As saídas de BDG e ACI apontam para um problema comum: a frustração com a insistência da Labs em migrar da versão 3 para a 4. As propostas iniciais sugeriam a alteração gradual das configurações da versão 3, forçando os usuários a migrar assim que a versão 4 fosse lançada. BDG se opôs veementemente a essa medida, criticando ainda mais Aave Labs por interromper propositalmente o desenvolvimento da versão 3 enquanto promovia a versão 4 comparando-a negativamente à versão 3.

Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter .