Aave 未披露的漏洞，可能在这 30+ 个项目身上复现

币界网报道：

建议立即确认项目是否已披露安全状况。

撰文：Azuma，Odaily 星球日报

11 月 4 日，龙头借贷项目 Aave 于 X 上官方宣布，已收到了关于协议部分功能存在漏洞的报告，社区开发者在验证后决定启动临时防范措施。

根据后续 Aave 于治理论坛内所公开的报告，本次漏洞并未造成任何资金层面的损失，所有市场上的流动性池也均被妥善保护。

关于漏洞细节，Aave 当前只透露了该漏洞与稳定利率借贷模式有关，潜在的可被攻击目标包括以太坊主网上的 V2 市场，以及 Optimism 、 Arbitrum 、 Avalanche 、 Polygon 上的 V3 市场内的某些资产。

值得一提的是，在解释为何不公开更多详情时，Aave 表示：「鉴于市面上仍有相当多的项目系分叉自 Aave，因此 Aave 决定暂不公布关于漏洞的完整详情。一旦团队认为有责任公开，Aave 将发布关于漏洞的详细解释以及从披露到修复的行动过程。」

Aave 的这一操作可以说是相当微妙。当然了，出于防止黑客抢先利用的考量，不公开漏洞详情的做法也可以理解，但这么做也意味大量分叉自 Aave 的项目暂时仍无法获悉漏洞细节，甚至可能自己仍在带着漏洞「裸奔」。

至于分叉项目能否私下里从 Aave 团队处单独得到更多情报，也完全取决于 Aave 是否愿意共享信息，毕竟本质上 Aave 和分叉项目还是存在着竞争关系的。

就此，以太坊生态知名开发者 banteg 评论表示：「当你分叉某个项目时，记得给原项目分享一些代币。这么做他们或许会记得你，甚至愿意与你建立双边的信息披露协议。」

然而现状却是，经历了当年 DeFi 野蛮生长的时代，除了诸如 Spark Protocol 等少部分项目能「饮水思源」之外，大多数分叉项目在「复刻」原项目之时往往会忽视原项目所作出的贡献，根本不会与原项目分享任何代币。

这也使得许多分叉项目在本次 Aave 事件中陷入了一个较为尴尬的境地 —— 当年曾「白嫖」Aave 获利，现在又该如何开口求 Aave 分享情报。

事后不久，Aave 战略负责人 Marc Zeller 曾于 X 发文笑称「今天意识到了许多人的存在」，或是在暗指已有许多分叉项目在主动联系 Aave，希望确认自身项目是否会遭受影响。

结合 Aave 的披露，本次漏洞对 V2、V3 版本市场均会造成一定影响，而根据 Defi Llama 的统计，当前分叉自 Aave V3 的共有 5 家项目，分叉自 Aave V2 的则有 31 家项目，具体名单如下。

分叉自 Aave V3 的 5 家项目为：

分叉自 Aave V2 的 31 家项目为：

需要说明的是，以上仅是对所有分叉自 Aave 的项目的一个整体统计，由于本次漏洞也仅仅涉及了 Aave 的部分合约，所以上述项目并不一定会受到该漏洞影响。

当前可以确定的是，少数规模较大、运营实力较强的项目已与 Aave 或白帽黑客们接洽，排除了受影响的可能性。

比如启动前就已表态会同 Aave 分享部分协议收入的 Spark Protocol（分叉项目中 TVL 排名第一，约 8.5 亿美元）就已在 X 宣布所有合约不受影响，用户无需担忧。

此外，主打跨链概念的借贷协议 Radiant Capital （分叉项目中 TVL 排名第二，约 3.41 亿美元）也已宣布：「已与多位白帽黑客共同确认，Radiant 的借贷池不受影响。」

此外，UwU Lend（分叉项目中 TVL 排名第三，约 2600 万美元）也已宣布本次漏洞仅涉及该项目未启用的部分功能，因此也不会遭受任何影响。

然而，抛开上述几家 TVL 占分叉项目比重远超九成的大规模项目不提，对于其他较小规模的项目而言，想要确认协议的安全状况就没那么容易了。

出于安全考虑，Odaily 星球日报建议正在使用前文所提到的三十余个分叉项目的用户们，认真检查项目是否已披露安全状况，若暂时仍无任何披露，强烈建议撤出资金，保证安全。