CEVIU Logo
Voltar

HypurrFi Relata Vulnerabilidade de Erro de Arredondamento na Aave V3

Aprofundamento CEVIU

Aprofundamento

A vulnerabilidade de erro de arredondamento encontrada na Aave V3 não é um bug genérico de matemática em contratos inteligentes, mas uma falha específica em como a versão anterior à 3.5 lida com o cálculo de juros acumulados durante ciclos rápidos de suprimento e saque em ativos com baixa precisão de escala, como XAUTO e UBTC, ambos tokens com casas decimais limitadas e alta volatilidade relativa. O problema só se manifesta quando operações são executadas em sequência sob condições de taxa de juros flutuante e saldo residual abaixo de 1 wei, gerando discrepâncias que o protocolo interpreta como saldo disponível para saque. Isso permite extração silenciosa de fundos sem gatilho de reverter transação, algo raro em implantações da Aave, que normalmente possuem proteções robustas contra underflow.

O fato de a HypurrFi ter detectado a falha internamente, e não por meio de auditoria externa ou relatório de white hat, mostra que seu sistema de monitoramento on-chain está capturando comportamentos anômalos em tempo real, como padrões de 'repetição de ciclo' com desvios subcentesimais. Isso contrasta com a postura defensiva da Aave Labs no relatório de segurança da V4, que destacou ausência de falhas críticas em 345 dias de análise, mas não abordou especificamente o comportamento de arredondamento em forks não oficiais ou em implantações com ativos não padronizados.

Por que isso importa

Essa falha expõe uma tensão crescente entre a modularidade dos protocolos DeFi e sua segurança operacional: a Aave V3 foi projetada para ser forquilhada, mas cada adaptação, especialmente com novos ativos ou camadas de abstração como as do HyperEVM, cria superfícies de ataque não cobertas pelas auditorias originais. Para usuários, o risco não está apenas no código da Aave, mas em como ele é integrado, testado e mantido por terceiros. E para desenvolvedores, o caso reforça que erros de arredondamento ainda são vetores viáveis de exploração mesmo em protocolos maduros, e que 'segurança por design' exige validação contínua, não só em lançamento.

Perguntas frequentes

O que é exatamente um 'erro de arredondamento' em contratos da Aave?

É uma discrepância numérica causada pela limitação de casas decimais ao calcular juros ou saldos em ativos com baixa precisão. Na Aave V3 < 3.5, certos ciclos de suprimento/saque em tokens como XAUTO geravam resíduos não contabilizados, que podiam ser extraídos repetidamente sem acionar proteções de overflow/underflow.

Meus fundos estavam em risco nos mercados XAUTO e UBTC?

Não diretamente. A HypurrFi pausou novos suprimentos e empréstimos assim que identificou o problema, mas manteve saques e reembolsos ativos. Nenhum fundo foi perdido, a falha exigia ação ativa do atacante e não permitia roubo passivo.

A Aave V4 resolve esse problema?

Sim, indiretamente. A V4 introduziu mudanças estruturais no cálculo de juros e no tratamento de saldos residuais, além de exigir validação explícita de precisão mínima para novos ativos. Mas isso não corrige versões anteriores da V3, cada fork precisa atualizar manualmente.

Por que a HypurrFi usou a Aave V3 em vez da V4, se a V4 já estava em produção?

A Aave V4 só foi lançada na mainnet do Ethereum em 30 de março de 2026, cinco dias após a descoberta da vulnerabilidade. A HypurrFi opera no HyperEVM, que ainda não tinha suporte nativo para a V4 no início de março. A migração exige adaptação de oráculos, wrappers e testes em rede de teste própria.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Cripto
Publicado
09 de março de 2026
Editoria
CEVIU Cripto

Quer receber mais sobre CEVIU Cripto?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
HypurrFi Relata Vulnerabilidade de Erro de Arredondamento