Закрытая уязвимость в AAVE на $1,7bln

Trailofbits выпустили статью, как они 3 декабря обнаружили уязвимость во второй версии протокола AAVE

https://blog.trailofbits.com/2020/12/16/breaking-aave-upgradeability/

Суть уязвимости: возможность вызова функции LendingPool.liquidationCall, присвоение вызвавшему ее контракту права на вызов и исполнение функция уничтожения контракта (selfdestruct).

Если бы данная ошибка была обнаружена злоумышленниками, это позволило им сжечь контракт, ответственный за логику лендингового пула.

Логика контракта была изменена 4 декабря.

Браво, trailofbits