Фьючерсы
Доступ к сотням фьючерсов
TradFi
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Pre-IPOs
Откройте полный доступ к глобальным IPO акций
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
Когда у «голубых фишек» DeFi возникают проблемы, кто заплатит?
Автор: Route 2 FI Источник: blackswans Перевод:善欧巴, 金色财经
Aave только что понес серьезные потери, и это уже далеко не просто “некоторое协议被黑”那么简单。
Совместная атака через межцепочечный rsETH оставила в этом, казалось бы, самом безопасном рынке криптовалют в DeFi, дыру на сумму девяти цифр.
Теперь вся индустрия должна столкнуться с жестокой реальностью: когда крупные DeFi-проекты рушатся, кто в конечном итоге платит по счетам?
Когда “крупные” DeFi-проекты сталкиваются с проблемами, кто платит?
На прошлых выходных протокол DeFi, считающийся “крупным” — Aave — проснулся и обнаружил на балансе огромную дыру.
Атака использовала уязвимость межцепочечного моста KelpDAO — через его приложение LayerZero — и без залога создала большое количество rsETH, которые были заложены в Aave. Затем злоумышленник взял в долг реальные WETH и ушел. Итог: основной пул WETH Aave оказался под огромным долгом.
С точки зрения кода, контракт “работает нормально”. Но реальность преподала урок DeFi: платежеспособность протокола зависит от дизайна межцепочечных мостов, системы управления и риск-менеджмента, а вкладчики могут оказаться теми, кто в итоге расплачивается.
Обзор событий: что же произошло?
Уязвимость в приложении LayerZero для rsETH на базе KelpDAO была использована для атаки
Злоумышленник убедил межцепочечной мост использоваться без реального залога, чтобы создать и выпустить rsETH
Эта беззалоговая rsETH была внесена в Aave V3 в качестве залога
На основе этого залога злоумышленник взял крупный заем в WETH и другие активы, после чего исчез
После раскрытия уязвимости залог rsETH полностью стал мусором, а механизм ликвидации не смог восстановить платежеспособность
В итоге Aave оказался в следующей ситуации:
Обязательства перед пользователями по депозитам в WETH
Залог — это rsETH, который больше не признается рынком, и разница между ними — это убытки.
Почему это событие так сильно ударило по DeFi?
Это далеко не просто “ошибка в настройке межцепочечного моста协议”.
1. “Доверие к коду, а не человеку” — не работает
Код строго выполняет инструкции, проблема в сочетании нескольких систем: межцепочечный токен с переменной ликвидностью (LST), агрессивные параметры залога, а также команда риск-менеджмента и руководства, которые давно ушли из рынка.
2. DeFi — это инфраструктура, а не обычное приложение
Aave — это не какой-то неизвестный пул, а ключевое место для хранения ETH, доходного фонда, китов и обычных пользователей. Когда такой платформе внезапно угрожает огромный долг, идея о том, что DeFi — это безопасная и надежная финансовая инфраструктура, рушится.
После раскрытия уязвимости обычные пользователи, внесшие ETH и стабильные монеты, начали срочно выводить средства, что привело к росту использования WETH-пула до 100%. Такой уровень использования означает, что в пуле больше нет ликвидности — даже если на счету есть деньги, их нельзя вывести, пока заемщики не погасили долги или не поступят новые средства. Кроме того, Aave заморозил торговлю rsETH и связанными рынками, чтобы предотвратить дальнейшее замыкание капитала.
Невозможность нормально ликвидировать убытки по rsETH привела к тому, что в WETH-пуле возник пробел, а механизм автоматического пополнения ликвидности не сработал. Пока не решены вопросы управления и гарантий, часть лимитов на вывод средств зависит только от разницы между новым притоком ликвидности и уходящими средствами.
Еще более опасна цепная реакция: пользователи обнаруживают, что не могут вывести депозиты, но при этом имеют возможность брать займы. Чтобы не стать последним, кто несет риск, они начинают максимально увеличивать заимствования, отдавая в долг стабильные монеты и ETH. Логика проста: если нельзя вывести депозит, его можно “вытащить” через заем. В итоге вкладчики превращаются из кредиторов в должников за одну ночь.
Эта паническая заимствовательная волна еще больше истощает уже и без того перегруженные пулы, мгновенно высасывая оставшуюся ликвидность и повышая системный риск. Высокий кредитный рычаг и убытки увеличивают стоимость последующих очисток и реструктуризаций капитала.
Ключевые пулы (WETH, USDC, USDT) продолжают приближаться к 100% использования, десятки миллиардов долларов активов недоступны для вывода, а новые поступления мгновенно высасываются.
Кризис доверия быстро распространяется:
Китовые и институциональные инвесторы выводят с Aave 50–80 миллиардов долларов
Цена токена AAVE резко падает
Общий заблокированный объем в DeFi (TVL) снижается, средства уходят из аналогичных кредитных и межцепочечных протоколов (Morpho, Sky, Fluid, Kamino и др.)
Другие протоколы, интегрирующие rsETH или использующие LayerZero, приостановили межцепочечные операции, заморозили рынки или ужесточили параметры, что еще больше усугубило ликвидность и практически остановило межпротокольные капиталовложения.
Если крупные игроки и пользователи начнут считать “крупные DeFi-рынки” структурно высокорискованными, стоимость капитала в целом в DeFi вырастет: депозиты сократятся, ставки повысятся, требования к залогу станут жестче, а все продукты, зависящие от межцепочечных активов и многоуровневых LST, будут постоянно дешеветь.
3. “Код — это закон”, проигравший “управление — это игра”
Атака произошла очень быстро, но смертельные уязвимости были заложены еще в нескольких месяцах управленческих решений:
Постоянное увеличение LTV по rsETH
Сжатие буфера безопасности
Безрассудное расширение масштабов
Одновременная утрата ключевых участников риск-менеджмента и управления
Где же скрывается причина убытков Aave?
Проще говоря:
Некоторые пользователи вносили WETH для получения дохода
Злоумышленник создал rsETH с помощью уязвимости и заложил его, чтобы взять заем WETH
После атаки rsETH не может быть ликвидирован по исходной цене, и протокол недосчитался WETH вкладчиков, образовался пробел
Этот пробел — и есть убытки. По сути:
Недостаточно залога в пуле WETH
Общая сумма требований вкладчиков превышает оставшиеся активы системы
В подобных случаях в DeFi обычно используют три решения:
Использование госказны / разводнение токенов (протокол несет убытки)
Списание требований вкладчиков (пользователи несут убытки)
Комбинация обоих методов с “восстановительными” токенами
Но Aave за последние годы изменил механизм гарантий, что сделало ситуацию еще сложнее.
Кто должен платить?
Главный вопрос: кто в итоге отвечает за платежеспособность Aave?
Классическая модель Aave
Стейкеры AAVE через механизм безопасности обеспечивают гарантию протокола
В случае нехватки средств часть стейков AAVE сжигается и продается для восстановления капитала
Взамен стейкеры получают доход и право голоса
Это стандартный контракт: вкладчики предоставляют ликвидность и зарабатывают; держатели AAVE — несут риск и получают компенсацию.
Реальность полностью изменилась
С переходом Aave на новую архитектуру и продукты:
Механизм сжигания в старом модуле безопасности практически исчез
Риск-менеджмент перешел к новым “зонтичным” структурам, связанным с конкретными активами и рынками (например, aWETH)
В новых структурах риск-капитал — это не AAVE, заложенный держателями, а собственные активы вкладчиков
Поэтому порядок потерь в рынке WETH теперь примерно такой:
Вкладчики пула: через заморозку ликвидности, списание активов или принудительный ребалансинг
Гарантийный механизм протокола: решение о использовании госказны или реструктуризации
Владельцы AAVE: только при реальном сжатии или разводнении в новых механизмах, и то — значительно позже, чем раньше
Это совершенно новая скрытая договоренность. Если вы когда-либо вносили ETH в Aave, полагая, что “стейкеры AAVE обеспечат гарантию”, то сейчас можете понять: в итоге это вы — тот, кто платит. Такой разрыв в понимании сильно подрывает доверие к DeFi — обещания о модели риска, которая в ходе сложных управленческих решений давно разошлась с реальностью.
Почему это событие полностью меняет восприятие рисков в DeFi?
Кто-то скажет: “Это всего лишь один взлом на 3 миллиона доллоров, скоро забудут”. Но последствия этого инцидента очень глубокие, и профессиональный капитал начнет переоценивать риски в DeFi по нескольким направлениям.
Крупные проекты — это не низорискованные объемы, опыт и бренд, а незащищенность рисками. Наоборот, они могут стимулировать управление к сокращению буфера безопасности ради прибыли и рыночной доли, слепо веря в “бренд”.
Межцепочечные мосты и LST — системные риски. Одноразовая атака на цепочку или приложение может вызвать кризис платежеспособности всей валютной системы. Любой протокол, использующий многоуровневые межцепочечные активы в качестве залога, будет тщательно проверен.
Явное ценообразование депозитов. Если вкладчики в первую очередь несут убытки, то “безопасный пул” — это неправильная оценка стоимости. Деньги, которые раньше считались депозитами в Aave, должны быть полностью пересмотрены. В традиционной финансовой системе это похоже на то, что “страховые банковские депозиты” имеют приоритет ниже, чем структурированные облигации банка.
В течение 24 часов после атаки
Общий заблокированный объем DeFi снизился более чем на 100 миллиардов долларов
Объем заблокированных средств в Aave — 66 миллиардов долларов, что стало крупнейшим однодневным выводом в истории DeFi
Цена AAVE упала с 118 до 90 долларов
Размер убытков Aave — около 196 миллионов долларов (после обновления — 236 миллионов долларов)
Использование WETH в Aave достигло 100%
Что будет дальше?
Голосование должно ответить на три ключевых вопроса, и их ответы определят степень ущерба для DeFi:
Полное возмещение: использование госказны или разводнение токенов, чтобы сохранить доверие пользователей, но это ударит по держателям AAVE и долгосрочной модели
Частичное списание: нанесет долгосрочный урон репутации Aave, но соответствует логике “вкладчики по умолчанию несут риск протокола”
Если даже убытки на сотни миллионов не вызовут существенного сжатия, роль AAVE как риск-капитала станет номинальной
Если же начнутся реальные меры по гарантийному обеспечению, Aave сможет подтвердить свою надежность и показать, что держатели токенов — это действительно риск-носители
Поверхностный вывод: не используйте LayerZero, межцепочечные мосты или LST
Глубокий урок: если залоговая часть зависит от межцепочечных сообщений и агрессивных LTV, она должна нести системные риски и иметь соответствующую оценку стоимости
Любой выбор Aave станет прецедентом. Другие рынки и протоколы LST внимательно наблюдают — это первая крупная современная кризисная ситуация в цепочке.
Заключение
Инцидент с rsETH и Aave важен потому, что он раскрыл разрыв между рекламой DeFi и его реальным состоянием:
DeFi позиционирует себя как прозрачную и регламентированную систему. Но в реальности главный вопрос — кто платит за убытки? И в конечном итоге это зависит от игры, мотивации и управленческих решений.
Убытки очевидны, и кто-то должен заплатить. Вопрос лишь в том, кто именно: те, кто думали, что “стейкеры AAVE обеспечат гарантию”, или вкладчики, которые просто хотели хранить ETH и получать доход.