Недавний обзор темных времен DeFi в апреле все еще вызывает тревогу. За всего лишь 18 дней экосистема потеряла более 600 миллионов долларов, и история за цифрами более заслуживает внимания.

Все началось с Drift Protocol. В тот день, 1 апреля, многие думали, что это шутка на День дурака, но всего за 12 минут было потеряно 285 миллионов долларов. Позже выяснилось, что группа Lazarus из Северной Кореи потратила полгода на проникновение, начиная с социальной инженерии, офлайн встреч и внедрения вредоносного ПО, в итоге получив управленческие права и одновременным образом очистив несколько хранилищ. Что это показывает? Даже самая строгая безопасность в блокчейне бесполезна, если управление офлайн скомпрометировано — мультиподписные кошельки превращаются в украшение.

Затем был взлом межцепочного моста Hyperbridge, хакеры использовали уязвимость в проверке доказательств Merkle и создали 1 миллиард виртуальных DOT из воздуха. Но это еще не самое серьезное. 18 апреля rsETH проекта Kelp DAO был серьезно атакован: злоумышленники через RPC-инъекции и DDoS-атаки подделали 116 500 rsETH (около 292 миллиона долларов), эти фальшивые токены затем использовали как залог в Aave и Compound, взяв взаймы 236 миллионов долларов в WETH.

Истинная катастрофа заключалась в цепной реакции. Aave, крупнейший рынок заимствований, позволял пользователям использовать rsETH для кредитных циклов — депонировать LRT, брать ETH, обменивать на больше LRT. При рыночных колебаниях все это мгновенно рухнуло. За 48 часов из Aave ушло более 6 миллиардов долларов, а общая TVL в DeFi исчезла на 13 миллиардов.

Я заметил интересное явление: когда годовая доходность USDC на Aave упала до 2,61%, ниже 3,14% у традиционного брокера Interactive Brokers, мотивация пользователей брать на себя риск смарт-контрактов исчезла. Любые опасения по поводу безопасности мгновенно приводят к краху заемных средств. Это отражает изменение среды доходности в DeFi, и механизм ценообразования риска требует переосмысления.

Интересно, что в кризисе также были проявления компромисса. Комитет безопасности Arbitrum заморозил 30 700 ETH злоумышленников, а Tether в сотрудничестве с правоохранительными органами заморозил 344 миллиона USDT. Эти действия, хотя и вызывают одобрение, поднимают реальные вопросы о децентрализации — когда жизнь под угрозой, контроль мультиподписей активируется.

Восстановление после катастрофы идет полным ходом. Aave собрал около 243 миллиона долларов для компенсации убытков, разработчики начали переход на MPC-кошельки, ZK-мосты и более защищенные системы верификации.

Уроки этого кризиса в апреле ясны: при стремлении к доходу необходимо учитывать комплексные риски, безопасность, децентрализация и удобство должны развиваться синхронно. Иначе никакие технологические инновации не смогут удержать ситуацию.