Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Pre-IPOs
Отримайте повний доступ до глобальних IPO акцій.
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Більше
#DriftProtocolHacked
#Gate广场四月发帖挑战
Крадіжка 1928374656574.84T доларів США була підготовлена за шість місяців
1 квітня 2026 року, ймовірно, був лише жартом. Ця дата зробила перший допис Drift Protocol виглядом нереальним, коли вони підтвердили, що платформа зазнала атаки. До того, як повідомлення було поширено, збитки вже сталися. Від $285 мільйонів до $200 мільйонів було виведено повністю. Це не була помилка смарт-контракту чи поспішне розгортання. Це результат багатомісячної кампанії соціальної інженерії, що тривала з точністю та терпінням. Атакачі відвідували конференції, вибудовували зв’язки, надсилали капітал і позиціонували себе як надійних, перш ніж виконати останній крок. Коли вони діяли, виведення коштів завершувалося за лічені хвилини.
Що таке Drift Protocol і на що робляться ставки
Drift Protocol — найбільша децентралізована біржа безстрокових контрактів на Solana. Вона дозволяє користувачам торгувати позиціями з плечем без централізованого посередника. На момент атаки її загальна заблокована вартість становила близько $285 мільйонів доларів. Це не лише великий протокол, а й важливий стовпчик ліквідності DeFi на Solana. Коли Drift було скомпрометовано, наслідки поширилися по всій екосистемі. TVL знизився з $550 мільйонів до менше ніж $550 мільйонів за кілька годин. Це не була окрема інцидентна подія. Вона вплинула на багато супутніх протоколів, які залежать від ліквідності та структури ціноутворення Drift.
Підготовка за шість місяців
Атака почалася за кілька місяців до того, як окремі особи представилися як компанія з кількісної торгівлі. Вони брали участь у галузевих заходах, взаємодіяли з учасниками команди та поступово формували репутацію з плином часу. Вони вносили на платформу понад $250 мільйонів доларів, формуючи довіру. Поступово вони наближалися до співпрацівників, залучених до управління та інфраструктури. Скомпрометація сталася через шкідливі сховища та підроблений гаманець, спрямований на людей із високими правами доступу. До моменту експлуатації атакувальники вже мали все необхідне в руках.
Як стійкі nonces стали зброєю
Центром технічної частини атаки є функція стійких nonces у Solana. Зазвичай транзакції швидко вичерпуються через короткочасні blockhash. Стійкі nonces дозволяють транзакціям залишатися чинними довше, даючи можливість виконання із запізненням. Ця функція корисна для законних цілей, але перетворилася на ключовий інструмент у цій експлуатації. Після скомпрометації членів ради безпеки атакувальники отримали дійсні підписи для транзакцій, які виглядали звичайними. Ці транзакції були підписані за кілька тижнів. Оскільки вони використовували стійкі nonces, вони не втрачали чинності. Під час виконання вони мали повний обсяг повноважень для підтвердження. Система працювала так, як і задумувалося, але контекст був підмінений.
Виведення коштів
Атакувальники діяли швидко, щойно почалася експлуатація. Активи виводилися структуровано, щоб максимізувати суму, яку вдавалося отримати. Основну частину становили токени Jupiter Liquidity Pool, разом із USDC, wrapped Bitcoin та SOL. Ця диверсифікація зменшувала імовірність швидкого виявлення та негайного втручання. Протягом кількох хвилин із платформи пішли сотні мільйонів доларів. Системи моніторингу попереджали про незвичну активність, але часу на реакцію не вистачило, щоб зупинити транзакції, які були авторизовані наперед.
Проблема переказу USDC
Значна частина коштів, приблизно $1 мільйонів доларів, була в USDC. Ці кошти були переказані з Solana на Ethereum через крос-ланцюгову інфраструктуру протягом кількох годин. Це спричинило великий резонанс. Видавець мав можливість заморозити кошти, пов’язані з експлуатацією, але не вжив дій у той проміжок часу. Переміщення тривало через багато транзакцій, доки все не було завершено. Це піднімає серйозні питання щодо відповідальності реагування та меж централізованого контролю в децентралізованих екосистемах.
Вплив на ринок
Реакція ринку була миттєвою. Токен DRIFT різко знизився, втративши майже половину своєї вартості протягом кількох годин. Загальна заблокована вартість просіла на тлі поспішних виведень коштів користувачами. Понад десяток протоколів на базі Solana зазнали збоїв через дотик до ліквідності Drift. Ширша екосистема побачила падіння довіри, коли ризики поширювалися між пов’язаними платформами. Подія підкреслила, наскільки тісно пов’язані системи DeFi.
Що ця атака розкриває
Ця експлуатація не була спричинена помилкою в коді. Вона пов’язана з втратою довіри в системі, що спирається на координацію між людьми. Модель безпеки multisig не була обійдена напряму. Її було виконано шляхом використання дійсних підписів, здобутих через соціальну інженерію. Управлінська структура працювала так, як і очікувалося, але рівень прийняття рішень було підмінено. Це виявило критичну вразливість у DeFi. Аудити можуть підтвердити код, але не можуть гарантувати, що уповноважені особи не стануть жертвами соціальної інженерії.
Підсумок
Експлуатація Drift Protocol дає чіткий урок. Безпека в DeFi — це не лише смарт-контракти. Вона пов’язана з людьми, процесами та припущеннями. Функції, розроблені для гнучкості, можуть перетворитися на вектори атак, якщо їх використовувати не за призначенням. Структура управління сильна лише настільки, наскільки сильними є люди за нею. Втрата $230 мільйонів доларів — це значна шкода, але глибший вплив полягає в тому, що вона розкриває. Нині індустрія має зіткнутися з реальністю: вразливості на рівні людей захищати значно складніше, ніж технічні вразливості.
📌 Короткий виклад
Дата оголошення: 6 квітня 2026 року
Ключовий гравець: Chaos Labs (основний постачальник управління ризиками для Aave з 2023)
Дія: припинення співпраці з AaveDAO, з негайним ефектом (з перехідним періодом)
Тривалість партнерства: ~3 роки
Оголошено: Омер Голдберг, генеральний директор Chaos Labs, через форум управління Aave та соціальні мережі
Це третій великий вихід основного учасника з Aave за останні місяці, після BGD Labs та Initiative Aave Chan (ACI). Chaos Labs був останнім залишком технічних спеціалістів з управління ризиками з оригінальної команди.
#ChaosLabsExitsAaveDAO
🧠 Частина 1: Чому Chaos Labs справді покинула? (Глибокий аналіз)
Голдберг назвав три офіційні причини, але справжня історія має більше шарів.
1️⃣ Вихід інших ключових учасників створив «витік знань»
· BGD Labs (інженерія смарт-контрактів та основна розробка) покинули раніше у 2026.
· ACI (Ініціатива Aave Chan), очолювана Марком Целлером, також покинула, посилаючись на втому від управління та особисті причини.
· З обома відсутніми, Chaos Labs став єдиним залишком оригінальних учасників, відповідальних за:
· Моніторинг ризиків у реальному часі
· Рекомендації щодо параметрів (LTV, поріг ліквідації, ліміт позик)
· Стрес-тестування та сценарний аналіз
· Реагування на надзвичайні ситуації
Голдберг зазначив:
«Нас створили як один шар у багатошаровій системі управління ризиками. Коли інші шари зникли, очікування змістилися на нас, щоб заповнити кожну прогалину. Це ніколи не було угодою.»
2️⃣ Запуск Aave V4 подвоїв навантаження
· Aave V4 запустився всього за тиждень до (пізнього березня 2026).
· Нові функції включають:
· Об’єднаний рівень ліквідності (модель «хаб і спиці»)
· Динамічні криві відсоткових ставок
· Смарт-рахунки та функціональність між ланцюгами
· Критична проблема: V3 має продовжувати працювати, поки V4 повністю не поглине всі ринки V3. Цей перехід може зайняти 6–18 місяців.
· У цей період Chaos Labs потрібно:
· Моніторити ризикові параметри обох версій V3 і V4
· Підтримувати окремі моделі для кожної версії
· Вирішувати потенційні помилки або експлойти, пов’язані з міграцією
Голдберг жорстко оцінив:
«Обсяг роботи під час переходу не зменшується вдвічі. Він подвоюється. Ви керуєте двома паралельними системами з різними профілями ризиків. Це вимагає вдвічі більше інженерів, вдвічі більше моніторингу, вдвічі більше відповідальності.»
3️⃣ Фінансова неспроможність – цифри не брешуть
Chaos Labs працював з Aave на збиток протягом трьох послідовних років.
· Aave Labs пропонував: $5 мільйонів на рік$8
· Chaos Labs просив: (мільйонів мінімум), щоб покрити V3 + V4 + інституційні GTM-роботи$3
· Різниця: (міліонний розрив
Голдберг навів орієнтир:
«Традиційні банки виділяють 6–10% свого операційного бюджету на відповідність та інфраструктуру управління ризиками. DeFi-протоколи витрачають менше 1% на ризики. Ця математика не працює, якщо ви прагнете до інституційної безпеки.»
Він також розкрив, що Chaos Labs доводилося перекривати витрати на роботу з Aave за рахунок доходів від інших клієнтів )як Jupiter, Bancor та інші$8 . Ця модель стала незбалансованою, оскільки вимоги Aave зростали.
4️⃣ Юридична та регуляторна відповідальність – непроявлений страх
Можливо, найважливіша причина, глибоко захована у пості Голдберга на форумі.
«Немає регуляторної рамки, безпечної гавані або усталеної закону, що відповідає на питання, що зобов’язані робити менеджер ризиків або куратор, коли протокол зазнає збою. Якщо все працює, робота непомітна. Якщо щось зламається, відповідальність не лежить на комусь.»
Простими словами:
· Якщо рекомендація щодо параметра ризику спричинить каскад ліквідацій або поганий борг, хто буде судитися?
· Якщо хакер експлуатуватиме вразливість, яку Chaos Labs не виявила, вони нестимуть відповідальність?
· Жоден суд ще не виніс рішення щодо обов’язків менеджера ризиків у DeFi. Жоден страховий продукт не покриває цю експозицію.
Голдберг зазначив, що кілька інституційних клієнтів почали запитувати у Chaos Labs юридичні думки щодо їхньої відповідальності. Коли Chaos Labs не змогла надати чітку відповідь, ці клієнти пішли.
«Ми зрозуміли, що беремо на себе необмежену юридичну відповідальність за нульовий зиск. Це не бізнес. Це благодійність із потенційним судовим позовом.»
---
🗣️ Частина 2: Бік Aave – відповідає Стані Кулечов
Стани Кулечов, генеральний директор Aave Labs, запропонував різкий контраст у тому ж форумі управління.
Контраргумент: Chaos Labs прагнула монополії
«Chaos Labs прагнула стати єдиним менеджером ризиків для Aave, замінити Chainlink власним оракулом і витіснити LlamaRisk. Це були умови, які ми не могли прийняти.»
Якщо це правда, це централізувало б ризикову структуру Aave у єдину комерційну компанію – що прямо протилежно ідеалам DeFi.
Контраргумент: (Мільйонна вимога не обґрунтована
Кулечов стверджував, що потреби Aave у ризиках модульні та масштабовані:
· Управління ризиками V3 може поступово відмовлятися, коли ліквідність мігрує до V4.
· Багато параметрів ризику тепер автоматизовані через вбудований ризиковий двигун Aave )запроваджений у V4$8 .
· Оцінка Chaos Labs у (мільйонів) включала «інституційні GTM-роботи», яких Aave ніколи не просила.
Контраргумент: Aave буде в порядку без Chaos Labs
Кулечов оголосив про трьохшаровий ризиковий каркас на майбутнє:
Рівень Відповідальність Організація
Економічний ризик Рекомендації щодо параметрів, стрес-тести LlamaRisk (розширений бюджет і команда)
Технічний ризик Безпека смарт-контрактів, безпека оновлень Aave Labs (внутрішньо)
Управлінський ризик Оцінка пропозицій, надзвичайні повноваження AaveDAO через майбутні голосування
Він також підтвердив:
· Смарт-контракти, лістинги активів і розгортання мережі залишаються без змін.
· Обидві сторони співпрацюватимуть під час перехідного періоду #ChaosLabsExitsAaveDAO тривалість TBD(.
)
📊 Частина 3: Реакція ринку та спільноти – несподівано спокійна
Незважаючи на драматичний вихід, ринок майже не зреагував.
Метрики на блокчейні (станом на 7 квітня 2026)
Метрика Значення Зміна (24г)
TVL Aave $247,3 млрд -0,4%
Щоденний дохід ~$194,000 -1,2%
Ціна токена AAVE $93,30 -1,0%
Активні позики $12,1 млрд +0,1%
Інтерпретація: ринок сприймає це як реструктуризацію управління, а не провал протоколу.
Настрій спільноти – X (Twitter) та Discord
· Позитив: «Нарешті Aave усуває єдині точки відмови. Управління ризиками має бути децентралізованим, а не аутсорсингом одній компанії.»
· Негатив: «Три ключові учасники покинули за шість місяців. Це не випадковість. В AaveDAO щось гниле.»
· Нейтраль: «Побачимо, хто замінить Chaos Labs. Якщо LlamaRisk візьметься, добре. Якщо ні – маємо проблему.»
Видатні інфлюенсери:
· DCinvestor: «Вихід Chaos Labs – короткостроковий медвежий сигнал, довгостроковий – бичий. Aave потрібно було удосконалити свою ризикову структуру, щоб не залежати від одного постачальника.»
· Hsaka: «Ціна не рухається. Це означає, що нікому не цікаво. Або всі вже врахували це в ціні.»
---
🔮 Частина 4: Що далі? – 5 сценаріїв для спостереження
Сценарій 1 – LlamaRisk успішно масштабується $2M найбільш ймовірно(
· LlamaRisk найме додаткових аналітиків ризиків і інженерів.
· AaveDAO голосує за збільшення бюджету LlamaRisk з ~)до $5М+(.
· Міграція з V3 на V4 проходить гладко за 12 місяців.
· Результат: Aave залишається кредитним протоколом. Chaos Labs зникає з управління Aave.
Сценарій 2 – Виникають прогалини у ризиках )можливо(
· Без моніторингу в реальному часі Chaos Labs, невелика помилка параметра залишиться непоміченою.
· Відбувається невелика каскадна ліквідація, але без поганого боргу.
· Управління швидко впроваджує резервного постачальника ризиків )можливо, Gauntlet або нову структуру(.
· Результат: короткострокова волатильність, але протокол виживає.
Сценарій 3 – Регуляторне втручання )низька ймовірність(
· Велика подія ліквідації спричинить реальні збитки для інституційних кредиторів )як FalconX або Cumberland(.
· Ці інституції подають скарги регуляторам )наприклад, NYDFS, SEC(.
· Регулятори ставлять під сумнів структуру управління ризиками AaveDAO.
· Результат: юридична невизначеність і потенційні заходи примусу.
Сценарій 4 – Виходи копіювальників )середня ймовірність(
· Інші постачальники ризиків )як Gauntlet, Block Analitica$8M переглядають свої угоди з Aave.
· Деякі можуть переукласти умови або вийти, якщо зіштовхнуться з подібним фінансовим/юридичним тиском.
· Результат: AaveDAO змушена створити повністю внутрішню команду ризиків.
Сценарій 5 – Повернення Chaos Labs за новими умовами (малоймовірно, але не неможливо$197M
· Якщо прийняття V4 вибухне і TVL подвоїться, AaveDAO може переглянути )бюджет.
· Chaos Labs може повернутися як неексклюзивний постачальник ризиків.
· Результат: малоймовірно, але у DeFi траплялися дивні речі.
---
📚 Частина 5: Історичний контекст – чому це здається знайомим
Це не перший раз, коли великий DeFi-протокол втрачає свого постачальника ризиків.
Протокол Постачальник ризиків Рік Результат
Compound Gauntlet 2024 Gauntlet пішов через бюджетні суперечки. Compound вижив.
Euler Finance Chaos Labs 2023 Euler все одно зламали ()збитки(. Chaos Labs продовжила.
MakerDAO Множинно 2022-24 Maker перейшов до внутрішніх команд ризиків )метрики DAI(. Успішний перехід.
Висновок: DeFi-протоколи стійкі до виходів постачальників, якщо основні смарт-контракти надійні і управління може швидко реагувати.
---
⚠️ Частина 6: Ризики та невизначеності )для обізнаних читачів#ChaosLabsExitsAaveDAO
· Не визначений перехідний період – Chaos Labs і Aave Labs не уточнили, скільки часу Chaos Labs залишатиметься доступною для консультацій. Навіть кілька тижнів можуть бути ризикованими.
· Потужність LlamaRisk – наразі у LlamaRisk близько 5 FTE. Масштабування для заміни Chaos Labs (15+ FTE) займе час і кошти.
· Помилки на ранніх етапах V4 – новий код завжди несе ризик. Без перевіреного моніторингу Chaos Labs перші місяці V4 будуть більш вразливими.
· Відсутність юридичної ясності – основне питання відповідальності залишається без відповіді. Майбутні постачальники ризиків стикнуться з тим самим дилемою.
---
🏁 Останній висновок
не є смертельним для Aave. Це, однак, тест на зрілість управління Aave і його здатність децентралізувати функції, які раніше були аутсорсингом.
Для Chaos Labs це стратегічне відступлення для зосередження на прибуткових, юридично безпечніших угод. Для Aave – це можливість побудувати більш стійку, багатошарову систему управління ризиками – якщо управління виконає правильно.
Що слід спостерігати цього тижня:
· 8-10 квітня: екстрений виклик управління AaveDAO запланований
· 12 квітня: очікується пропозиція бюджету LlamaRisk
· 15 квітня: перше тестове міграційне випробування ліквідності з V4 на V3
⚠️ Відмова від відповідальності: цей пост є виключно для освітніх та інформаційних цілей. Він не є фінансовою порадою, інвестиційною рекомендацією або юридичною консультацією. Протоколи DeFi мають ризики смарт-контрактів, управління та ринку. Завжди проводьте власне дослідження і ніколи не ризикуйте більше, ніж можете собі дозволити втратити.