Розв'язання проблем централізації є напрямком еволюції DeFi

Ці дні в Інтернеті повсюдно обговорюють інцидент безпеки AAVE.

Основний хід подій виглядає так:

Зловмисник атакував механізм верифікації KelpDAO, підробивши міжланцюгове повідомлення, що дозволило мосту LayerZero у головній мережі безпідставно створити понад 110 000 rsETH, а потім помістити ці штучно створені rsETH у Aave як заставу, позичивши приблизно 236 мільйонів доларів WETH/ETH.

Ця операція безпосередньо призвела до виведення великої кількості ліквідності WETH/ETH з Aave. У зв’язку з розвитком цього інциденту багато активів, раніше зберіганих у Aave, були масово виведені. Це спричинило швидке поширення дефіциту ліквідності майже на всі основні активи в системі Aave.

Ще гірше, цей скандал поширився і на екосистему Solana, спричинивши значну напругу з ліквідністю у різних протоколах кредитування на цій платформі.

Без сумніву, цей інцидент завдав серйозного удару всій DeFi-екосистемі, тому в мережі з’явилася безліч коментарів і статей щодо цієї ситуації.

Однак більшість із них, крім простого емоційного виплеску, не розібралися у ключових причинах події і не об’єктивно оцінили її вплив. Багато статей без аналізу зводять усі проблеми до DeFi і навіть безпідставно проголошують «децентралізація мертва».

Насправді, основною причиною цієї безпекової аварії є суттєві вразливості у механізмі верифікації KelpDAO.

LayerZero пропонує механізм DVN (розподілена мережа верифікації), що дозволяє протоколам підтверджувати повідомлення при міжланцюгових операціях. Оскільки DVN — це розподілений валідатор, протокол, що викликає цей валідатор, має налаштовувати його за допомогою розподіленого методу — використовуючи кілька підписів для підтвердження повідомлення.

Однак KelpDAO використовує лише один підпис для підтвердження повідомлень.

Це залишає вразливість — зловмисник, зламавши один підпис, може підтвердити будь-яке повідомлення.

Ще один приклад, що допомагає краще зрозуміти цю проблему:

Зазвичай великі організації (наприклад, централізовані біржі) мають значні запаси біткоїнів. Для зберігання таких великих сум вони використовують мультипідписні гаманці, а не однопідписні.

Якщо використовувати лише однопідписний гаманець, то при його зломі всі біткоїни з цього гаманця опиняються під загрозою. Мультипідписний гаманець ж, навіть за злому одного або кількох підписів, залишається безпечним, якщо поріг підписів не досягнуто.

Це — базове розуміння і основна практика у криптоекосистемі для тих, хто прагне безпеки.

Однак команда KelpDAO навіть цього базового розуміння позбавлена — вони обрали високоцентралізований підхід із одним підписом, що і спричинило цю масштабну катастрофу.

Це ще раз доводить, що у світі DeFi децентралізація має бути обов’язковою складовою кожного ключового етапу для забезпечення безпеки всієї системи.

Тому твердження «децентралізація мертва» — це абсурд.

Звісно, і Aave не є безвинною у цій ситуації. Її проблема полягає у тому, що: не вчасно звертала увагу на потенційні ризики, пов’язані з заставними активами.

У січні 2025 року на форумі управління Aave вже був пост, що попереджав про можливі ризики активів KelpDAO. Однак Aave ігнорувала цю інформацію.

Ще один схожий протокол — Spark (заснований на MakerDAO) — своєчасно зупинив заставу rsETH.

Ці два протоколи демонструють значну різницю у підходах до управління безпекою та ризиками.

Зупинка Spark нагадує нам про один із попередніх інцидентів MakerDAO.

У березні 2023 року через крах Silicon Valley Bank DAI зазнав серйозного дезлінкування, оскільки найбільший актив застави — USDC — втратило прив’язку до долара, і ціна DAI короткостроково опустилася нижче 1 долара.

Це був ще один приклад кризи, спричиненої централізаційними проблемами. Він показав недостатню захищеність MakerDAO від ризиків централізації.

Проте з того часу MakerDAO пройшов шлях переродження, запустивши «План кінця» (Endgame Plan), що прискорив його децентралізацію та диверсифікацію активів, щоб запобігти подібним ризикам у майбутньому.

Саме тому ми сьогодні бачимо Spark і його стабільну поведінку у цій ситуації.

Переродження MakerDAO ілюструє, що у разі виникнення подібних проблем потрібно ще більш пильно ставитися до ризиків централізації у всіх компонентах екосистеми, щоб побудувати більш міцну і життєздатну DeFi-систему.

Так само і Aave, і всі інші DeFi-проекти мають рухатися цим шляхом.

Механізми DeFi не є причиною безпекових інцидентів — корінь проблеми у підсвідомій централізованій ментальності та операціях, що вже закладені у практику.

Постійна боротьба з централізаційними ризиками і їхнє вирішення — правильний шлях еволюції DeFi і правильний спосіб подолання подібних проблем.