Нещодавно переглядаючи темну сторінку DeFi у квітні, все ще відчуваю тривогу. За всього 18 днів екосистема зазнала збитків понад 600 мільйонів доларів, і історії, що стоять за цими цифрами, більш вартості уваги, ніж самі числа.

Все почалося з Drift Protocol. 1 квітня багато хто вважав це жартом на День сміху, але за 12 хвилин 285 мільйонів доларів зникли. Лише згодом стало відомо, що група Lazarus з Північної Кореї витратила півроку на проникнення — від соціальної інженерії, офлайн-зв’язків до впровадження шкідливого ПЗ, і зрештою отримала права управління, одноразово очищуючи кілька сейфів. Що це означає? Безпека в блокчейні може бути максимальною, але якщо зламати офлайн-процеси управління, мультипідписні гаманці стають просто декорацією.

Далі Cross-chain міст Hyperbridge був атакований, хакери використали вразливість у підтвердженні Merkle, щоб безкоштовно створити 1 мільярд віртуальних DOT. Але це ще не найгірше. 18 квітня rsETH Kelp DAO був серйозно пошкоджений: зловмисники через проникнення RPC і DDoS поєднали атаки, підробивши 116 500 rsETH (близько 292 мільйонів доларів). Ці фальшиві токени згодом були використані як застави у Aave і Compound, позичивши 236 мільйонів доларів WETH.

Найбільша катастрофа сталася через ланцюгову реакцію. Як найбільший ринок позик, Aave дозволив користувачам здійснювати левериджоване кредитування — вносити LRT, позичати ETH і обмінювати його на ще більше LRT. При коливаннях ринку все це миттєво руйнувалося. За 48 годин понад 6 мільярдів доларів вийшли з Aave, а загальний TVL у DeFi зник на 13 мільярдів.

Я помітив цікаву закономірність: коли річна ставка по USDC на Aave впала до 2.61%, нижче за 3.14% — рівень прибутковості традиційних брокерів, таких як Interactive Brokers — мотивація користувачів брати на себе ризик смарт-контрактів зменшилася. Будь-які сумніви у безпеці миттєво руйнують левериджовані позиції. Це свідчить про те, що середовище доходності у DeFi змінюється, і механізми ціноутворення ризиків потрібно переосмислити.

Цікаво, що у кризу також проявилися компроміси. Комітет безпеки Arbitrum заблокував 30 700 ETH атакуючих, а Tether у співпраці з правоохоронними органами заморозив 344 мільйони USDT. Ці дії, хоча й отримали схвалення, підняли питання реальності ідеалу децентралізації — коли життя під загрозою, контроль через мультипідпис активу активується.

Післякризове відновлення вже триває. Aave зібрав близько 243 мільйонів доларів для компенсації збитків, а розробники почали переходити на MPC-гаманці, ZK-мости і більш захищені системи верифікації.

Урок цієї квітневої кризи очевидний: при прагненні до доходу потрібно враховувати системний ризик, безпека, децентралізація і зручність мають розвиватися синхронно. Інакше будь-які технологічні інновації не зможуть витримати випробування.