تیم اصلی مدیریت ریسک به‌تازگی برکنار شده و آوه اکنون با نکول ۲۰۰ میلیون دلاری مواجه است.

در صبح زود ۱۸ آوریل ۲۰۲۶، چند ساعت پس از حمله به کلپ‌داو، توسعه‌دهنده سالیدیتی ۰xQuit در ایکس پستی منتشر کرد.

کاش می‌توانستم خبر بهتری بیاورم، اما به نظر می‌رسد WETH در Aave تمام شده است. اگر برداشت‌ها ممکن است، این کار را انجام دهید، اما ممکن است خیلی دیر باشد. پس از توافق‌نامه چتر، سپرده‌های عادی باید تا حدی قابل برداشت باشند. این یک ضربه بزرگ به چشم‌انداز دیفای است.

در زمان انتشار این پست، بنیان‌گذار Aave، استانی کولچوف، به‌تازگی بیانیهٔ دیگری را در همان پلتفرم منتشر کرده بود: rsETH منجمد شده است، قراردادهای هوشمند Aave آسیبی ندیده‌اند و مشکل از KelpDAO است. دو پست در کنار هم روی همان خط زمانی در حال حرکت بودند.

هر دو پست حقایق را بیان می‌کنند، اما به سؤالات متفاوتی می‌پردازند. استانی پاسخ می‌دهد چه کسی کد را جابه‌جا کرد، 0xQuit پاسخ می‌دهد چه کسی پیامدها را خواهد پذیرفت.

پاسخ این است: هیچ کدی منتقل نشد. و عواقب آن بر همه کسانی که WETH را در Aave سپرده بودند تا صرفاً سود کسب کنند، نازل می‌شود.

در طول شش ماه منتهی به حمله، سیستم حاکمیتی آوه هر تصمیمی را که این امر را ممکن ساخت، تأیید کرد. هیچ‌کس هیچ کدی را هک نکرد. کسی از یک مجموعه قوانین تأییدشده استفاده کرد تا پروتکل همان‌طور که طراحی شده بود فروبپاشد. این ارزش دارد که درست شود.

دوازده روز

در ۶ آوریل، عمر گلدبرگ، بنیان‌گذار Chaos Labs، در ایکس پستی منتشر کرد و اعلام نمود که همکاری Chaos Labs با Aave DAO رسماً به پایان خواهد رسید.

در سه سال گذشته، Chaos Labs مدیریت پارامترهای ریسک Aave را بر عهده داشته است. در این دوره، کل ارزش قفل‌شده (TVL) آوه از ۵.۲ میلیارد دلار به بیش از ۲۶ میلیارد دلار افزایش یافت. در پس هر افزایش میلیارد دلاری، مدل‌های Chaos Labs مرزها را محاسبه می‌کردند: چه پارامترهایی را می‌توانستند افزایش دهند و چه پارامترهایی را نمی‌توانستند.

گلدبرگ سه دلیل برای ترک ارائه داد. یکی اختلاف بنیادین بر سر استراتژی ریسک است، به‌ویژه پس از معرفی معماری جدید در Aave V4. ثانیاً، افزایش قابل‌توجه پیچیدگی عملیاتی ناشی از V4 به‌طور کافی جبران نشد. ثالثاً، حتی در سناریوی بودجهٔ ۵ میلیون دلاری، Chaos Labs همچنان در وضعیت زیان‌ده باقی ماند که از نظر اقتصادی پایدار نبود.

«این مشارکت دیگر بازتاب‌دهندهٔ نحوهٔ مدیریت ریسکی که ما به آن باور داریم، نیست.» او نوشت.

پاسخ Aave به سرعت رسید. استانی کولچوف اظهار داشت که این پروتکل فعالیت‌های خود را متوقف نخواهد کرد و نهاد مدیریت ریسک LlamaRisk تمام مسئولیت‌ها را بر عهده خواهد گرفت و «سیستم مدیریت ریسک دو لایه همچنان برقرار خواهد بود.» لامارسک سپس بیانیه‌ای صادر کرد و به «تداوم عملیاتی کامل» متعهد شد و ظرف یک هفته یک پیشنهاد رسمی تمدید را به آوه دی‌ای‌او ارائه داد. از بیرون، این انتقال منظم تلقی می‌شد.

سه روز بعد، در تاریخ ۹ آوریل، LlamaRisk به‌عنوان مدیر ریسک جدید، اولین مجموعه از تنظیمات روتین را ارائه کرد: افزایش سقف عرضه rsETH در شبکه اصلی Aave V3 از ۴۸۰٬۰۰۰ به ۵۳۰٬۰۰۰ توکن. دلایل ارائه‌شده عبارت بودند از داده‌های آن-چین، بهره‌برداری سالم، نقدینگی کافی و تمرکز در محدوده‌های قابل‌قبول. هیچ ناهنجاری مشاهده نشد.

نه روز بعد، در ۱۸ آوریل و ساعت ۱۷:۳۵ به وقت جهانی، یک مهاجم در شبکه اصلی اتریوم قرارداد EndpointV2 لایرزیرو را فراخوانی کرد و یک پیام بین‌زنجیره‌ای جعلی را به قرارداد پل rsETH در Kelp DAO تزریق نمود. قرارداد پل تشخیص نداد که پیام جعلی بود. ۱۱۶٬۵۰۰ توکن rsETH به آدرسی که تحت کنترل مهاجم بود، منتقل شد.

چهل و شش دقیقه بعد، مکانیزم توقف اضطراری کلپ دائو فعال شد و دو تلاش سرقت اضافی بعدی هکر را که مجموعاً حدود ۱۰۰ میلیون دلار می‌شد، ناکام گذاشت. با این حال، دستهٔ اولیه قابل بازیابی نبود. هدف مهاجم تقریباً ۳۹۰ میلیون دلار بود که از آن سه‌چهارم آن را به دست آورد.

پیش از فعال‌سازی مکانیزم توقف، مهاجم rsETH دزدیده‌شده را به‌عنوان وثیقه در Aave V3 سپرده و مقدار قابل‌توجهی WETH و ETH قرض گرفته بود. پس از انتشار پیام حمله، قیمت بازار rsETH شروع به سقوط کرد و باعث از بین رفتن ارزش وثیقه شد. موقعیت‌هایی که از نظر فنی solvent بودند، به غیرقابل فروش تبدیل شدند. بدین ترتیب بدهی بد به وجود آمد.

سندی که هرگز نوشته نشد

در ۱۹ ژانویهٔ ۲۰۲۶، جامعهٔ آوه پیشنهاد حکمرانی ۴۳۴ را تصویب کرد. هستهٔ این پیشنهاد افزودن WETH به حالت E-Mode در LST rsETH بود، در حالی که نسبت حداکثر وام به ارزش rsETH در این حالت از ۹۲٫۵٪ به ۹۳٪ افزایش می‌یافت. تغییرات عددی جزئی بودند، اما پیامدها واضح بودند: کاربران می‌توانستند با سپردن ۱۰۰ دلار rsETH، ۹۳ دلار WETH از آوه قرض بگیرند.

این پیشنهاد توسط ACI (ابتکار چان آوه، تسهیلگر اصلی حاکمیت آوه) پیش برده می‌شود. متن پیشنهاد انتظارات را تشریح می‌کند: با معرفی استراتژی چرخشی rsETH/WETH برای جذب نقدینگی راکد ETH در پروتکل، انتظار می‌رود «تا یک میلیارد دلار ورود rsETH» را به همراه داشته باشد و در عین حال نرخ بهره‌برداری از استخر WETH را بهینه‌سازی کند.

این پیشنهاد یک توجیه دیگر و مستقیم‌تر دارد که آن «رقابتی ماندن» با ezETH و weETH است. از آنجا که دارایی‌های LRT رقبا پیش از این پارامترهای مشابهی را در آوه دریافت کرده‌اند، rsETH نیز باید هم‌راستا شود.

این یک منطق رایج تصمیم‌گیری در دیفای است که به آن «معیارسازی رقابتی» گفته می‌شود. آنچه رقیب شما دارد، شما هم باید داشته باشید؛ وگرنه نقدینگی شما تحلیل خواهد رفت. در چارچوب پیگیری بهره‌وری سرمایه، این منطق تقریباً بی‌نقص است. این همچنین دارای یک فشار یک‌طرفه ذاتی است که در آن پارامترها تنها می‌توانند افزایش یابند و نه کاهش. هر پیشنهادی که با هدف تنگ‌تر کردن پارامترها ارائه شود، به‌عنوان «کاهش رقابت‌پذیری» برچسب خواهد خورد. نتیجه این است که صنعتی در همان جهت به پیش می‌رود، بدون آنکه بپرسد به کجا می‌رود.

وقتی به سند حاکمیتی پیشنهاد ۴۳۴ مراجعه می‌کنید، یک چیز کم است: گزارشی از ارزیابی ریسک که به‌طور مشخص به این سؤال پاسخ دهد: «آیا می‌توان نسبت وام‌دهی کل (LTV) rsETH را تا ۹۳٪ افزایش داد؟» وقتی rsETH برای اولین بار در نوامبر ۲۰۲۴ فهرست شد، LlamaRisk یک ارزیابی جامع ریسک وثیقه ارائه داد و مکانیزم انباشت بازده rsETH، ساختار قرارداد هوشمند و ویژگی‌های نقدینگی آن را تحلیل کرد. با این حال، آن گزارش به این سؤال پاسخ داد: «آیا rsETH می‌تواند در Aave فهرست شود؟» وقتی پیشنهاد ۴۳۴ نسبت وام به ارزش را به ۹۳٪ افزایش داد، استدلال مندرج در سند حاکمیتی بر مبنای بنچمارک و انتظارات درآمدی پروتکل بود.

دو پروتکل دیفای دیگر که rsETH را می‌پذیرفتند، پاسخ‌های متفاوتی ارائه دادند. اسپارک‌لند نسبت وام به ارزش (LTV) را برای rsETH روی ۷۲٪ تنظیم کرد، در حالی که نسبت وثیقه حداقل ثابت پروتکل فلوئید معادل تقریباً ۷۵٪ LTV است. هر دو ظرف چند ساعت پس از حمله، بازار rsETH را منجمد کردند. عدد Aave برابر با ۹۳٪ است. ۲۱ امتیاز درصد اضافی مزیت رقابتی ایجاد می‌کند.

در ۶ آوریل، Chaos Labs اعلام کرد که از مدیریت ریسک Aave کناره‌گیری می‌کند. در ۹ آوریل، LlamaRisk تازه‌منصوب‌شده پیشنهاد تعدیل معمول Risk Stewards را ارائه کرد که سقف عرضه rsETH را از ۴۸۰٬۰۰۰ توکن به ۵۳۰٬۰۰۰ توکن افزایش می‌دهد. دلیل ذکر شده، سلامت داده‌های آن-چین، بهره‌برداری عادی، نقدینگی کافی و تمرکز قابل قبول موقعیت‌ها بود. تمام معیارها درون‌زنجیره‌ای هستند.

این معیارهای آن-چین وضعیت گردش rsETH در Aave، تعداد افرادی که از آن استفاده می‌کنند، اینکه آیا ریسک متنوع شده است و آیا نقدینگی کافی است را ثبت می‌کنند. آن‌ها به این نمی‌پردازند که rsETH قبل از رسیدن به Aave از چه نوع پلی عبور کرده است.

یک هشدار نخوانده

در ساعات اولیهٔ دهم مارس امسال، بلاک‌چین اتریوم شاهد مجموعه‌ای از تراکنش‌های لیکوییدیشن غیرمعمول بود. ۳۴ موقعیت اهرم‌دار سنگین که از wstETH به‌عنوان وثیقه استفاده می‌کردند، یکی پس از دیگری و بدون هیچ هشداری تسویه شدند. پیش از آنکه کاربران بتوانند واکنش نشان دهند، ربات‌های تسویه عملیات را به پایان رسانده بودند.

مسبب آن یک خطای پیکربندی در سیستم اورکل CAPO آوه بود که در آن اختلاف نرخ اسنپ‌شات با مهر زمانی اسنپ‌شات منجر به گزارش قیمت wstETH حدود ۱.۱۹۳۹ شد، در حالی که نرخ واقعی بازار حدود ۱.۲۲۸ بود. انحراف ۲٫۸۵٪ بود که در شرایط عادی تقریباً قابل چشم‌پوشی است.

با این حال، در محیط E-Mode، دست‌کم‌انگاری قیمت به میزان ۲٫۸۵٪ کافی بود تا ۳۴ موقعیت با اهرم بالا را به فراتر از آستانه تصفیه ببرد و در نتیجه تقریباً ۲۷ میلیون دلار زیان تصفیه نادرست به بار آورد. از صدور توصیه‌ها توسط سیستم Edge Risk شرکت Chaos Labs گرفته تا اجرای AgentHub در بلوک بعدی در BGD و سپس انجام عملیات توسط ربات‌های تسویه، کل زنجیره رویدادها در عرض چند دقیقه رخ داد. هیچ فرصتی برای مداخلهٔ انسانی باقی نمانده بود.

پس از رویداد، Chaos Labs یک گزارش تحلیلی منتشر کرد. نتیجه‌گیری این بود: این رویداد نشان‌دهنده نقصی در طراحی زیرساختی CAPO یا اورکل ریسک خارج از زنجیره نیست، بلکه ناشی از اختلاف پیکربندی درون‌زنجیره‌ای به دلیل محدودیت‌های متفاوت در به‌روزرسانی نرخ اسنپ‌شات و زمان‌مهر است.

یک مشکل پیکربندی است، نه یک نقص طراحی. یک حادثه، نه هشدار.

آوه از طریق یک پیشنهاد حکومتی، غرامت کامل را به کاربران آسیب‌دیده از صندوق بازیابی و خزانه‌داری DAO پرداخت کرد. موضوع بدین ترتیب مختومه شد. یک گزارش بعدی صنعت بیان کرد: «با وجود این رویداد، سپرده‌گذاری‌ها و وام‌گیری‌های کلی آوه در اوایل سال ۲۰۲۶ پایدار باقی ماند و اعتماد به طراحی اصلی پروتکل به طور قابل‌توجهی تضعیف نشد.»

شش هفته بعد، اصطلاح «طراحی اصلی» در مقیاسی متفاوت با آزمون دیگری روبه‌رو می‌شد.

صورتحساب می‌رسد

حدود یک ساعت پس از حمله، استانی کولچوف در ایکس تأکید کرد که قراردادهای هوشمند Aave خود «تأثیرناپذیر» بوده‌اند. هیچ مشکل فنی وجود نداشت، هیچ کدی به خطر نیفتاد، هیچ کلید خصوصی دزدیده نشد، قراردادها دقیقاً همان‌طور که پیش‌بینی شده بود عمل کردند.

مشکل همین‌جاست. وقتی rsETH مورد حمله قرار گرفت و ارزشش به‌شدت کاهش یافت، طراحی «بسیار همبسته» E-Mode نتیجه معکوس داد: سیستم همچنان rsETH با ارزش بسیار کاهش‌یافته را به‌عنوان وثیقه معتبر در نظر می‌گرفت و مانع از تسویه عادی WETH و ETH قرض‌گرفته‌شده می‌شد. مکانیزمی که برای افزایش کارایی سرمایه طراحی شده بود، به مکانیزمی تبدیل شد که در شرایط شدید، بدهی‌های بد را قفل می‌کرد.

میزان تخمینی بدهی بد بین ۱۷۷ میلیون تا ۲۰۰ میلیون دلار است (بر اساس منابع مختلفی مانند Phemex و Yahoo Finance)، در حالی که مجموع مبلغ قرض‌گرفته‌شده توسط مهاجم از ۲۳۶ میلیون دلار فراتر رفته است (بر اساس CryptoBriefing). با وثیقه‌ای معادل ۱۱۶٬۵۰۰ rsETH و تحت نسبت وام به ارزش (LTV) حالت E برابر با ۹۳٪، می‌توان تا حدود ۲۷۲ میلیون دلار WETH قرض گرفت که تقریباً ۶۲ میلیون دلار بیشتر از حد مجاز LTV استاندارد ۷۲٪ است. ای-مود بافِر ایمنی را از ۲۸٪ به ۷٪ کاهش داد و موقعیت را در برابر حتی کوچک‌ترین نوسان قیمت آسیب‌پذیر کرد.

Aave یک مکانیزم امنیتی دارد که به‌طور ویژه برای این وضعیت طراحی شده و Umbrella نام دارد. کاربران می‌توانند aWETH را در گاوصندوق امن Umbrella سپرده کنند تا بازده اضافی کسب کنند. در صورت کسری پروتکل به دلیل بدهی معوق، این دارایی‌ها به‌طور خودکار سوزانده می‌شوند تا زیان‌ها را بدون نیاز به رأی‌گیری حاکمیتی پوشش دهند. کاربرانی که فعالانه تصمیم به سپرده‌گذاری می‌گیرند، عمدتاً کسانی هستند که سازوکار را درک می‌کنند، مایلند اصل سرمایه خود را در ازای بازده بالاتر معامله کنند و از شبکه ایمنی پروتکل حمایت نمایند. امبرلا در پایان سال ۲۰۲۵ راه‌اندازی شد، جایگزین ماژول ایمنی قدیمی شد و این اولین آزمون واقعی آن است.

طبق گزارش فوربز، تقریباً ۵۰ میلیون دلار WETH در امبرلا موجود است تا زیان‌ها را جبران کند. مقیاس بدهی‌های معوقه از ۱۷۷ میلیون دلار تا ۲۰۰ میلیون دلار متغیر است و شکافی در حدود ۱۲۷ میلیون تا ۱۵۰ میلیون دلار بین این دو رقم باقی می‌گذارد.

این بخش توسط سپرده‌گذاران عادی WETH که سپرده نمی‌گذارند، پرداخت می‌شود. طبق مستندات رسمی Aave در مورد مکانیزم چتر، پس از سوزاندن دارایی‌های وثیقه، «تأمین‌کنندگان WETH باقی‌مانده باید بتوانند تا حدی برداشت کنند، اما بازیابی کامل تضمین نشده است و سپرده‌گذاران ممکن است با کاهش (haircut) مواجه شوند.» اصطلاح «کاهش» به معنای از دست دادن جزئی اصل سرمایه است.

در شب حمله، مارک زلر سخن گفت. او بنیان‌گذار ACI و یکی از حامیان اصلی پیشنهادهای ۲۰۵ و ۴۳۴ است و در ماه ژوئیه امسال Aave را ترک خواهد کرد. او برآوردهای خارجی «مبالغه‌آمیز» از حجم بدهی‌های معیوب را رد کرد و اظهار داشت که رقم واقعی «بسیار کمتر از آن عدد» است، و از کاربران خواست تا برای کاهش ریسک، WETH را از Aave V3 برداشت کنند. او همچنین افزود که «این رویداد به‌طور مؤثر امبرلا را آزمایش خواهد کرد»، گویی که این یک آزمون فشار باشد تا زیان اصلی واقعی کاربران.

در آن روز، توکن AAVE با ۱۰٫۲۷٪ کاهش به قیمت ۱۰۵٫۷۳ دلار بسته شد. این اتفاق در حالی رخ داد که میزان بدهی بد هنوز مشخص نشده بود و تعداد زیادی از سپرده‌گذاران WETH در انتظار تسویه Umbrella بودند.

پایان‌نامه

پست 0xQuit در شب حمله به‌طور گسترده منتشر شد. بسیاری از کسانی که آن را پست کردند، سپرده‌گذاران WETH در Aave بودند. قبل از اینکه آن را دوباره منتشر کنند، بارها و بارها آن چند خط را خواندند. پس از توافق‌نامه چتر، سپرده‌های عادی باید تا حدی قابل برداشت باشند. «partially» چقدر است؟ «عادی» به چه معناست؟ کلمه «باید» چه معنایی را القا می‌کند؟

جملهٔ پایانی 0xQuit این بود: «این یک ضربهٔ بزرگ به چشم‌انداز دیفای است.» چشم‌انداز دیفای شامل یک اصل است: دارایی‌های شما، قوانین شما، و هیچ‌کس نمی‌تواند پشت سر شما به نمایندگی از شما تصمیم‌گیری کند.

آن تصمیمات در شش ماه گذشته در متن پیشنهادهای مجمع حاکمیتی اتخاذ شدند. هیچ هکری با حملهٔ brute force نفوذ نکرده بود و هیچ آسیب‌پذیری واحدی در کد وجود نداشت که این نتیجه را از پیش تعیین کرده باشد. این لایحه در پی پیگیری مکرر «کارایی»، بی‌توجهی به «نشانه‌ها» و یک بازهٔ زمانی حیاتی از بی‌فعالی صادر شد. هزینهٔ حکومت‌داری در نهایت بر دوش کسانی است که نه در آن مشارکت کرده‌اند و نه می‌دانستند که اصلاً حکومتی در کار بوده است.

کد طبق تأیید اجرا شد. این لایحه برای کسانی ارسال شد که در آن تأییدیه‌ها دخالتی نداشتند.