Ядро команды по управлению рисками только что было смещено, и теперь Aave сталкивается с дефолтом в размере 200 миллионов долларов.

Рано утром 18 апреля 2026 года, через несколько часов после атаки KelpDAO, разработчик Solidity 0xQuit опубликовал сообщение в X.

«Я бы хотел принести хорошие новости, но похоже, что WETH в Aave прогорел. Если вывод средств возможен, то сделайте это, но может быть уже поздно. После решения проблемы с Umbrella, обычные депозиты должны быть частично выводимыми. Это огромный удар по видению DeFi".

На момент публикации этого поста основатель Aave Стани Кулешов только что опубликовал еще одно заявление на той же платформе: rsETH заморожен, смарт-контракты Aave "не повреждены", проблема заключается в KelpDAO. Два поста шли параллельно на одной временной шкале.

В обоих постах излагаются факты, но они касаются разных вопросов. Stani отвечает, кто заставил код работать, 0xQuit отвечает, кто понесет последствия.

Ответ: код не был перенесен. И последствия падают на всех, кто внес WETH в Aave, думая, что они просто зарабатывают проценты.

За полгода до атаки система управления Aave одобрила каждое решение, которое сделало это возможным. Никто не взламывал код. Кто-то использовал утвержденный набор правил, чтобы протокол рухнул так, как задумано. Это стоит прояснить.

Двенадцать дней

6 апреля основатель Chaos Labs Омер Голдберг опубликовал в X сообщение о том, что сотрудничество Chaos Labs с Aave DAO официально завершится.

На протяжении последних трех лет Chaos Labs руководила управлением параметрами риска Aave. В течение этого периода TVL Aave вырос с 5,2 миллиарда до более чем 26 миллиардов долларов. За каждым миллиардом долларов роста модели Chaos Labs рассчитывали границы: какие параметры можно было изменить, а какие нельзя.

Голдберг назвал три причины ухода. Одна из них - принципиальное несогласие со стратегией управления рисками, особенно после внедрения новой архитектуры в Aave V4. Во-вторых, значительное увеличение операционной сложности, вызванное V4, не было адекватно компенсировано. В-третьих, даже в сценарии с бюджетом в 5 миллионов долларов Chaos Labs оставалась убыточной, что делало ее экономически нежизнеспособной.

«Это партнерство больше не отражает того, как мы считаем, что риск должен управляться», — написал он.

Ответ Aave пришел быстро. Стани Кулечов заявил, что протокол не прекратит свою деятельность, и все обязанности возьмет на себя организация по управлению рисками LlamaRisk, при этом «двухуровневая система управления рисками будет продолжать действовать». Затем LlamaRisk опубликовала заявление, в котором обещала «полную операционную непрерывность», и в течение недели представила официальное предложение о возобновлении в Aave DAO. Внешне это выглядело как упорядоченная передача власти.

Через три дня, 9 апреля, LlamaRisk в качестве нового управляющего рисками представил первый набор рутинных изменений: увеличение лимита предложения rsETH на основной сети Aave V3 с 480 000 до 530 000 токенов. Обоснованием послужили данные о состоянии сети, эффективное использование, достаточная ликвидность и концентрация в пределах допустимых значений. Аномалий не было зафиксировано.

Девять дней спустя, 18 апреля в 17:35 UTC, злоумышленник на основной сети Ethereum вызвал контракт LayerZero EndpointV2, внедрив подделенное межсетевое сообщение в контракт моста rsETH Kelp DAO. Контракт моста не обнаружил, что сообщение было поддельным. 116 500 токенов rsETH поступили на адрес, контролируемый злоумышленником.

Сорок шесть минут спустя был запущен механизм экстренной паузы Kelp DAO, предотвративший две последующие попытки кражи злоумышленника, которые вместе составили около 100 миллионов долларов. Однако первоначальную партию вернуть не удалось. Целью злоумышленника было примерно 390 миллионов долларов, из которых они получили три четверти.

Перед активацией механизма паузы злоумышленник внес украденные rsETH в Aave V3 в качестве залога, получив значительную сумму WETH и ETH. После распространения сообщения о взломе рыночная цена rsETH начала обрушиваться, в результате чего стоимость залога исчезла. Технически платежеспособные позиции стали неликвидными. Таким образом, возникли безнадежные долги.

Документ, который так и не был написан

19 января 2026 года сообщество Aave приняло предложение по управлению 434. Суть предложения заключалась в добавлении WETH в LST E-Mode rsETH, при этом увеличивая максимальное соотношение заем/стоимость для rsETH в этом режиме с 92,5% до 93%. Числовые изменения были незначительными, но последствия были ясны: пользователи могли взять в долг WETH на сумму 93 доллара в Aave, используя rsETH на сумму 100 долларов.

Предложение инициировано ACI (Aave Chan Initiative, основной координатор управления Aave). В тексте предложения излагаются ожидания: путем внедрения круговой стратегии rsETH/WETH для поглощения неиспользуемой ликвидности ETH в протоколе ожидается привлечь "до 1 миллиарда долларов притока rsETH", оптимизируя при этом коэффициент использования пула WETH.

У предложения есть еще одно, более прямое, обоснование, а именно - "оставаться конкурентоспособными" по сравнению с ezETH и weETH. Поскольку активы LRT конкурентов уже получили аналогичные параметры на Aave, rsETH также должен быть согласован.

Это общая логика принятия решений в DeFi, называемая конкурентным бенчмаркингом. То, что есть у вашего конкурента, должно быть и у вас; в противном случае ликвидность уйдет. В контексте стремления к эффективности капитала эта логика почти безупречна. Он также обладает врожденным односторонним давлением, когда параметры можно только увеличить, а не уменьшить. Любое предложение, направленное на ужесточение параметров, будет помечено как "снижение конкурентоспособности". В результате отрасль дрейфует в одном и том же направлении, не задаваясь вопросом, куда она дрейфует.

Когда вы обращаетесь к документу о руководстве Пропозицией 434, чего-то не хватает: отчета об оценке рисков, специально посвященного вопросу: "Можно ли увеличить LTV rsETH до 93%?" Когда rsETH был впервые добавлен в список в ноябре 2024 года, LlamaRisk представил всестороннюю оценку рисков обеспечения, проанализировав механизм накопления доходности rsETH, структуру смарт-контракта и характеристики ликвидности. Однако в этом отчете был дан ответ на вопрос «Может ли rsETH быть добавлен в Aave». Когда в предложении 434 LTV был увеличен до 93%, обоснование в документе о корпоративном управлении основывалось на контрольных показателях и ожидаемых доходах от протокола.

Два других протокола DeFi, которые приняли rsETH, дали разные ответы. SparkLend установил LTV для rsETH на уровне 72%, в то время как фиксированный минимальный коэффициент залога протокола Fluid соответствует примерно 75% LTV. Оба заморозили рынок rsETH в течение нескольких часов после атаки. Показатель Aave составляет 93%. Дополнительные 21 процентный пункт дают конкурентное преимущество.

6 апреля Chaos Labs объявила о своем выходе из управления рисками Aave. 9 апреля вновь назначенная LlamaRisk представила стандартное предложение по корректировке Risk Stewards, увеличив лимит предложения rsETH с 480 000 до 530 000 токенов. Причиной, указанной в заявлении, стало состояние данных в цепочке, нормальное использование, достаточная ликвидность и приемлемая концентрация позиций. Все метрики находятся в цепочке.

Эти метрики в цепочке фиксируют статус циркуляции rsETH в Aave, сколько человек им пользуются, диверсифицирован ли риск и достаточно ли ликвидности. Что они не охватывают, так это: какой мост rsETH пересек, прежде чем попасть в Aave.

Непрочитанное оповещение

Рано утром 10 марта этого года в блокчейне Ethereum произошел ряд необычных транзакций по ликвидации. 34 позиции с высоким уровнем заемных средств, использующие wstETH в качестве обеспечения, были ликвидированы одна за другой без какого-либо предупреждения. Прежде чем пользователи смогли среагировать, боты по ликвидации уже завершили операцию.

Причиной стала ошибка конфигурации в системе оракула CAPO Aave, где расхождение в ставке снимка с временной меткой снимка привело к сообщенной цене wstETH около 1,1939, в то время как фактическая рыночная ставка составляла около 1,228. Отклонение составило 2,85%, что почти незначительно в нормальных обстоятельствах.

Однако в условиях E-Mode недооценка цены на 2,85% была достаточна, чтобы подтолкнуть 34 позиции с высоким уровнем заемных средств за пороговый уровень ликвидации, что привело к ошибочным потерям от ликвидации в размере примерно 27 миллионов долларов. От системы оценки рисков Edge от Chaos Labs, выпустившей рекомендации, до AgentHub от BGD, выполняющего следующий блок, а затем ботов по ликвидации, выполняющих операцию, вся цепочка событий разворачивалась в течение нескольких минут. Возможности для вмешательства человека не осталось.

После события Chaos Labs выпустили аналитический отчет. Заключение было следующим: {"The event does not reflect a flaw in the underlying CAPO or off-chain risk oracle design but rather an on-chain configuration discrepancy due to different update constraints on the snapshot rate and timestamp."}

Проблема конфигурации, а не недостаток дизайна. Авария, а не предупреждение.

Aave, через предложение по управлению, предоставил полную компенсацию пострадавшим пользователям из фонда восстановления и казначейства DAO. Вопрос был закрыт. В более позднем отчете отрасли говорилось: «Несмотря на это событие, общие депозиты и займы Aave оставались стабильными в начале 2026 года, без существенного ослабления доверия к основному дизайну протокола».

Шесть недель спустя термин «основной дизайн» столкнулся с еще одним испытанием в другом масштабе.

Прибытие законопроекта

Примерно через час после атаки Стани Кулешов подчеркнул в X, что сами смарт-контракты Aave «не пострадали». Не было никаких технических проблем, никакой код не был скомпрометирован, никакие закрытые ключи не были украдены, контракты работали именно так, как и предполагалось.

Проблема заключается здесь. Когда rsETH подвергся атаке и резкому падению стоимости, "высококоррелированный" дизайн E-Mode дал обратный результат: система продолжала считать значительно обесценившийся rsETH действительным залогом, предотвращая нормальную ликвидацию заемных WETH и ETH. Механизм, предназначенный для повышения эффективности капитала, превратился в механизм, блокирующий невозвратный долг в экстремальных ситуациях.

Согласно различным источникам, включая Phemex и Yahoo Finance, оценочный объем невозвратного долга составляет от 177 миллионов до 200 миллионов долларов, а общий объем заемных средств, взятых злоумышленником, превышает 236 миллионов долларов (по данным CryptoBriefing). С 116 500 rsETH в качестве залога и при коэффициенте E-Mode LTV 93% можно было одолжить до 272 миллионов долларов WETH, примерно на 62 миллиона долларов больше, чем при стандартном коэффициенте LTV 72%. E-Mode уменьшил страховой запас с 28% до 7%, сделав позицию уязвимой даже для незначительных колебаний цен.

У Aave есть механизм безопасности, специально разработанный для этой ситуации, который называется Umbrella. Пользователи могут депонировать aWETH в сейф Umbrella, чтобы получить дополнительный доход. В случае дефицита протокола из-за безнадежных долгов эти активы будут автоматически сожжены, чтобы покрыть убытки, без необходимости голосования по управлению. Пользователи, которые активно выбирают депозит, в основном те, кто понимает конструкцию механизма, готовы пожертвовать своим капиталом ради более высокой доходности и готовы поддержать страховочную сеть протокола. Umbrella был запущен в конце 2025 года, заменив старый Модуль безопасности, и это его первое реальное испытание.

В Umbrella имеется примерно 50 миллионов долларов WETH, которые можно использовать для покрытия убытков (по данным Forbes). Масштаб безнадежных долгов варьируется от 177 миллионов до 200 миллионов долларов, что оставляет разрыв между этими двумя цифрами в размере от 127 миллионов до 150 миллионов долларов.

Эта часть ложится на плечи обычных вкладчиков WETH, не внесших депозит. Согласно официальной документации Aave о механизме Umbrella, после того, как активы обеспечения будут сожжены, «остальные поставщики WETH должны быть частично выводимы, но полное восстановление не гарантируется, и вкладчики могут столкнуться с удержанием». Термин «удержание» означает частичную потерю основного капитала.

В ночь атаки высказался Марк Целлер. Он основатель ACI и ключевой сторонник предложений 205 и 434, и покинет Aave в июле этого года. Он отверг внешние "чрезвычайные оценки" размера проблемных долгов, заявив, что фактическое число "намного ниже этой цифры", и призвал пользователей вывести WETH из Aave V3, чтобы снизить риск. Он также добавил, что "это событие эффективно протестирует Umbrella", как если бы это был стресс-тест, а не фактическая потеря основного капитала пользователей.

В тот день токен AAVE упал на 10,27%, закрывшись на отметке $105,73. Это произошло, когда размер проблемных долгов еще не был определен, и большое количество вкладчиков WETH ждали урегулирования Umbrella.

Эпилог

Пост 0xQuit активно распространялся в ночь атаки. Многие из тех, кто его опубликовал, были вкладчиками WETH в Aave. Перед тем как перепостить, они читали эти несколько строк снова и снова. «После урегулирования Umbrella обычные депозиты должны быть частично выводимыми». Насколько «частично»? Что означает «обычные»? Что подразумевает слово «должны»?

Последняя фраза 0xQuit была: «Это огромный удар по видению DeFi». Видение DeFi включает в себя принцип: ваши активы, ваши правила, и никто не может принимать решения от вашего имени за вашей спиной.

Эти решения были приняты за последние шесть месяцев в тексте предложений форума по управлению. Не было взлома хакером с использованием грубой силы и никакой единой уязвимости кода, которая предопределила этот результат. Это было повторное стремление к "эффективности", пренебрежение "сигналами" и критически важный период бездействия, которые вместе привели к этому результату. Стоимость управления в конечном итоге несут те, кто не участвовал в управлении и не знал, что управление вообще когда-либо происходило.

Код запущен в соответствии с утвержденным планом. Проект был отправлен тем, кто не участвовал в этих утверждениях.