Основну команду з управління ризиками щойно усунули з посад, і тепер Aave загрожує дефолт на суму 200 мільйонів доларів.

Рано вранці 18 квітня 2026 року, через кілька годин після атаки на KelpDAO, розробник Solidity 0xQuit опублікував допис у X.

«Хотів би повідомити кращі новини, але, схоже, WETH на Aave приречений». Якщо є можливість вивести кошти, зробіть це, але, можливо, вже запізно. Після укладення угоди «Umbrella» звичайні депозити мають бути частково доступними для зняття. Це серйозний удар по концепції DeFi.

На момент публікації цього допису засновник Aave Стані Кулечов щойно опублікував ще одне повідомлення на цій же платформі: rsETH було заморожено, смарт-контракти Aave «не постраждали», а проблема лежить на стороні KelpDAO. Ці два дописи з’являлися один за одним на одній стрічці новин.

В обох дописах наводяться факти, але вони стосуються різних питань. Stani відповідає, хто ініціював зміну коду, а 0xQuit — хто понесе за це відповідальність.

Відповідь така: код не було переміщено. І наслідки цього відчують на собі всі, хто вніс WETH в Aave, думаючи, що просто заробляє трохи відсотків.

Протягом шести місяців, що передували атаці, система управління Aave схвалювала кожне рішення, яке зробило це можливим. Ніхто не зламав жодного коду. Хтось скористався затвердженим набором правил, щоб протокол дав збій, як і було передбачено. Це варто прояснити.

Дванадцять днів

6 квітня засновник Chaos Labs Омер Голдберг опублікував у X повідомлення, в якому оголосив про офіційне припинення співпраці Chaos Labs з Aave DAO.

Протягом останніх трьох років компанія Chaos Labs очолювала роботу з управління параметрами ризику в Aave. За цей період загальний обсяг активів у протоколі Aave зріс з 5,2 млрд доларів до понад 26 млрд доларів. За кожним приростом у мільярд доларів моделі Chaos Labs визначали межі: які параметри можна було розширювати, а які — ні.

Голдберг назвав три причини свого відходу. Однією з причин є принципова розбіжність у поглядах на стратегію управління ризиками, особливо після впровадження нової архітектури в Aave V4. По-друге, значне ускладнення операційної діяльності, спричинене V4, не було належним чином компенсовано. По-третє, навіть за умови бюджету в розмірі 5 мільйонів доларів Chaos Labs продовжувала зазнавати збитків, що робило її економічно нежиттєздатною.

«Це партнерство більше не відповідає нашим уявленням про те, як слід управляти ризиками», — написав він.

Відповідь від Aave не забарилася. Стані Кулечов заявив, що протокол не припинятиме свою діяльність, а компанія з управління ризиками LlamaRisk перейме на себе всі обов'язки, при цьому «дворівнева система управління ризиками залишиться в силі». Після цього компанія LlamaRisk опублікувала заяву, в якій запевнила у «повній безперебійності роботи», і протягом тижня подала до Aave DAO офіційну пропозицію щодо продовження договору. Ззовні це виглядало як упорядкований перехід.

Через три дні, 9 квітня, компанія LlamaRisk, яка стала новим менеджером з управління ризиками, подала перший пакет планових коригувань: збільшення ліміту пропозиції rsETH у основній мережі Aave V3 з 480 000 до 530 000 токенів. Як обґрунтування були наведені дані з блокчейну, стабільний рівень завантаження, достатня ліквідність та концентрація, що не перевищує встановлених меж. Аномалій виявлено не було.

Через дев'ять днів, 18 квітня о 17:35 за UTC, зловмисник у основній мережі Ethereum викликав контракт LayerZero EndpointV2, вставивши підроблене міжланцюгове повідомлення в контракт мосту rsETH проекту Kelp DAO. Контракт Bridge не виявив, що повідомлення було підробленим. 116 500 токенів rsETH надійшли на адресу, контрольовану зловмисником.

Через сорок шість хвилин спрацював механізм екстреної паузи Kelp DAO, що дозволило запобігти двом наступним спробам крадіжки з боку зловмисника, загальна сума яких становила близько 100 мільйонів доларів. Однак першу партію врятувати не вдалося. Злочинець мав на меті викрасти приблизно 390 мільйонів доларів, з яких йому вдалося отримати три чверті.

До активації механізму призупинення зловмисник вніс викрадені rsETH в Aave V3 як заставу, отримавши в кредит значну суму WETH та ETH. Після поширення повідомлення про атаку ринкова ціна rsETH почала стрімко падати, що призвело до втрати вартості застави. Позиції, які технічно були платоспроможними, стали неможливими для ліквідації. Таким чином, виникли безнадійні борги.

Документ, якого ніколи не було написано

19 січня 2026 року спільнота Aave ухвалила пропозицію щодо управління № 434. Суть пропозиції полягала в тому, щоб додати WETH до режиму LST E-Mode для rsETH, одночасно збільшивши максимальний коефіцієнт «кредит до вартості» для rsETH у цьому режимі з 92,5% до 93%. Числові зміни були незначними, але наслідки були очевидними: користувачі могли позичити WETH на суму 93 долари на Aave, використовуючи rsETH на суму 100 доларів.

Ініціатива висунута ACI (Aave Chan Initiative — основним координатором питань управління в Aave). У тексті пропозиції викладено такі очікування: завдяки впровадженню циркулярної стратегії rsETH/WETH, спрямованої на залучення незадіяної ліквідності ETH у протоколі, передбачається залучити «до 1 мільярда доларів у вигляді притоку rsETH», одночасно оптимізувавши коефіцієнт використання пулу WETH.

У цієї пропозиції є ще одна, більш пряма мета — «залишатися конкурентоспроможними» порівняно з ezETH та weETH. Оскільки активи LRT конкурентів вже отримали аналогічні параметри на Aave, rsETH також має відповідати цим параметрам.

Це поширена логіка прийняття рішень у сфері DeFi, яка називається порівняльним аналізом. Те, що є у вашого конкурента, має бути і у вас; інакше клієнти почнуть від вас відтокуватися. У контексті підвищення ефективності використання капіталу така логіка є практично бездоганною. Крім того, ця система має властивість одностороннього тиску, за якої параметри можна лише збільшувати, але не зменшувати. Будь-яка пропозиція, спрямована на посилення вимог, буде розцінена як «зниження конкурентоспроможності». У результаті галузь рухається в одному напрямку, не замислюючись над тим, куди саме вона прямує.

Якщо звернутися до документа про управління, що стосується Пропозиції 434, то там бракує одного: звіту про оцінку ризиків, у якому б конкретно розглядалося питання: «Чи можна підвищити коефіцієнт LTV rsETH до 93%?» Коли у листопаді 2024 року rsETH вперше з'явився на біржі, компанія LlamaRisk подала детальну оцінку ризиків застави, в якій проаналізувала механізм накопичення дохідності rsETH, структуру смарт-контрактів та характеристики ліквідності. Однак у цій доповіді було надано відповідь на питання: «Чи можна додати rsETH до списку Aave?». Коли пропозиція № 434 передбачала підвищення коефіцієнта LTV до 93%, обґрунтування, наведене в документі про управління, ґрунтувалося на порівняльному аналізі та прогнозах щодо доходів від протоколу.

Два інших протоколи DeFi, які приймали rsETH, дали різні відповіді. SparkLend встановив коефіцієнт LTV для rsETH на рівні 72%, тоді як фіксований мінімальний коефіцієнт застави в протоколі Fluid відповідає приблизно 75% LTV. Обидві компанії заморозили ринок rsETH вже через кілька годин після атаки. Показник Aave становить 93%. Ці додаткові 21 процентний пункт дають конкурентну перевагу.

6 квітня компанія Chaos Labs оголосила про припинення своєї діяльності з управління ризиками в Aave. 9 квітня новопризначений LlamaRisk подав чергову пропозицію щодо коригування параметрів Risk Stewards, збільшивши верхню межу пропозиції rsETH з 480 000 до 530 000 токенів. Як причину було названо стабільність даних у блокчейні, нормальний рівень використання, достатню ліквідність та прийнятну концентрацію позицій. Усі показники знаходяться в ланцюжку блоків.

Ці ончейн-показники фіксують стан обігу rsETH у мережі Aave, кількість користувачів, ступінь диверсифікації ризиків та достатність ліквідності. Про що вони не згадують: який саме міст rsETH перетнув, перш ніж потрапити в Aave.

Повідомлення про непрочитані повідомлення

Рано вранці 10 березня цього року в блокчейні Ethereum відбулася низка незвичайних транзакцій з ліквідацією. 34 позиції з високим рівнем левереджу, в яких в якості застави використовувався wstETH, були ліквідовані одна за одною без попередження. Не встигли користувачі зреагувати, як боти з ліквідації вже завершили операцію.

Причиною стала помилка в налаштуваннях системи оракулів CAPO від Aave, через яку розбіжність курсу на момент знімка з часовим штампом призвела до того, що ціна wstETH була відображена на рівні приблизно 1,1939, тоді як фактичний ринковий курс становив близько 1,228. Відхилення становило 2,85 %, що за звичайних обставин є практично незначним.

Однак у середовищі E-Mode недооцінка ціни на 2,85 % виявилася достатньою, щоб 34 позиції з високим рівнем левереджу перетнули поріг ліквідації, що призвело до помилкових збитків від ліквідації на суму приблизно 27 мільйонів доларів. Від видачі рекомендацій системою Edge Risk від Chaos Labs до виконання операції AgentHub від BGD у наступному блоці, а потім до виконання операції ботами з ліквідації — весь ланцюжок подій розгорнувся за лічені хвилини. Не залишилося жодного шансу на втручання людини.

Після завершення заходу компанія Chaos Labs опублікувала аналітичний звіт. Висновок був таким: «Цей випадок не свідчить про недоліки в самій системі CAPO чи в архітектурі оракула ризиків поза ланцюгом, а є наслідком розбіжності в конфігурації в ланцюзі, спричиненої різними обмеженнями щодо частоти створення знімків та часових міток».

Це проблема налаштування, а не конструктивний недолік. Це нещасний випадок, а не попередження.

Компанія Aave, на підставі пропозиції щодо управління, виплатила повну компенсацію постраждалим користувачам за рахунок фонду відновлення та казни DAO. На цьому справа була закрита. У пізнішому галузевому звіті зазначалося: «Незважаючи на цю подію, загальний обсяг депозитів та позик у Aave на початку 2026 року залишався стабільним, і довіра до основної архітектури протоколу істотно не похитнулася».

Через шість тижнів термін «основний дизайн» мав пройти ще одне випробування, цього разу в зовсім інших масштабах.

Прийшов рахунок

Приблизно через годину після атаки Стані Кулечов наголосив у X, що самі смарт-контракти Aave «не зазнали жодних змін». Технічних проблем не було, код не зазнав втручання, приватні ключі не були викрадені, контракти працювали саме так, як і передбачалося.

У цьому й полягає проблема. Коли rsETH зазнав атаки та різкого падіння вартості, «висококорельована» архітектура E-Mode обернулася проти нього: система продовжувала визнавати значно знецінений rsETH дійсним заставою, що завадило нормальній ліквідації позичених WETH та ETH. Механізм, розроблений для підвищення ефективності використання капіталу, в екстремальних ситуаціях перетворився на механізм, що фіксував безнадійну заборгованість.

За оцінками, обсяг безнадійної заборгованості становить від 177 до 200 мільйонів доларів (за даними різних джерел, таких як Phemex та Yahoo Finance), а загальна сума коштів, викрадених зловмисником, перевищує 236 мільйонів доларів (за даними CryptoBriefing). За умови застави у розмірі 116 500 rsETH та коефіцієнта LTV у режимі E-Mode на рівні 93% можна отримати позику на суму близько 272 млн доларів у WETH, що приблизно на 62 млн доларів перевищує ліміт при стандартному коефіцієнті LTV у 72%. У режимі E-Mode запас безпеки був скорочений з 28% до 7%, що зробило позицію вразливою навіть до незначних коливань цін.

У Aave є механізм безпеки, спеціально розроблений для таких випадків, який називається Umbrella. Користувачі можуть внести aWETH у безпечне сховище Umbrella, щоб отримати додатковий дохід. У разі дефіциту протоколу, спричиненого безнадійною заборгованістю, ці активи будуть автоматично знищені для покриття збитків без необхідності проведення голосування в рамках системи управління. Користувачі, які свідомо вирішують розміщувати кошти, — це переважно ті, хто розуміє принцип роботи механізму, готові обміняти свій капітал на вищу дохідність і готові підтримати систему безпеки протоколу. Система «Umbrella» була запущена наприкінці 2025 року, замінивши старий модуль безпеки, і це її перше справжнє випробування.

У фонді Umbrella є WETH на суму приблизно 50 мільйонів доларів, які можуть бути використані для покриття збитків (за даними Forbes). Обсяг безнадійної заборгованості коливається від 177 до 200 мільйонів доларів, що створює розрив між цими двома цифрами в розмірі приблизно від 127 до 150 мільйонів доларів.

Цю частину покривають звичайні власники WETH, які не беруть участі в депозитній програмі. Згідно з офіційною документацією Aave щодо механізму Umbrella, після спалення активів, що слугують заставою, «залишок WETH, наданий постачальниками, має бути частково доступним для виведення, проте повне повернення коштів не гарантується, і вкладники можуть зіткнутися зі знеціненням активів». Термін «стрижка» означає часткову втрату основної суми.

У ніч нападу Марк Зеллер виступив із заявою. Він є засновником ACI та одним із головних ініціаторів пропозицій № 205 та № 434, а в липні цього року залишить компанію Aave. Він відкинув зовнішні «екстремальні оцінки» обсягу безнадійної заборгованості, заявивши, що фактична цифра «значно нижча за цю цифру», і закликав користувачів вивести WETH з Aave V3, щоб зменшити ризик. Він також додав, що «ця подія стане справжнім випробуванням для Umbrella», ніби це стрес-тест, а не реальні втрати капіталу користувачів.

Того дня курс токена AAVE впав на 10,27% і на момент закриття становив 105,73 долара. Це сталося в той час, коли розмір безнадійної заборгованості ще не був визначений, а велика кількість вкладників WETH очікувала на врегулювання ситуації з Umbrella.

Епілог

У ніч нападу допис 0xQuit набув широкого поширення. Багато з тих, хто опублікував це повідомлення, були вкладниками WETH у Aave. Перш ніж опублікувати це, вони перечитували ці кілька рядків знову і знову. «Після укладення угоди з Umbrella звичайні депозити мають стати частково доступними для зняття». Скільки це «частково»? Що означає «нормальний»? Що означає слово «повинен»?

Останнє речення 0xQuit звучало так: «Це величезний удар по концепції DeFi». Концепція DeFi базується на такому принципі: ваші активи, ваші правила, і ніхто не може приймати рішення від вашого імені за вашою спиною.

Ці рішення були прийняті протягом останніх шести місяців у рамках пропозицій форуму з питань управління. Ніхто з хакерів не проник у систему методом грубої сили, і жодна окрема уразливість коду не зумовила такий результат. Саме постійне прагнення до «ефективності», ігнорування «сигналів» та вирішальний період бездіяльності разом призвели до прийняття цього законопроекту. Вартість управління в кінцевому рахунку лягає на плечі тих, хто не брав участі в управлінні і навіть не знав про те, що воно взагалі відбувалося.

Код виконався відповідно до затвердженого плану. Рахунок було надіслано тим, хто не брав участі в цих затвердженнях.