18 kwietnia 2026 roku, współzależny charakter zdecentralizowanych finansów przekształcił zewnętrzną podatność w katastrofalny kryzys systemowy dla Aave. Wyrafinowany atak na infrastrukturę cross-chain Kelp DAO skutkował kradzieżą ponad 292 milionów dolarów w płynnych tokenach restakingowych. Dzięki wykorzystaniu agresywnych parametrów ryzyka Aave, napastnicy wyciągnęli 272 miliony dolarów w WETH, pozostawiając zwykłych deponentów z permanentnymi stratami i ujawniając fatalne wady architektury hiper-kompozytowej DeFi.
❍ Naruszenie Mostu LayerZero
Kryzys rozpoczął się zewnętrznie w adapterze mostu cross-chain Kelp DAO, zasilanym przez infrastrukturę LayerZero.
Manipulacja: Napastnicy użyli sfałszowanych ładunków wiadomości, aby manipulować złożoną warstwą weryfikacji mostu, przyznając sobie uprawnienia na poziomie administratora.
Zysk: Ta manipulacja techniczna pozwoliła im na wyciągnięcie 116,500 tokenów rsETH bezpośrednio do portfela kontrolowanego przez napastnika.
Ogromna Skala: Ta suma stanowiła około 18 procent globalnej cyrkulującej podaży rsETH, mając wartość ponad 292 milionów dolarów.
❍ Uzbrajanie Efektywności Aave w Trybie
Napastnicy natychmiast skoncentrowali się na głębokich pulach płynności w Aave, wpłacając skradzione rsETH jako zabezpieczenie w obu wdrożeniach V3 i V4.
Maksymalna Ekstrakcja: Wykorzystując Tryb Efektywności Aave (E-Mode), który klasyfikuje rsETH jako silnie skorelowane z natywnym eterem, napastnicy zabezpieczyli wskaźnik pożyczki do wartości wynoszący 93 procent. Pod standardowymi parametrami ryzyka, ten limit pożyczkowy byłby ściśle ograniczony do 72 procent.
Odwodnienie: Ta agresywna parametryzacja umożliwiła pozyskanie 272 milionów dolarów w WETH przeciwko niepokrytemu zabezpieczeniu. Konfiguracja E-Mode pozwoliła im wyciągnąć 62 miliony dolarów więcej, niż standardowe ustawienia by na to pozwoliły.
100 Procent Wykorzystania: Gdy prawdziwa wartość rynkowa rsETH natychmiast załamała się, wewnętrzna logika Aave opóźniła aktualizacje cen. Protokół wchłonął bezużyteczne zabezpieczenie, podnosząc wskaźnik wykorzystania puli WETH do dokładnie 100 procent, blokując prawdziwych depozytariuszy dostępu do ich funduszy.
❍ Niepowodzenie Umbrella i Depozytariusze Stają w Obliczu Obcięć
Strażnicy Aave wdrożyli protokoły awaryjne, wstrzymując wszystkie rynki rsETH i wrsETH, aby powstrzymać zarażenie. To wywołało Umbrella, zautomatyzowany system zarządzania ryzykiem on-chain, który zastąpił przestarzały moduł bezpieczeństwa pod koniec 2025 roku.
Niedobór: Umbrella automatycznie spaliła swoje stakowane aktywa, aby pokryć zły dług, ale skarbiec miał tylko 50 milionów dolarów wartości aWETH dostępnych do natychmiastowego zredukowania.
Luka Finansowa: Z całkowitym złym długiem szacowanym na między 177 milionów a 280 milionów dolarów, protokół zmierzył się z nierozwiązywalną luką finansową w przedziale od 127 milionów do 150 milionów dolarów.
Obowiązkowe Obcięcia: Oficjalna dokumentacja protokołu stwierdza, że gdy aktywa zabezpieczające Umbrella całkowicie się spalą, pozostały deficyt spada bezpośrednio na zwykłych depozytariuszy WETH. Użytkownicy ci teraz stają w obliczu obowiązkowego obcięcia, co oznacza permanentną częściową stratę ich głównych depozytów.
Kilka Przypadkowych Myśli 💭
To wydarzenie jest brutalną lekcją w zakresie niebezpieczeństw związanych z kompozycyjnością DeFi. Podstawowe inteligentne kontrakty Aave działały bezbłędnie, jednak protokół został wciąż doprowadzony do kolan. Eksploatacja miała miejsce całkowicie poza ekosystemem Aave w moście Kelp DAO, ale agresywna wewnętrzna parametryzacja Aave była ostatecznym katalizatorem dla ekstrakcji. Kiedy protokół polega całkowicie na logice matematycznej bez konserwatywnej nadzoru ludzkiego, ekstremalne przypadki brzegowe stają się awariami systemowymi.
Decyzja o przyznaniu 93 procentowego wskaźnika pożyczki do wartości na aktywie pochodnym, takim jak rsETH, priorytetowała efektywność kapitałową ponad przetrwanie. Dla zwykłych depozytariuszy WETH zmuszonych do przyjęcia ogromnego obcięcia, rozróżnienie między bezbłędnym kontraktem inteligentnym a wadliwym modelem ryzyka nie przynosi żadnej pociechy.
