Недавние происшествия DeFi на Aave подчеркивают уязвимости протокола в условиях высоких ставок.
Инцидент со скольжением на $50M. Трейдер, подозреваемый в том, что это Гаррет Джин, попытался обменять ~$50.43M aEthUSDT (USDT с процентным доходом от Aave) на aEthAAVE через официальный интерфейс Aave.
Направленный через CoW Swap к AMM, таким как Uniswap V3 и SushiSwap, большой ордер переполнил мелкие ликвидные пулы (миллионы в TVL), вызвав сильное скольжение и истощение резервов AAVE, а также резкое повышение цен.
Игнорируя предупреждения интерфейса, пользователь подтвердил на мобильном устройстве, получив всего 324 AAVE (~$36K при $110/AAVE) вместо ожидаемых ~458K.
MEV-боты захватили ~$10M арбитража; блок-билдеры взяли $27-34M комиссии; LP/продавцы получили прибыль — никакого взлома, только механика DeFi.
Станислав Кулечов подтвердил в X, что возвращает ~$600K комиссий и обещает обновления интерфейса, такие как ограничения на проскальзывание.
Усложняя ситуацию, ошибка конфигурации CAPO-оракула от Chaos Labs — несовпадение snapshotRatio и временной метки — привела к тому, что соотношение wstETH/stETH оказалось на 2.85% ниже рыночного (1.1939 против 1.228), что ошибочно вызвало ликвидацию $27M в wstETH по 34 аккаунтам всего за 15 минут.
Никаких плохих долгов не возникло, асинхронные и синхронные несовпадения устаревших push-оракула приглашают к таким рассинхронизациям; архитектуры вытягивания, такие как PythNetwork с доверительными интервалами, могут предотвратить искусственные падения.
В дополнение к внутренним проблемам Aave, предложение об обновлении Aave V4 вызвало широкие дискуссии в сообществе о дорожной карте разработки. Предложение в конечном итоге прошло с поддержкой 52.58%, отражая разногласия в мнениях сообщества.
Этот голос вызвал обсуждения о распределении веса токенов и обратной совместимости для V3, а также привел к функциональным корректировкам и выходу некоторых ранних ключевых участников (таких как BGD Labs и ACI). Это напоминает индустрии о том, что управление DAO в период обновления протокола требует более комплексных механизмов координации заинтересованных сторон.
Тем временем, рынок Horizon, сосредоточенный на RWA, несмотря на то что достиг $1B депозитов, столкнулся с ранними трениями в управлении по поводу долей доходов и регуляторных барьеров, что замедлило полный импульс.
Это не взломы, а усиленные ошибки. Иллюзии интерфейса маскируют риски и ошибки конфигурации в риск-оракулах, плюс самообусловленные разрывы в управлении.
Недавние события в Aave не являются основными уязвимостями безопасности в смарт-контрактах, а цепными реакциями, вызванными недостаточными механизмами защиты фронтенда, ошибками конфигурации внешних оракулов и расхождениями в мнениях по управлению.
С увеличением сложности протоколов DeFi, улучшение оборонительного дизайна фронтенда, улучшение механизмов обзора внешних зависимостей и создание более согласованных рамок управления будут ключом к зрелости протокола на следующем этапе.
Статья
Как $50 миллионов мгновенно испарились в DeFi
--
Отказ от ответственности: на платформе опубликованы материалы и мнения третьих лиц. Не является финансовой рекомендацией. Может содержать спонсируемый контент. См. Правила и условия.