#Aave #rsETH #RiskManagement #КриптоБезопасность

Безопасность – под контролем ли кризис Aave?
Общий ответ отрасли, последствия для рисков DeFi

18 апреля 2026 года протокол ликвидного повторного залога Kelp DAO понес крупнейшую в этом году утечку в DeFi. Злоумышленник использовал уязвимость в мосте Kelp, работающем на LayerZero, и создал примерно 116 500 rsETH стоимостью около $200M миллионов без внесения исходного ETH. Не обеспеченные токены затем были заложены в Aave V3 для заимствования примерно $292 миллионов в WETH и wstETH.

Результат: примерно $236 миллионов в плохом долге, находящемся на Aave, в зависимости от распределения убытков по цепочкам. За 48 часов из Aave ушло более $124 миллиардов депозитов. Общая заблокированная стоимость снизилась с 26,4 миллиарда до 17,9 миллиарда долларов. Общий TVL DeFi снизился более чем на $230 миллиардов.

1. Что произошло и почему Aave понес убытки
Атака не скомпрометировала смарт-контракты Aave. Риск исходил от rsETH, ликвидного токена повторного залога, принимаемого в качестве залога. После истощения моста rsETH потерял свою поддержку. Его цена рухнула, превратив здоровые кредиты в убыточные позиции, которые нельзя было ликвидировать. Протокол Guardian Aave заблокировал рынки rsETH, wrsETH и WETH и установил нулевой коэффициент заемного соотношения.

Использование WETH достигло 100%. Пользователи не могли вывести средства. Процентные ставки по ETH, USDT и USDC выросли до 8% и 14%. Протокол не был взломан, но принял на себя системный риск внешнего актива.

2. Реакция: Объединение DeFi
Отрасль среагировала быстро. Была сформирована скоординированная инициатива помощи под названием «DeFi United» для восстановления поддержки rsETH. Основные вклады на данный момент:
• DAO Aave: предложил 25 000 ETH, примерно $9 миллионов, из своего казначейства. Основатель Stani Kulechov лично обещал 5 000 ETH. • Mantle: предложил кредитный лимит до 30 000 ETH для помощи Aave в поглощении оставшегося плохого долга. • Фонд EtherFi: 5 000 ETH. • DAO Lido: до 2 500 stETH. • Фонд Golem: 1 000 ETH. • Совет безопасности Arbitrum: заморозил и переместил 30 700 ETH, связанные с эксплуататором, сейчас по предложению управления планируется их выпуск в фонд восстановления.
Включая индивидуальные и протокольные обещания, фонд составляет примерно 69 534 ETH, или около $13 миллионов. С учетом замороженных ETH Arbitrum аналитики оценивают, что дефицит может быть полностью покрыт, если все предложения пройдут.

Сам Kelp DAO сообщил о восстановлении 73 700 ETH, хотя на конец прошлой недели оставался разрыв примерно в 89 500 ETH.

3. Устойчив ли протокол? Три сигнала

Скорость локализации: Aave остановил рынки в течение часа после эксплойта и предотвратил дополнительные заимствования. Вектор атаки находился вне протокола, однако меры по управлению рисками сработали быстро.

Возможности казначейства: Казначейство DAO Aave содержит $58 миллионов, включая $161 миллионов в активы, связанные с ETH. Предложение на 25 000 ETH — одно из крупнейших в истории DeFi по обеспечению казначейства в ответ на инцидент. Модуль Umbrella Safety до события хранил около $181 миллионов.

Координация между протоколами: впервые несколько DAO, L2 и инфраструктурных провайдеров объединили средства в совместный фонд для поддержки одного протокола в случае плохого долга. Этот прецедент важен: он показывает, что управление может распределять капитал масштабно под давлением.

4. Доверие не полностью восстановлено
Цифры показывают прогресс, но доверие восстанавливается медленнее. Баланс стекинга Aave снизился на 33% с $62 миллиардов до $50 миллиардов за три дня. Общий TVL в DeFi снизился более чем на 27% с начала года. Аналитики отмечают, что повторяющиеся утечки снижают интерес институциональных инвесторов.

Эксплойт также выявил структурный риск: мосты остаются самым слабым звеном. Атака использовала конфигурацию DVN 1 из 1 на LayerZero, где один скомпрометированный проверяющий мог подписать мошенническое сообщение. Ключи не были украдены. Ошибка в смарт-контракте отсутствует. Только саботаж инфраструктуры.

5. Почему управление рисками по-прежнему важно
• Стандарты залога: активы с зависимостью от одного моста создают системную экспозицию. Протоколы сейчас переоценивают, какие токены-мосты подходят в качестве залога. • Децентрализация DVN: LayerZero и другие переходят к многоверификационной настройке. Flare расширил число проверяющих с двух до четырех после инцидента. • Буферы по плохому долгу: управление Aave проверяет, могут ли казначейства и модули безопасности покрывать экстремальные ситуации без социального распределения убытков. Голосование по расходам в 25 000 ETH — один из ключевых факторов.

Aave покрыла или подготовила покрытие примерно 80% убытка за счет восстановленных средств, вкладов DAO и обещаний экосистемы. Основные контракты протокола не были взломаны, а экстренные меры предотвратили более масштабную цепную реакцию.

Это демонстрирует сильную реакцию протокола и реальную устойчивость под давлением. Но этот случай также напоминание: в DeFi риск не исчезает, а трансформируется. Мосты, оракулы и токены ликвидного повторного залога — новые уровни доверия. Их управление — теперь критическая инфраструктура.

Доверие не полностью разрушено, но и не полностью восстановлено. Как Aave завершит работу с плохим долгом, как rsETH восстановит поддержку и как управление обновит политику залога — решит, станет ли это примером восстановления или предупреждением о сложности.
$45