Щойно почув про щось дикe, що сталося на Aave 11 березня. Відбулася ліквідаційна подія на суму близько $27 мільйонів, але ось у чому фішка — не було жодного краху ринку, жодного хаку, нічого. Лише чиста механіка протоколу, яка дала збій.

У чому була дивина? Це не була якась зовнішня атака чи маніпуляція оракулом. Chaos Labs, партнер Aave з ризиків, розкопав це й з’ясував, що винуватцем насправді була функція безпеки, яка відпрацювала «в мінус». Вони називають її CAPO — Capped Asset Price Oracle. Звучить як охоронець, правда? Але цього разу охоронець став жнецем.

Ось що сталося. Aave створив CAPO спеціально, щоб зупиняти маніпуляції цінами на токени з доходністю, як-от wstETH. Система використовує два параметри для розрахунку максимально допустимої ціни: знімковий обмінний курс (з обмеженням на 3% зростання кожні 3 дні) і знімковий timestamp. Звучить надійно. Але їхні параметри просто розсинхронізувалися.

Обмінний курс намагався оновитися з 1.1572 до 1.2282, але cap на курс дозволяв йому дійти лише до 1.1919. Тим часом timestamp просто стрибнув уперед, щоб відповідати старішій опорній точці без ніяких обмежень. Результат? CAPO порахував максимальну допустиму ціну wstETH приблизно 1.1939 — приблизно на 2.85% нижче за реальну ринкову ціну.

За нормальних умов 2.85% — це просто шум. Але E-Mode Aave дає змогу брати позики з божевільними коефіцієнтами важеля, тож позиції надзвичайно чутливі до коливань ціни. Недооцінка протоколу запустила каскад. Близько 34 рахунків із приблизно 10,938 wstETH ліквідували за лічені години. Боти ліквідації зібрали 116 ETH у вигляді винагород, арбітражники забрали ще 382 ETH з цінового розриву, а постраждалі користувачі втратили загалом близько 499 ETH — це приблизно $1.27 мільйона.

А ось хороша новина: жодних безнадійних боргів, протокол залишився «чистим», удар припав лише на позиції користувачів. Генеральний директор Chaos Labs Омер Голдберг одразу пообіцяв повну компенсацію. Вони вже відновили 141.5 ETH і планують покрити всі постраждалі рахунки приблизно 345 ETH ($870K) з казни DAO плюс власне відновлення.

Технічна реакція була швидкою теж. Вони тимчасово обмежили позики під wstETH, вручну реалігнули параметри знімка через механізм Risk Steward, а потім повернули ліміти назад до нормального стану (Core: 180,000, Prime: 70,000).

Але ось що змусило мене задуматися. Проблеми з оракулами вже руйнували DeFi раніше — у Moonwell у лютому cbETH оцінили $1 замість $2,200, що спричинило погані борги на $1.8 мільйона. Mango Markets, Euler Finance — список можна продовжувати. Чим інцидент Aave відрізняється, так це тим, що проблема не була в поганих зовнішніх даних. Її створив рівень безпеки, який був побудований, щоб запобігати маніпуляціям. Щит перетворився на клинок.

Це неприємна реальність «Code is Law». Смарт-контракти виконуються автоматично без втручання людини, тож розсинхронення параметрів може запустити незворотні операції ще до того, як хтось помітить. Компенсація від Chaos Labs може виправити негайну шкоду, але справжнє виправлення має відбутися на рівні інженерії — краще підтвердження параметрів, перевірки узгодженості, моніторинг у реальному часі, який підсвічує проблеми до того, як вони переростуть у каскад.

Це нагадування: у DeFi навіть запобіжники можуть стати загрозою.