Только что узнал о чем-то безумном, что произошло в Aave 11 марта. Случилось событие ликвидации примерно на $27 миллионов, но в этом-то и суть — не было ни обвала рынка, ни взлома, ни чего-либо подобного. Просто чистая механика работы протокола пошла не так.

В чем была странность? Это не было какой-то внешней атакой или манипуляцией оракулом. Chaos Labs, риск-партнер Aave, вгрызлись в проблему и выяснили, что виновником на самом деле оказалась функция безопасности, которая дала сбой. Они называют это CAPO — Capped Asset Price Oracle. Звучит как страж, правда? Только на этот раз страж стал могильщиком.

И вот что произошло. Aave создал CAPO специально, чтобы остановить манипуляции с ценами на токены, приносящие доход, такие как wstETH. Система использует два параметра, чтобы рассчитать максимальную допустимую цену: снимок обменного курса (ограниченный ростом на 3% каждые 3 дня) и временную метку снимка. Звучит надежно. Но они оказались рассинхронизированы.

Курс обмена пытался обновиться с 1.1572 до 1.2282, но ограничение по курсу позволяло дойти только до 1.1919. Тем временем временная метка просто перескочила вперед, чтобы совпасть со старой точкой привязки без ограничений. Итог? CAPO рассчитал максимальную допустимую цену wstETH примерно на 1.1939 — примерно на 2.85% ниже реальной рыночной цены.

В обычных условиях разница в 2.85% — это просто шум. Но в E-Mode Aave пользователи могут брать займы с безумными коэффициентами кредитного плеча, поэтому позиции оказываются сверхчувствительными к колебаниям цен. Недооценка протоколом запустила цепную реакцию. Примерно 34 аккаунта, на которых было около 10,938 wstETH, были ликвидированы в течение нескольких часов. Ликвидационные боты забрали 116 ETH в виде награды, арбитражники вытащили еще 382 ETH из-за ценового разрыва, а затронутые пользователи потеряли в общей сложности около 499 ETH — примерно $1.27 миллиона.

Хорошая новость: просроченных долгов (bad debts) не возникло, протокол остался «чистым», удар пришелся только по пользовательским позициям. Генеральный директор Chaos Labs Омер Голдберг сразу же взял обязательство компенсировать все полностью. Они уже восстановили 141.5 ETH и планируют покрыть все затронутые аккаунты примерно 345 ETH ($870K) из казны DAO плюс собственные средства на восстановление.

Техническая реакция тоже была быстрой. Они временно ограничили заимствования wstETH, вручную заново выровняли параметры снимка с помощью механизма Risk Steward, а затем восстановили лимиты до нормальных (Core: 180,000, Prime: 70,000).

Но вот что заставило меня задуматься. Проблемы с оракулами уже раньше ломали DeFi — в феврале Moonwell выставил цену на cbETH $1 вместо $2,200, из-за чего появились $1.8 миллиона bad debts. Mango Markets, Euler Finance — список можно продолжать. Отличие инцидента в Aave в том, что проблема была не в плохих внешних данных. Уязвимость создал именно защитный слой, который должен был предотвращать манипуляции. Щит стал клинком.

Это неприятная реальность «Code is Law» («код — это закон»). Смарт-контракты исполняются автоматически, без вмешательства человека, а значит, рассинхронизация параметров может запустить необратимые операции еще до того, как кто-то заметит. Компенсация от Chaos Labs может устранить непосредственный ущерб, но настоящее решение должно появиться на уровне инженерии — более надежная проверка параметров, проверки на согласованность, мониторинг в реальном времени, который выявляет проблемы до того, как они перерастут в каскад.

Это напоминание о том, что в DeFi даже меры предосторожности могут стать угрозой.