Коли захист ліквідації Aave дав збої: всередині $27 -мільйонної помилки Oracle

У березні 2024 року Aave зазнав безпрецедентної події ліквідації, яка спростувала традиційні наративи про катастрофи у DeFi. Без ринкового краху, без зовнішніх атак і без компромісу цілісності основної системи, близько 27 мільйонів доларів користувацьких позицій були примусово ліквідовані всього за кілька годин. Інцидент шокував спільноту, але справді вражаючим було те, хто став винуватцем: не зловмисник, а захисний механізм, створений для запобігання саме такого сценарію. Загалом 34 облікові записи користувачів, що тримали приблизно 10 938 wstETH, виявилися ліквідованими через боти в мережі, проте сама протокольна система не зазнала жодних збитків — свідчення міцної архітектури Aave.

Ризик-менеджментова компанія Chaos Labs першою оприлюднила офіційну заяву через свого CEO Омера Голдберга, запевнивши, що «збитків не зафіксовано, і всі постраждалі користувачі отримають повне відшкодування». Засновник Aave Labs Стані Кулєчов підтвердив цю позицію у соцмережах, уточнивши, що основні системи протоколу залишилися цілісними. Однак під цими запевненнями приховувався складний технічний наратив, який розкрив несподівані вразливості у тому, як DeFi-системи керують ліквідаціями.

Коли запобіжники стають каталізаторами ліквідації

Причиною стала спеціалізована оракульна механіка під назвою CAPO (Capped Asset Price Oracle), спочатку розроблена для запобігання маніпуляціям з цінами. Aave створив CAPO саме для боротьби з ситуаціями, коли зловмисники штучно завищують курси активів, що приносять доход, таких як wstETH — що постійно накопичують стейкінгові винагороди — тим самим штучно завищуючи оцінку застав.

Механізм базувався на двох синхронізованих параметрах: snapshotRatio (знімок курсу, обмежений максимальним зростанням 3% кожні 3 дні) і snapshotTimestamp (час знімка, без обмежень). Обидва мали оновлюватися синхронно; будь-яка дезінхронізація могла спричинити різке відхилення розрахункового максимально допустимого курсу від реальних ринкових цін.

Саме так і сталося. Система намагалася підвищити snapshotRatio з приблизно 1.1572 до цілі 1.2282, але обмеження в мережі дозволили лише збільшення до 1.1919. Одночасно timestamp оновився без обмежень з семиденним запізненням. Така асинхронність двох взаємозалежних параметрів означала, що CAPO розрахував максимально допустимий курс wstETH приблизно 1.1939 — приблизно на 2.85% нижче за реальні ринкові ціни.

За нормальних умов таке відхилення могло б здаватися незначним шумом. Однак режим E-Mode (Режим ефективності) у Aave суттєво змінює цю логіку. E-Mode дозволяє користувачам використовувати значно вищі рівні кредитного плеча, створюючи позиції надзвичайно чутливі до цінових коливань. Занижена оцінка wstETH у протоколі спричинила, що багато безпечних раніше позицій перейшли межу ліквідації, і боти автоматично почали ліквідувати ці позиції.

З точки зору прибутку, ліквідатори отримали близько 116 ETH у стандартних винагородах, тоді як арбітражники заробили додатково приблизно 382 ETH, використовуючи різницю між заниженою оракульною ціною та реальною ринковою. Загалом, близько 499 ETH (оцінкою приблизно 1.27 мільйона доларів на той час) було виведено з постраждалих позицій користувачів, тоді як сучасна ціна ETH близько 2.11 тисяч доларів дає додатковий контекст цим цифрам.

Реакція на ліквідацію та відшкодування: зобов’язання Chaos Labs

Інцидент поставив Chaos Labs у складне становище — як ризик-менеджер, частково відповідальний за налаштування оракулів, вони швидко перейшли у режим ліквідації збитків. Омера Голдберг публічно пообіцяв, що кожен постраждалий користувач отримає повне відшкодування, водночас визнавши, що помилка у конфігурації оракула на рівні інфраструктури протоколу стала «серйозним уроком».

Процес відшкодування проходив у кілька етапів. Спершу команда зменшила ліміти позик для постраждалих позицій wstETH (Core і Prime) до 1, вручну скоригувавши два параметри знімка через механізм Risk Steward Aave. Після завершення корекцій ліміти повернулися до початкових значень (Core: 180 000, Prime: 70 000).

Для виплати компенсацій Chaos Labs відшкодували приблизно 141.5 ETH через BuilderNet, додатково залучивши кошти з казни Aave DAO. Загальна сума компенсацій склала близько 345 ETH (приблизно 870 000 доларів за історичними цінами), що мало покрити всі постраждалі рахунки. Це рішення демонструє прагнення екосистеми зберегти довіру користувачів попри технічний збій.

Вивчення збоїв оракулів: шаблон у історії ліквідацій DeFi

Цей інцидент не був ізольованим. Екосистема DeFi неодноразово стикалася з катастрофами, пов’язаними з оракулами, що спричиняли каскадні ліквідації та системні збитки. У лютому 2024 року, за кілька тижнів до цього, протокол Moonwell зазнав неправильного налаштування оракула, через що cbETH тимчасово оцінювався приблизно у $1 (при ринковій ціні близько $2200), що спричинило ліквідації на суму майже 1.8 мільйона доларів у збитках протоколу. Раніші випадки — маніпуляції Mango Markets і вразливість Euler Finance — завдали збитків у сотні мільйонів у сумі.

Проте ситуація з Aave мала свої особливості. Попередні збої оракулів зазвичай виникали через зовнішні порушення даних або маніпуляції цінами. Цей каскад ліквідацій був зумовлений внутрішньою безпековою архітектурою — саме механізмом, створеним для запобігання маніпуляціям. За певних налаштувань параметрів цей захисний шар став шкідливим інструментом.

Парадокс «Код — це закон» у недосконалих системах

Філософія DeFi стверджує, що «Код — це закон»: смарт-контракти виконуються автономно, без участі людини, створюючи прозорі та бездовірливі системи. Однак у цій доктрині є вразливість: коли параметри налаштовуються неправильно через технічну помилку, а не зловмисний намір, код виконується з такою ж безжальністю. Не існує кнопок паузи, механізмів людського втручання. Постраждалі користувачі були ліквідовані ще до того, як могла з’явитися будь-яка попереджувальна ознака.

Зобов’язання Chaos Labs щодо компенсації вирішують негайний економічний збиток, але не усувають технічну проблему. Справжнє зміцнення системи вимагає додаткових заходів безпеки: суворих протоколів перевірки оновлень параметрів, систем моніторингу реального часу для перевірки цілісності даних на ланцюгу та систем раннього попередження, здатних сповіщати адміністраторів до поширення помилок у каскад ліквідацій.

Інцидент з ліквідацією у Aave, хоча й швидко вирішений і з повним відшкодуванням, висвітлює критичну вразливість, що поширюється на весь DeFi. Оскільки механізми ліквідації стають дедалі складнішими, а структура застав — більш комплексною, ризик того, що захисні механізми самі стануть вектором для ліквідацій, зростає пропорційно. Індустрія має не лише запобігати цим помилкам, а й проектувати системи аварійного реагування, що працюватимуть коректно навіть при збої основних систем.