Децентрализованные финансы (DeFi) восстанавливаются после серии сложных эксплойтов, вызвавших острые дебаты о том, могут ли публичные блокчейн-протоколы действительно справляться с системными рисками.
Кризис достиг пика в апреле 2026 года, когда эксплойт моста KelpDAO на базе LayerZero на сумму $292 million спровоцировал разрушительный отток депозитов на $8.45 billion с Aave, крупнейшей в мире платформы децентрализованного кредитования. Массовые выводы средств произошли в течение 48 часов.
Стани Кулечов, основатель и генеральный директор Aave Labs, на мероприятии Proof of Talk в Париже на прошлой неделе защищал математическое превосходство Aave над традиционными финансами. Вместо того чтобы обсуждать операционные сбои, вызвавшие кризис ликвидности на миллионы долларов и едва не пробившие защитные механизмы платежеспособности Aave, Кулечов сместил фокус, представив массовый отток капитала как эмпирическое доказательство «устойчивости» сети.
«Существующая инфраструктура V3 Aave прошла через несколько рыночных циклов», — сказал он, добавив, что «Aave продемонстрировала высокую устойчивость в действительно нестабильные времена».
Однако более внимательный взгляд на апрельский кризис показывает, что выживание Aave зависело не от безупречного автономного дизайна, а от хаотичной, управляемой людьми экстренной спасательной операции на $300 million. Для предотвращения катастрофы потребовался залог в 25,000 ETH от Aave DAO и личный взнос Кулечова в размере 5,000 ETH ($8.4 million).
Перекладывание ответственности
Кулечов отделил код основных смарт-контрактов от сбоев внешней инфраструктуры, затронувших более широкий рынок.
«Что касается разработки... в смарт-контрактах DeFi-протоколов на самом деле очень мало, если вообще есть, проблем», — утверждал Кулечов. «На самом деле это сторонние зависимости, связанные с более традиционной безопасностью, которые могут оказывать влияние на всю сферу DeFi, как мы видели недавно».
Хотя технически это точно, апрельский взлом начался с атаки RPC-спуфинга и DDoS на верифицирующие узлы LayerZero в KelpDAO, а не с ошибки в коде Aave. Аналитики по рискам отмечают, что защита Кулечова обходит более суровую реальность.
Компания по моделированию блокчейн-рисков LlamaRisk позже раскрыла, что хакеры использовали эксплойт для чеканки бесполезного залога, внесения его в Aave и вывода реального обернутого эфира (wETH), оставив Aave V3 с оценочным плохим долгом в $123.7 million. Кроме того, банковские аналитики из Bank Policy Institute указали, что недостаточное страхование Aave показало, как платформы DeFi уязвимы к массовому оттоку вкладов в ущерб своим пользователям.
План для V4
Кулечов признал, что архитектурная угроза заражения требует полного пересмотра. Чтобы предотвратить запуск системных оттоков депозитов из-за будущих сбоев мостов, он отметил, что Aave Labs использует предстоящее обновление V4 для фундаментальной реструктуризации управления рисками.
Кулечов пояснил, что Aave Labs использует предстоящее технологическое обновление V4 для полного перепроектирования управления рисками с целью предотвращения будущих эксплойтов мостов, вызывающих отток депозитов.
Он объяснил, что в новой версии модульная система «hub-and-spoke» заменит традиционные пулы токенов, позволяя основному протоколу автономно взимать локализованные премии за риск и замораживать определенные линии залога до того, как заражение достигнет основных кредитных резервов.
«Когда у вас есть полностью аудируемая и публичная система, любой может проверить код, а также провести различные виды анализа рисков на его основе. Я думаю, это ключ к созданию устойчивого программного обеспечения», — заключил он.
Останется ли вопрос о том, будут ли институциональные инвесторы продолжать игнорировать эти «стресс-тесты» на миллиарды долларов в ожидании запуска V4, определяющим для мейнстримного будущего DeFi.