Найдорожча одноклацкова підтвердження в історії DeFi: 50 млн доларів миттєво випарувалися в блокчейні

Автор: 137Labs

12 березня анонімний китовий інвестор ініціював через фронтенд-інтерфейс @aave протоколу величезну операцію обміну: намагався купити управлінські токени AAVE приблизно на 50,43 мільйони доларів США в USDT. Однак через екстремальний скіпінг він отримав лише близько 3,6 тисяч доларів США у вигляді 324–327 aEthAAVE, що миттєво призвело до втрати майже 50 мільйонів доларів. Ця подія швидко обговорювалася в X і головних медіа, ставши «чорною гумористичною» попереджувальною історією для користувачів DeFi. У цій статті, шляхом детального аналізу даних і ланцюга подій, ми розкриємо ціну однієї натискання.

Фактичний опис події: хронологія та ключові деталі

Спершу об’єктивно відтворимо хід цієї події. Помилка сталася в мережі Ethereum на основі протоколу Aave V3 — одного з провідних світових платформ DeFi для кредитування, з загальним заблокованим обсягом понад кілька сотень мільярдів доларів. Користувач через офіційний фронтенд Aave, використовуючи CoW Protocol (децентралізований маршрутизатор ордерів), виконав обмін.

Ключова хронологія базується на даних з блокчейну та офіційних заявах:

• 12 березня близько 12:45 за UTC: користувач ініціює обмін, вводячи 50,43 мільйони доларів США у USDT (еквівалент aEthUSDT).
• 12:47 за UTC: інтерфейс виявляє, що обсяг ордеру значно перевищує глибину пулу, з’являються багато попереджень із позначками «надзвичайно великий ордер», «ризик екстремального скіпінгу», «потрібне ручне підтвердження».
• 12:48 за UTC: користувач підтверджує на мобільному пристрої, продовжуючи операцію. Транзакція потрапляє до мережі, а на Etherscan видно, що частина втрат була захоплена MEV-ботами (приблизно 9–10 мільйонів доларів США у вигляді прибутку від різниці цін).
• Близько 13:30 за UTC: Стані Кулєчов публікує заперечення, підкреслюючи, що протокол і маршрутизація CoW працюють нормально, користувач прийняв ризики, і він зв’яжеться з користувачем для повернення 600 тисяч доларів США.
• Ранок 13 березня: подія поширюється у Crypto Twitter і головних медіа, сотні обговорень, обсяг торгів AAVE за 24 години збільшився на 15–20%.

В підсумку було отримано лише 327,2 AAVE (поточна ціна близько 111 доларів США, що становить приблизно 36,5 тисяч доларів США), втрати склали 99,93%. У порівнянні з випадками 2022 року, наприклад, Mango Markets або недавніми помилками оракула Aave, що призвели до ліквідацій на 27 мільйонів доларів, цей випадок — чисто помилка користувача, без вразливостей у протоколі.

Ця хронологія базується на даних з блокчейну та офіційних заявах. Після розголосу події менш ніж за 24 години ціна токена AAVE короткочасно коливалася, але загалом зросла більш ніж на 6%, що свідчить про збереження довіри ринку до протоколу.

Помилка користувача та відповідальність: чия «парта»?

Головний спір навколо цієї події — хто несе відповідальність. Основний принцип DeFi — «ваш ключ, ваш гаманець, ваша відповідальність» — користувач має повний контроль, але й несе всі наслідки. Цей кит очевидно зробив грубу помилку: ігноруючи явні попередження про скіпінг, він здійснив великомасштабну одноразову операцію на активі з низькою ліквідністю.

Однак критики зазначають, що протокол і агрегатори (як CoW) у своєму дизайні не є ідеальними. Інтерфейс Aave має попередження, але досвід на мобільних пристроях може бути неінтуїтивним; алгоритми маршрутизації CoW не змогли ефективно уникнути ризиків «поверхневих» пулів, що призвело до «зачеплення» ордерів.

Відповідь Стані Кулєчова підкреслює: «Користувач підтвердив ризики вручну, ми не няні.»

Проте думки спільноти розділилися: одні вважають це чистою помилкою користувача, інші закликають протокол посилити механізми захисту, наприклад, автоматичний ліміт скіпінгу або підказки щодо розбиття великих ордерів.

У порівнянні з історичними подіями, наприклад, ліквідаціями Mango Markets у 2022 році через баги протоколу, цей випадок більше схожий на «людську помилку + обмеження системи».

Ліквідність у DeFi та ризики скіпінгу: як запобігти?

Спершу про скіпінг: це різниця у ціні, що виникає при виконанні великого ордеру через недостатню ліквідність.

У DeFi пулі (як Uniswap або кредитному пулі Aave) глибина не безмежна — особливо для деривативних активів, таких як aEthAAVE, обсяг пулу обмежений, і один великий ордер на 50 мільйонів доларів — це як кит, що натрапив на мілину.

Якщо ордер занадто великий і «пробиває» глибину пулу, ціна миттєво падає. Боти MEV ще більше посилюють втрати, використовуючи front-running або sandwich attack, щоб захопити частину прибутку.

Як цього уникнути?

1. Розбивати ордер на частини: виконувати кілька менших транзакцій замість однієї великої;

2. Використовувати лімітні ордери: встановлювати мінімальну ціну прийняття;

3. Перевіряти глибину пулу: через DefiLlama або Dune Analytics;

4. Обирати активи з великим пулом: наприклад, обмінювати ETH безпосередньо, а не через обгортки;

5. Вибирати агрегатори: такі як 1inch або Paraswap, що можуть пропонувати кращі маршрути.

MEV і арбітраж у мережі: роль «невидимих вампірів»

У цій події втрати — не всі «зникли»: близько 10 мільйонів доларів були захоплені MEV-ботами. MEV — це «сіра зона» Ethereum: майнери або валідатори перерозподіляють транзакції, щоб отримати додатковий прибуток. У цьому випадку бот виявив великий ордер, купив aEthAAVE заздалегідь, щоб підняти ціну, і потім продав, зафіксувавши прибуток.

Це підкреслює проблему справедливості у DeFi: звичайні користувачі легко стають жертвами професійних ботів. Вирішенням є системи, як Flashbots (аукціон MEV) або MEV-Share (спільне розподілення прибутку), але вони ще не ідеальні. Після події спільнота закликає інтегрувати у Aave додаткові інструменти проти MEV для захисту великих транзакцій.

Репутація протоколу Aave і ланцюг недавніх подій: попередження про «чергові помилки»

Це не перший інцидент для Aave. За кілька днів до цього, неправильна конфігурація оракула wstETH у V3 спричинила надмірні ліквідації на 27 мільйонів доларів, викликавши невдоволення користувачів. Хоча Aave швидко виправив ситуацію і компенсував збитки, цей випадок ще більше піддав сумніву його репутацію. Загалом, TVL Aave залишається одним із найвищих у DeFi, але серія подій виявила потенційні вразливості у налаштуваннях оракулів, параметрах ліквідації та UI.

З позитивного — швидка і прозора реакція протоколу: відкритість, часткове відшкодування, збереження довіри спільноти. У порівнянні з конкурентами, наприклад, Compound, це може зміцнити позиції Aave, але часті повтори подібних інцидентів можуть призвести до зменшення довіри інституційних гравців (як-от інтеграція з Anchorage Digital).

//////////////////

Один натиск — і 50 мільйонів зникли. Ця історія нагадує нам: у світі крипти, як у казино, правила прозорі, але жорсткі. Наступне «підтвердження одним натисканням» може бути прямо на вашому екрані. Пам’ятайте: перш ніж натиснути, гляньте уважніше на попередження.