Анализ инцидента ликвидации на Aave: неправильная настройка оракула CAPO привела к потере 345 ETH

11 марта 2026 года децентрализованный протокол кредитования Aave столкнулся с ошибкой конфигурации в ценовом оракуле CAPO, из-за которой цена обернутого stETH была занижена примерно на 2,85%. Эта некорректная оценка спровоцировала ликвидацию позиций на 34 аккаунтах, что привело к суммарному убытку около 345 ETH. Хотя сам протокол Aave не получил проблемных долгов и пообещал полностью компенсировать пострадавшим пользователям, этот инцидент стал поводом для глубокого переосмысления в отрасли безопасности DeFi-оракулов и механизмов управления рисками. В данной статье представлен хронологический разбор событий и многомерный анализ, позволяющий оценить масштаб и потенциальные последствия сценария, когда «система безопасности наносит непреднамеренный ущерб».

Обзор события: рефлексивный ущерб от защитного механизма

11 марта 2026 года (UTC+8) в протоколе Aave произошла временная недооценка wstETH из-за несогласованности внутренней конфигурации ценового оракула CAPO. Это расхождение привело к тому, что стоимость залога для некоторых заемщиков с высоким плечом была занижена, их позиции оказались ниже порога ликвидации, и в результате были принудительно ликвидированы около 10 938 wstETH на 34 адресах пользователей. Ликвидаторы получили примерно 499 ETH прибыли. Основная команда Aave и казначейство DAO заявили, что покроют оставшиеся убытки пострадавших пользователей, установив лимит в 345 ETH.

От ошибки конфигурации к ликвидации

В центре этого инцидента находится оракул CAPO, разработанный Aave для предотвращения манипуляций ценой. Основной механизм CAPO устанавливает верхнюю границу скорости роста цены актива («speed limit»), чтобы не допустить быстрых атак на повышение стоимости. Оракул использует два ключевых внутренних параметра: один отслеживает обновления лимита скорости, второй применяется для фактических расчетов цены.

Согласно разбору от Chaos Labs, события развивались следующим образом:

• Обновление конфигурации: команда управления рисками провела стандартное обновление параметров оракула CAPO для wstETH.
• Десинхронизация внутренних параметров: во время обновления два основных состояния оракула утратили синхронность. Один параметр отставал из-за встроенного механизма ограничения скорости, второй считался полностью обновленным.
• Ошибка расчета цены: из-за этой десинхронизации система использовала некорректные базовые значения и ставки при вычислении цены wstETH, что привело к занижению на примерно 2,85% относительно рыночной цены.
• Срабатывание ликвидации: хотя отклонение в 2,85% не затронуло большинство пользователей, оно снизило коэффициенты залога заемщиков с высоким плечом в E-Mode (Efficient Mode) ниже порога ликвидации.
• Автоматическая ликвидация: сетевые боты мониторинга обнаружили возможность и быстро инициировали ликвидации, закрыв позиции 34 пользователей.

Источник: Aave

Анализ данных: оценка миллионного убытка

Ключевые данные по инциденту представлены ниже, что позволяет наглядно оценить масштаб и влияние события:

Структурно этот инцидент выявил тонкую уязвимость в системе управления рисками Aave: сложный защитный механизм, созданный для борьбы с внешними атаками, стал источником внутреннего риска из-за сложности управления состояниями. CAPO был предназначен для противодействия манипуляциям рынком, но проверки согласованности внутренних параметров не учитывали все крайние случаи, что привело к неожиданной «самоатаке» при стандартном обновлении. Хотя чистый убыток в 345 ETH незначителен относительно общего объема заблокированной стоимости (TVL) Aave, характер триггера — «непреднамеренный ущерб от системы безопасности» — оказывает влияние на доверие рынка, выходящее за рамки материальных потерь.

Ответственность и дебаты о компенсации

После инцидента в сообществе возникли основные точки зрения и темы для обсуждения:

• Сочувствие и консенсус по компенсации: доминирует мнение, что пользователи понесли убытки из-за ошибки протокола, а не своих действий, поэтому DAO Aave должен полностью компенсировать ущерб. Основатель Aave Стани Кулечов и основатель Chaos Labs Омер Голдберг быстро пообещали «полностью возместить» всем пострадавшим, что помогло снизить тревожность в сообществе.
• Дебаты о ответственности управляющего рисками: участница сообщества Фрида подняла на форуме управления вопрос о том, должна ли Chaos Labs, как управляющий рисками и ответственная за конфигурацию оракула, нести часть финансовой ответственности. Это отражает продолжающееся внимание к границам ответственности между «поставщиками услуг» и «казначейством DAO». На данный момент план компенсации финансируется из резервов DAO Aave, участие Chaos Labs остается неясным.
• Справедливость механизма ликвидации: несмотря на то, что ликвидации были вызваны ошибкой оценки, боты (например, BuilderNet) оперативно среагировали и получили почти 500 ETH прибыли. Это вновь подняло дискуссию о MEV (Miner Extractable Value) и справедливости ликвидационных механизмов при «аномальных» рыночных условиях. Некоторые считают, что боты извлекли выгоду из ошибки протокола, и эта прибыль должна принадлежать пострадавшим пользователям.

От «инцидента безопасности» к «системному переосмыслению»

Изначально основное внимание уделялось заголовку «Aave потерял $26 млн из-за ликвидаций пользователей вследствие ошибки оракула» — формулировка, которая привлекает внимание. Однако по мере появления деталей фокус сместился:

• От «крупного убытка» к «ограниченному чистому убытку»: сумма $26 млн отражает общий объем ликвидированных позиций, а не реальные потери пользователей. После учета прибыли ликвидаторов и возвращенных средств реальный чистый убыток для пользователей ограничен 345 ETH (около $1,1 млн). Быстрое обещание Aave покрыть убытки изменило восприятие с «пользователи потеряли все» на «протокол берет на себя ответственность за внутреннюю ошибку».
• От «ошибки дизайна» к «ошибке конфигурации»: причина была определена как «некорректная конфигурация», а не фундаментальный «дефект дизайна» механизма CAPO. Это важно: проблема может быть решена путем улучшения процессов обновления параметров и усиления проверки внутренних состояний, а не полной переработкой системы оракула.

Тем не менее, анализ «ошибки конфигурации» раскрывает более глубокую проблему: это разновидность системного риска, возникающая на стыке сложности системы и человеческих операций. Перекладывание вины на «ошибку оператора» может снизить общественное внимание, но также затушевывает корневую причину — когда модели риска становятся достаточно сложными, управление их внутренними состояниями требует столь же строгих механизмов контроля.

Влияние на отрасль: сигнал для LST и кредитных протоколов

Хотя данный инцидент не нанес существенного финансового ущерба Aave, его последствия для отрасли значимы:

• Проверка доверия к LST как основному залогу: wstETH, ведущий токен ликвидного стейкинга (LST), является одним из важнейших видов залога в DeFi-кредитовании. Событие показало, что даже глубоко интегрированные активы, такие как wstETH, могут столкнуться с нарушением ценообразования из-за внутренних логических ошибок протокола. Другие протоколы, вероятно, пересмотрят свои параметры оценки и рисков для LST-активов.
• Новое измерение безопасности оракулов: ранее безопасность оракулов была сосредоточена на надежности и устойчивости к манипуляциям данных вне блокчейна. Инцидент с Aave сместил внимание к «логической безопасности» и «безопасности управления состояниями» внутри самого модуля оракула. Это напоминание о том, что сложные вычислительные модули на блокчейне могут стать новыми точками атаки или сбоя.
• Управление рисками и DAO: событие подчеркнуло тонкие отношения между профессиональными поставщиками управления рисками (например, Chaos Labs) и конечной властью DAO. Определение ответственности поставщиков услуг и балансировка с обязательствами казначейства при возникновении убытков станут ключевыми темами будущего управления DAO.

Анализ сценариев: возможные пути развития

Исходя из текущих данных, можно выделить несколько логичных сценариев:

• Сценарий 1: гладкая компенсация и улучшение процессов. DAO Aave одобряет предложение о компенсации, пострадавшие пользователи получают возмещение в размере 345 ETH. Инцидент стимулирует Aave и Chaos Labs оптимизировать процесс обновления параметров оракула CAPO, внедрить более строгие проверки согласованности внутренних состояний и симуляции на тестнете. Краткосрочно рыночные настроения ухудшаются, но по мере выплаты компенсаций и объявления улучшений цена AAVE (109,18 $ на 11 марта, объем торгов за 24 часа — 3,53 млн $) стабилизируется. Это наиболее вероятный сценарий.
• Сценарий 2: споры о компенсации и тупик в управлении. Дискуссия о источнике компенсационных средств — особенно о том, должна ли Chaos Labs разделить финансовую нагрузку — вызывает жаркие споры в DAO, что приводит к задержке или изменению предложения о компенсации. Это может привести к юридическим угрозам или публичному недовольству со стороны пострадавших пользователей, нанести репутационный ущерб Aave и поставить под вопрос эффективность управления DAO. Вероятность этого сценария средняя.
• Сценарий 3: усиление регуляторного и аудиторского контроля. Инцидент привлекает внимание регуляторов или ведущих аудиторских компаний к «эффективности внутреннего контроля» DeFi-протоколов. В будущем аудит крупных кредитных протоколов может выйти за рамки проверки смарт-контрактов и включать логический аудит внутренних моделей риска, что повысит затраты на соответствие. Вероятность этого сценария невысока, но последствия могут быть масштабными.

Заключение

Ошибка конфигурации оракула CAPO в Aave — классический пример того, как «сложность системы оборачивается против нее самой». Хотя экономический ущерб был относительно небольшим, инцидент стал сигналом для всей индустрии DeFi: по мере усложнения и интеллектуализации моделей риска, согласованность и управляемость внутренних состояний системы должны быть в центре внимания. Быстрая реакция и обязательство по компенсации со стороны команды Aave и DAO демонстрируют зрелость ведущих протоколов в управлении кризисами. Однако настоящий экзамен — сможет ли отрасль извлечь уроки из этого события, повысить устойчивость систем и избежать новых «непреднамеренных последствий», вызванных самими механизмами безопасности в будущем.