Аналіз інциденту ліквідації на Aave: помилка налаштування оракула CAPO призвела до втрати 345 ETH

11 березня 2026 року децентралізований протокол кредитування Aave зазнав помилки конфігурації в ціновому оркулі CAPO, що призвело до заниження ціни обгорнутого stETH приблизно на 2,85%. Це неправильне ціноутворення спровокувало ліквідацію позицій у 34 акаунтах, що спричинило загальні втрати близько 345 ETH. Хоча сам протокол Aave не отримав поганого боргу та зобов’язався повністю компенсувати постраждалим користувачам, інцидент став поштовхом для глибокого галузевого переосмислення безпеки DeFi-оркулів і механізмів управління ризиками. У цій статті реконструйовано хронологію подій та проведено багатовимірний аналіз для розкриття повного масштабу й потенційного впливу цього сценарію «система безпеки завдає непередбаченої шкоди».

Огляд події: рефлексивна шкода від захисного механізму

11 березня 2026 року (UTC+8) протокол Aave тимчасово занижив вартість wstETH через невідповідність у внутрішній конфігурації оркулу CAPO. Ця різниця у ціні призвела до недооцінки застави для деяких користувачів із високим плечем, що опустило їхні позиції нижче порогу ліквідації та спричинило примусову ліквідацію близько 10 938 wstETH на 34 адресах користувачів. Ліквідатори отримали приблизно 499 ETH прибутку. Команда Aave та казначейство DAO заявили, що покриють залишкові втрати постраждалих користувачів, з обмеженням у 345 ETH.

Від помилки конфігурації до ліквідації

В основі цього інциденту лежить оркул CAPO, розроблений Aave для запобігання маніпуляціям цінами. Основний механізм CAPO накладає верхню межу на швидкість зростання цін активів («speed limit» — обмеження швидкості), щоб не допустити швидких атак із підняттям цін з боку зловмисників. Він використовує два ключові внутрішні параметри: один відстежує оновлення обмеження швидкості, інший застосовується для фактичного розрахунку ціни.

Згідно з постмортемом від Chaos Labs, події розгорталися так:

• Оновлення конфігурації: команда управління ризиками виконала планове оновлення параметрів оркулу CAPO для wstETH.
• Десинхронізація внутрішніх параметрів: під час оновлення два основні внутрішні стани оркулу втратили синхронізацію. Один параметр відстав через вбудований механізм обмеження швидкості, тоді як інший вважався повністю оновленим.
• Помилка розрахунку ціни: ця десинхронізація призвела до використання неправильних базових значень і ставок при розрахунку ціни wstETH, у результаті чого вона була занижена приблизно на 2,85% від реальної ринкової ціни.
• Триггер ліквідації: хоча відхилення ціни на 2,85% не вплинуло б на більшість користувачів, цього було достатньо, щоб співвідношення застави користувачів із високим плечем у режимі E-Mode (Efficient Mode) опустилося нижче порогу ліквідації.
• Автоматична ліквідація: моніторингові боти мережі виявили можливість і швидко здійснили ліквідації, закривши 34 позиції користувачів.

Джерело: Aave

Аналіз даних: оцінка мільйонних втрат

Ключові дані цього інциденту наведені нижче, що чітко ілюструє масштаб та вплив:

Структурно ця подія виявила приховану прогалину у контролі ризиків Aave: складний захисний механізм, створений для протидії зовнішнім атакам, став джерелом внутрішнього ризику через складність управління станом системи. CAPO був покликаний протидіяти маніпуляціям ринку, але перевірки внутрішньої узгодженості параметрів не врахували всі крайні випадки, що призвело до несподіваної «самозапущеної» атаки під час планового оновлення. Хоча чисті втрати близько 345 ETH є незначними щодо загальної заблокованої вартості (TVL) Aave, характер тригера — «ненавмисна шкода від системи безпеки» — впливає на довіру ринку набагато сильніше, ніж сам фінансовий збиток.

Відповідальність і дискусії щодо компенсації

Після інциденту в спільноті з’явилися основні точки зору й теми для обговорення:

• Співчуття та консенсус щодо компенсації: домінує думка, що користувачі зазнали збитків через помилку протоколу, а не власні дії, тому DAO Aave має надати повну компенсацію. Засновник Aave Стані Кулєчов і засновник Chaos Labs Омер Голдберг швидко пообіцяли «повністю відшкодувати» всім постраждалим користувачам, що допомогло заспокоїти спільноту.
• Дискусія про відповідальність менеджера ризиків: учасниця спільноти Frida поставила на форумі управління питання, чи має Chaos Labs, як менеджер ризиків, відповідальний за конфігурацію оркулу, нести частину фінансової відповідальності. Це відображає постійну увагу до меж відповідальності між «постачальниками послуг» і «казначейством DAO». Наразі план компенсації фінансується з резервів DAO Aave, участь Chaos Labs залишається нез’ясованою.
• Справедливість механізму ліквідації: хоча ліквідації були спровоковані помилкою ціноутворення, боти (наприклад, BuilderNet) миттєво відреагували й отримали майже 500 ETH прибутку. Це знову підняло дискусії щодо MEV ("Miner Extractable Value" — додаткової вартості для майнерів) і справедливості ліквідаційних механізмів в умовах «ненормальних» ринкових ситуацій. Дехто вважає, що боти заробили на помилці протоколу, і ці прибутки мають належати користувачам, які постраждали від помилки.

Від «інциденту безпеки» до «системної рефлексії»

Початкова інформація акцентувала увагу на «Aave зазнає ліквідацій користувачів на $26 мільйонів через помилку оркулу» — заголовок, що привертає увагу. Однак із появою деталей фокус змінився:

• Від «масових втрат» до «обмежених чистих втрат»: сума $26 мільйонів стосується загальної вартості ліквідованих позицій, а не реальних втрат користувачів. Після врахування прибутків ліквідаторів і повернених коштів реальні чисті втрати користувачів обмежено 345 ETH (близько $1,1 мільйона). Швидка обіцянка Aave компенсувати втрати змінила історію з «користувачі втратили все» на «протокол бере відповідальність за внутрішню помилку».
• Від «помилки дизайну» до «помилки конфігурації»: першопричина визначена як «неправильна конфігурація», а не фундаментальна «помилка дизайну» механізму CAPO. Це важливе розрізнення: воно свідчить, що проблему можна вирішити шляхом удосконалення процесу оновлення параметрів і посилення перевірок внутрішнього стану, а не повною реконструкцією оркулу.

Однак аналіз цієї «помилки конфігурації» відкриває глибшу істину: це форма системного ризику, що виникає через взаємодію складності системи та людської діяльності. Перекладання провини на «помилку оператора» може знизити суспільну увагу, але також приховує основну проблему — коли моделі ризиків стають досить складними, їхнє внутрішнє управління станом і обслуговування вимагають не менш потужних механізмів контролю ризиків.

Вплив на галузь: сигнал для LST і кредитних протоколів

Хоча цей інцидент не завдав значних фінансових збитків Aave, його галузеві наслідки є суттєвими:

• Тест довіри для LST як основної застави: wstETH, як провідний токен ліквідного стейкінгу (LST), є одним із найважливіших видів застави у DeFi-кредитуванні. Подія показує, що навіть інтегровані активи, такі як wstETH, можуть втратити коректне визначення ціни через внутрішні логічні помилки протоколу. Інші протоколи можуть тепер переглянути параметри ціноутворення та ризику для LST-активів.
• Нова площина безпеки оркулів: традиційно безпека оркулів зосереджувалася на надійності та стійкості до маніпуляцій даних із зовнішніх джерел. Інцидент Aave змістив увагу на «логічну безпеку» та «безпеку управління станом» всередині самого оркул-модуля. Це нагадування, що складні модулі обчислень на блокчейні можуть стати новими точками атаки чи відмови.
• Управління ризиками й DAO: подія підкреслила тонку взаємодію між професійними постачальниками управління ризиками (як Chaos Labs) і кінцевою владою DAO. Визначення обов’язків постачальників послуг і балансування їх із зобов’язаннями казначейства у разі втрат стануть ключовими темами майбутнього управління DAO.

Аналіз сценаріїв: можливі шляхи розвитку

Виходячи з поточної інформації, можуть реалізуватися такі логічні сценарії:

• Сценарій 1: плавна компенсація й удосконалення процесу. DAO Aave ухвалює пропозицію компенсації, і постраждалі користувачі отримують відшкодування 345 ETH. Інцидент стимулює Aave і Chaos Labs оптимізувати процес оновлення параметрів оркулу CAPO, додавши більш суворі перевірки внутрішньої узгодженості стану та симуляції на тестнеті. Ринкові настрої тимчасово погіршуються, але після виплати компенсації й оголошення про покращення ціна AAVE (на рівні $109,18 11 березня, з обсягом торгів за 24 години $3,53 мільйона) стабілізується. Це найімовірніший сценарій.
• Сценарій 2: суперечки щодо компенсації й глухий кут у управлінні. Дискусія про джерело компенсаційних коштів — особливо чи має Chaos Labs розділити фінансовий тягар — призводить до гострих дебатів у DAO, затримує або змінює пропозицію компенсації. Це може спричинити юридичні погрози чи публічне обурення з боку постраждалих користувачів, завдати репутаційної шкоди Aave й поставити під сумнів ефективність управління DAO. Сценарій має середню ймовірність.
• Сценарій 3: підвищена увага регуляторів і аудиторів. Інцидент привертає увагу регуляторів чи провідних аудиторських компаній до «ефективності внутрішнього контролю» DeFi-протоколів. Майбутні аудити великих кредитних протоколів можуть виходити за межі перевірки вразливостей смарт-контрактів і включати логічний аудит внутрішніх моделей ризику, підвищуючи витрати на відповідність. Сценарій малоймовірний, але може мати далекосяжні наслідки.

Висновок

Неправильна конфігурація оркулу CAPO в Aave — це класичний приклад «зворотного ефекту системної складності». Хоча економічні втрати були відносно невеликими, подія стала сигналом для всієї індустрії DeFi: із зростанням складності та інтелектуальності моделей ризику узгодженість і керованість внутрішніх станів системи мають отримувати не менше уваги. Швидка реакція й обіцянка компенсації з боку команди Aave та DAO демонструють зрілість провідних протоколів у кризових ситуаціях. Однак справжнє випробування полягає в тому, чи зможе індустрія винести урок із цієї події — зміцнити стійкість систем і уникнути нових «ненавмисних наслідків», які запускаються самими захисними механізмами в майбутньому.