10 марта 2026 года сектор децентрализованных финансов (DeFi) получил очередной тревожный сигнал. Некорректная настройка риск-оракула CAPO в протоколе Aave привела к ошибочной ликвидации примерно $27 млн в позициях wstETH. Хотя протокол не понёс убытков и все пострадавшие пользователи получат полную компенсацию, этот случай вызвал более широкий вопрос: когда ключевая инфраструктура даёт сбой, как обычные пользователи могут самостоятельно защитить свои активы, не рассчитывая на возмещение от команды проекта?
Оракулы играют роль критического звена между данными из реального мира вне блокчейна и смарт-контрактами на блокчейне, обеспечивая основу для кредитных рынков DeFi. Если этот компонент выходит из строя, даже самые надёжные протоколы могут быстро погрузиться в хаос. На примере недавнего события ликвидации в Aave эта статья подробно разбирает, как распространяется риск оракула и предлагает практические стратегии защиты с точки зрения пользователя.
Ликвидация на $27 млн: что произошло из-за сбоя оракула Aave
10 марта в протоколе Aave произошёл сбой системы оракулов как на основной сети Ethereum, так и на Prime-экземплярах, что привело к некорректной ликвидации примерно 10 938 позиций wstETH на 34 аккаунтах на общую сумму около $27 млн. В ходе инцидента сторонние боты-ликвидаторы получили прибыль примерно в 499 ETH.
Позже основатель Aave, Стани Кулечов, подтвердил, что причиной события стала некорректная настройка системы CAPO (Collateral Asset Price Oracle), а не уязвимость протокола. Убытков протокол не понёс, все пострадавшие пользователи будут полностью компенсированы за счёт средств, восстановленных через BuilderNet и казну DAO. Общая сумма компенсации ожидается не более 345 ETH.
Хронология событий: как один параметр вызвал цепную реакцию
Система CAPO, запущенная Aave в конце 2024 года, представляет собой механизм риск-оракула, предназначенный для предотвращения атак на оракулы. Она вычисляет и отправляет максимальные обменные курсы и обновления темпов роста через внецепочечные хаос-оракулы, а затем реализует логику проверки в смарт-контрактах на блокчейне. За более чем год работы CAPO обработала свыше 1 200 payload-ов и более 3 000 параметров без серьёзных инцидентов.
10 марта риск-менеджер Aave, Chaos Labs, столкнулся с несоответствием между ограничениями на блокчейне и намерениями по обновлению параметров во время очередного обновления. Ключевые моменты хронологии:
- Намерение обновления: Внецепочечный процесс Chaos Labs определил, что параметр
snapshotRatioдля wstETH должен быть обновлён примерно до 1,2282, отражая разумный обменный курс за семь дней до этого. - Ограничение на блокчейне: Этот параметр ограничен механизмом безопасности смарт-контракта — курс может повышаться не более чем на 3% каждые три дня. Поэтому значение могло измениться только с примерно 1,1572 до 1,1919, а не сразу до целевого 1,2282.
- Несоответствие обновления: В то же время параметр
snapshotTimestampбыл успешно обновлён до метки времени семидневной давности. - Последствия: Несогласованность между ratio и timestamp привела к тому, что система CAPO установила потолок обменного курса wstETH лишь на уровне примерно 1,1939, тогда как реальный рыночный курс составлял около 1,2282 — разница около 2,85%. Это занижение спровоцировало массовые ликвидации.
Анализ данных: структурный дефект, приведший к отклонению на 2,85%
| Метрика | Значение | Источник/Пояснение |
|---|---|---|
| Общая сумма ликвидаций | ~$27 млн | Общая стоимость позиций, затронутых событием |
| Ликвидированное количество | ~10 938 wstETH | Общее количество принудительно ликвидированных wstETH |
| Затронутые аккаунты | ~34 | Число пользователей, непосредственно пострадавших |
| Отклонение обменного курса | ~2,85% | Потолок CAPO был ниже реального рыночного курса |
| Прибыль ликвидаторов | ~499 ETH | Доход сторонних ботов-ликвидаторов |
| Компенсация пользователям | ≤ 345 ETH | Средства, выделенные DAO Aave для компенсации, включая 141,5 ETH, уже восстановленные через BuilderNet |
Технической причиной инцидента стало нарушение атомарности обновления параметров. Модель безопасности CAPO предполагает синхронное обновление параметров, однако внецепочечный процесс не учёл ограничения на блокчейне, что привело к рассогласованию между snapshotRatio и snapshotTimestamp — параметрами, которые должны изменяться одновременно. Эта техническая деталь раскрывает более глубокую проблему: даже после года стабильной работы в сложных системах могут возникать точки трения между управлением параметрами и их исполнением на блокчейне.
Дискуссия: устойчивость протокола или хрупкость системы?
Инцидент вызвал обсуждение по нескольким направлениям:
Позитивные оценки:
- Устойчивость протокола: Многие считают, что Aave продемонстрировал зрелое управление кризисом. Chaos Labs и BGD Labs оперативно снизили лимит по заимствованию wstETH до 1 для затронутых экземпляров и скорректировали параметры через Risk Steward, восстановив обменные курсы. Отсутствие убытков расценивается как доказательство эффективных механизмов управления рисками.
- Похвала компенсации: Основатель Aave быстро пообещал полную компенсацию, часть средств была восстановлена через BuilderNet, остальное покрыто казной DAO. Такой подход, ориентированный на пользователя, получил широкое признание в сообществе.
Критические и аналитические мнения:
- Сложность оракула вызывает опасения: Некоторые отмечают, что CAPO был создан для повышения безопасности, но его сложная параметризация привнесла новые риски. Малейшая ошибка при обновлении параметра вызвала каскад ликвидаций на $27 млн, что демонстрирует хрупкость инфраструктуры DeFi.
- Справедливость механизмов ликвидации под вопросом: Хотя событие было вызвано техническим сбоем, ликвидации прошли по правилам протокола. Некоторые считают, что такие «несправедливые, но соответствующие правилам» ликвидации ставят этическую дилемму для автоматизированных систем — если исходные данные ошибочны, оправдано ли «корректное исполнение»?
Проверка фактов
Факты:
- Некорректная настройка CAPO действительно привела к занижению стоимости wstETH примерно на 2,85%, что спровоцировало ликвидации на сумму около $27 млн.
- Протокол не понёс убытков, все пострадавшие пользователи будут полностью компенсированы.
- Корень проблемы — внецепочечный процесс обновления не учёл ограничения параметров на блокчейне, а не дефект CAPO или базового оракула.
Точки зрения:
- «Риск оракула контролируем» против «Сложность увеличивает риск» — первая позиция опирается на отсутствие убытков и быструю реакцию Aave; вторая — на предположение, что без своевременного вмешательства последствия могли быть гораздо серьёзнее.
- Дебаты о справедливости ликвидаций — сторонники считают, что прозрачное соблюдение правил оправдано; критики отмечают, что при ошибочных данных результат теряет основу справедливости.
Спекуляции:
- Некоторые аналитики предполагают, что подобные ошибки могут возникать и в других протоколах с сложными оракульными механизмами, но прямых доказательств пока нет.
- Обсуждения о том, «полностью ли риск оракула учтён в цене», в основном строятся на экстраполяции этого события и не имеют количественного подтверждения.
Влияние на отрасль: пересмотр управления оракулами
Влияние этого инцидента на индустрию DeFi можно рассматривать в краткосрочной и долгосрочной перспективе:
Краткосрочные последствия:
- Ограниченное влияние на доверие к Aave: Благодаря оперативной реакции и обещанию полной компенсации рыночные позиции Aave практически не пострадали. Некоторые даже считают, что управление кризисом стало признаком зрелости.
- Испытание доверия к wstETH: Хотя участники Lido подчеркнули, что событие не связано с самим wstETH или протоколом Lido, wstETH как ликвидируемый актив подвергся дополнительному давлению на продажу, что могло повлиять на оценку рисков некоторыми держателями.
- Прибыль ликвидаторов: Ликвидаторы заработали около 499 ETH, что подчёркивает стимулы для мониторинга и использования аномалий в экосистеме DeFi.
Долгосрочные последствия:
- Пересмотр процессов управления оракулами: Этот случай заставит протоколы пересмотреть и ужесточить процессы обновления параметров оракулов. В отчёте Chaos Labs чётко указано, что «внецепочечный процесс не учёл ограничения на блокчейне» как корневую причину. Потребуются более строгие механизмы симуляции и тестирования до обновления.
- Переоценка рисков E-Mode: Ликвидации были сосредоточены на позициях Efficient Mode (E-Mode), которые предназначены для повышения эффективности капитала для высоко коррелированных активов, но могут усиливать последствия отдельных ошибок оракула. Протоколам стоит пересмотреть предположения о рисках E-Mode.
- Рост необходимости обучения пользователей: По мере усложнения механизмов оракулов возрастает барьер знаний для понимания рисков протокола. Этот случай вновь доказывает, что даже «системы, работающие стабильно год», могут столкнуться с неожиданными сбоями. Необходимы более понятные рекомендации для пользователей по выявлению и снижению подобных рисков.
Взгляд в будущее: три возможных сценария развития риска оракула
С учётом текущей структуры экосистемы DeFi можно выделить несколько возможных путей эволюции риска оракула:
Сценарий 1: постепенная оптимизация
Протоколы усилят управление параметрами оракулов, введут более строгие процессы симуляции вне блокчейна и мультиподписные проверки. Системы, подобные CAPO, сохранятся, но обновления параметров будут проходить по принципу «медленно, поэтапно, с мультиподписью». Влияние на пользователей постепенно снизится, хотя отдельные небольшие ошибки всё же возможны.
Сценарий 2: системное улучшение
Этот инцидент подтолкнёт отрасль к созданию стандартов настройки оракулов, а специализированные сервисы управления рисками, такие как BGD Labs и Chaos Labs, получат ещё большую роль. Протоколы могут внедрить «дашборды мониторинга состояния оракулов» для отображения ключевых параметров в реальном времени. Пользователи смогут самостоятельно отслеживать риски через сторонние инструменты.
Сценарий 3: экстремальный риск
В более пессимистичном варианте, если одновременно будут некорректно настроены несколько оракулов или злоумышленники найдут способы манипулировать обновлениями параметров, могут произойти массовые ликвидации. Если такие события совпадут с периодами высокой волатильности рынка, это может привести к кризису ликвидности и накопленным убыткам. Aave избежал убытков благодаря своевременному вмешательству, но не все протоколы обладают такими возможностями экстренного реагирования.
Самозащита пользователя: четыре шага для активной защиты от риска оракула
Для пользователей DeFi основой безопасности активов является активная защита — не рассчитывать на компенсацию от проекта. Вот практические стратегии, сформулированные на основе этого случая:
Понимайте свои залоговые активы
wstETH как дериватив ликвидного стейкинга имеет сложную ценовую связь с ETH. Владельцам важно понимать, как его стоимость определяется оракулами. Обычно протоколы сверяют цены из нескольких источников, но механизмы типа CAPO могут добавлять дополнительные вычислительные слои. Пользователям стоит изучить документацию протокола по настройке оракула для конкретных активов.
Следите за параметрами риска протокола
- Следите за сервисами управления рисками: Отчёты организаций вроде Chaos Labs часто заранее сигнализируют о возможных проблемах. Пользователи могут подписаться на их обновления в X (бывший Twitter) или Discord.
- Понимайте ограничения обновления параметров: Как видно из правила «рост на 3% каждые 3 дня» в этом случае, у каждого актива есть свои правила обновления параметров оракула. Хотя обычным пользователям сложно отслеживать все технические детали в реальном времени, обсуждения изменений часто ведутся на форумах управления сообществом.
Диверсифицируйте риски и устанавливайте защитные маржи
- Избегайте концентрации в одном активе: Даже в E-Mode не стоит размещать все позиции в одном высоко коррелированном активе. Диверсификация залога помогает снизить общий риск при сбое оракула конкретного актива.
- Поддерживайте здоровую защитную маржу: В условиях волатильности рынка или небольших отклонений оракула более высокий health factor обеспечивает запас прочности. Не стоит доводить коэффициент заимствования до максимума — оставьте минимум 20% защитной маржи.
- Сравнивайте порог ликвидации с текущими ценами: Регулярно проверяйте, насколько ваши позиции близки к ликвидации. Если разрыв слишком мал, даже отклонение оракула на 2–3% может привести к ликвидации, как показал этот случай.
Используйте инструменты мониторинга и оповещения
- Настройте мониторинг на блокчейне: Платформы вроде Forta позволяют установить оповещения о рисках для используемых протоколов. Вы получите уведомление о крупных изменениях параметров или аномалиях оракула.
- Используйте дашборды рисков DeFi: Инструменты вроде DeBank и Zapper показывают обзор активов и внедряют индикаторы рисков. Пользователи могут видеть статус кредитования протокола и риски ликвидации.
Понимайте ограничения «компенсации»
Обещание полной компенсации от Aave — пример ответственного управления проектом, но это не должно создавать у пользователей ложное чувство безопасности. В долгосрочной перспективе не все протоколы способны или готовы возмещать убытки от технических сбоев. Пользователям стоит управлять рисками, исходя из принципа «компенсация не гарантирована».
Заключение
Сбой оракула Aave стал одновременно стресс-тестом для управления рисками DeFi и сигналом для повышения осознанности пользователей. За ликвидациями на $27 млн скрывался технический дефект, вызванный рассогласованием параметров, что поднимает вопрос о том, как сосуществовать с сложными системами.
Для пользователей риск оракула нельзя полностью устранить, но его можно контролировать — через понимание механизмов, мониторинг событий и разумные защитные маржи. В DeFi самая надёжная защита всегда основана на собственной осознанности и активной защите пользователя. Когда границы принципа «код — это закон» дают трещину, только подготовленные способны пройти испытание без потерь.
