«Это должно беспокоить всех». Как Aave потерял $10 млрд за три дня

[laabit_news]

Крупнейший протокол децентрализованного кредитования Aave столкнулся с серьезным стресс-тестом после взлома криптопроекта Kelp DAO. Всего за три дня пользователи вывели из Aave около 40% депозитов, или более $10 млрд. Уникальность ситуации в том, что системы безопасности Aave не были скомпрометированы — проект стал заложником взлома независимой от них платформы. Потенциальные убытки Aave оцениваются экспертами в сотни миллионов долларов, а последствия взлома уже затронули десятки криптопроектов.

Речь идет об инциденте 18 апреля, когда злоумышленники атаковали межсетевой мост Kelp DAO, построенный на инфраструктуре LayerZero, в результате чего было украдены $291 млн. За счет уязвимости им удалось сгенерировать 116 500 rsETH (токен ликвидного рестейкинга на базе «эфира»). После этого злоумышленники использовали Aave для залога 116 500 rsETH в обмен на монеты Ethereum (ETH). Ситуация вызвала проблемы не только для клиентов Kelp, но и пользователей Aave и десятков протоколов на крипторынке.

Ситуация также коснулась и процентных ставок на рынке криптокредитования. С момента взлома они выросли почти в три раза, до 12% годовых, что само по себе является огромным стрессом для любой системы. Поскольку в DeFi нет фиксированных ставок, участники рынка кредитования размером почти $57 млрд понесут дополнительные издержки. Оценочно, вместо 4% годовых от $57 млрд участники теперь могут платить 12%, а это $6,84 млрд вместо $2,28 млрд годовых.

Уже в первый день после взлома инцидент затронул огромную часть рынка, где по крайней мере 30 децентрализованных финансовых приложений (DeFi) приостановили или ограничили работу протоколов до выяснения обстоятельств и обеспечения мер безопасности. Этот список включает такие проекты, как Aave, Swell, LayerZero, Spark, Curve, Ethena, Morpho и другие крупные приложения.

«Aave не был взломан. Он пострадал из-за последствий сбоя другого проекта, и это должно беспокоить всех, кто работает в этой области. Инцидент с Kelp DAO затронул не только один протокол — он одновременно подверг испытанию всю систему DeFi», — отметила специалист по блокчейн-безопасности в компании CertiK Натали Ньюсон.

Как выяснилось, взлом стал возможен не столько из-за недостатков архитектуры LayerZero, на основе которой работает Aave, а в настройках безопасности самой Kelp. В официальном разборе LayerZero прямо указал на игнорирование рекомендаций по безопасности в настройках сетевых узлов.

Общие данные рынка децентрализованных финансов (DeFi) подтверждают мнение Ньюсон. По данным на 22 апреля, совокупный отток капитала из сектора составил более $13 млрд с момента взлома Kelp. Хотя все же наблюдается частичное перераспределение средств в другие лендинговые протоколы — в частности, проект Spark зафиксировал приток капитала в $1,1 млрд с момента инцидента. Другие крупные протоколы фиксируют в основном оттоки средств.

Суть проблемы заключается в том, что rsETH оказался «пустышкой», у которой нет реального обеспечения. Если упрощенно, то из-за этого протокол Aave не может провести ликвидацию этих активов потому, что некому и нечем закрывать позицию. И как только пулы Aave пересчитают стоимость rsETH, образуется «плохой долг» (bad debt), и теперь стоит вопрос, кто его заплатит. Часть долга скопилась в сетях второго уровня на базе Ethereum (типа Arbitrum), другая — в основной сети Ethereum.

«Плохой долг» Aave

20 апреля специалисты по рискам из LlamaRisk опубликовали отчет, в котором описали два основных сценария, зависящих от решений Kelp DAO и LayerZero. Эксперты подчеркивают, что погашение долгов Aave зависит от внешних решений. Они привели два основных сценария, которые существенно отличаются друг от друга.

Спустя день после отчета совет безопасности блокчейн-сети Arbitrum применил экстренные полномочия для изъятия активов, похищенных в ходе взлома криптопроекта Kelp DAO на $291 млн. 30 766 ETH, или около $71 млн, которые находились внутри сети Arbitrum, были изъяты у хакера с помощью скрытой системной транзакции. После этого другая часть ETH, которая находилась в сети Ethereum, стала рассылаться мелкими траншами в несколько десятков ETH на множество новых адресов.

Учитывая изъятие около $71 на L2, цифры в сценариях LlamaRisk могут быть изменены, но других расчетов к моменту публикации 22 апреля нет.

Первый сценарий LlamaRisk предполагает равномерное распределение убытков на все токены rsETH, независимо от сети. По их оценкам, это приведет к отклонению от курса rsETH от реальной стоимости около 15% и образованию «плохого долга» для Aave на сумму около $123,7 млн.

Второй сценарий включает изоляцию потерь только в сетях второго уровня Ethereum. В этом случае убытки Aave достигнут $230 млн, причем основная нагрузка ляжет на сеть Mantle.