Що відбулося з проектом Aave?
Проект з лендинговими послугами Aave завжди був досить стабільним і навіть вважався однією з «тихих гаваней» в світі DeFi Протокол мав величезний розмір TVL ($26 млрд), та пройшов багато аудиторських перевірок і мала добре відпрацьовані системи управління ризиками
Але 18 квітня все змінилося Хакери викрали $293 млн із протоколу ликвідного рестейкінга Kelp DAO і за кілька днів заблокували засоби користувачів Aave.
Розберемося, як це сталося, чому страховка Umbrella ($55 млн) може бути не досить великою, щоб покрити ушкодження і чи існують в DeFi безпечні місця для вкладання коштів.
Як відбулося викрадення? Хакери викрали 116 500 rsETH вартістю $293 млн через Kelp DAO на базі LayerZero
Атака пов’язана з північнокорейською групою TraderTraitor, яка належить до Lazarus Group, яка відповідає за такі значні викрасти, як ($1,5 млрд), ($625 млн) і ($280 млн)
Схема атаки була досить складною
Хакери отримали доступ до списку RPC-серверів, які використовувала децентралізована верифікована мережа (DVN) LayerZero Labs Вони скомпрометували два із них, встановивши модифіковані версії op-geth
Тоді вони здійснили DDoS-atakу на «чисті» сервери, щоб система перейшла на відруйновані вузли.
За словами LayerZero, атакувачі скомпрометували два RPC-сервери і підмінили відповіді, які бачив лише верифікатор, ховаючи сліди від систем моніторингу Після закінчення атаки шкідливий код саморозпустився, видаливши логи.
Ключовим фактором стала конфігуріка безпеки Kelp
Протокол використовував схему 1/1 DVN – єдиний верифікатор без резервування LayerZero рекомендувала своїм інтеграторам встановлювати декілька DVN, але Kelp проігнорувала ці рекомендації
При мультиверифікації піддослідне повідомлення не пройшло б перевірку: незалежні DVN відкинули б його.
«Експлуатація єдиної точки відмови означає, що незалежний верифікатор не міг перехопити і відкликати піддослідне повідомлення LayerZero і інші сторони раніше повідомляли про проекту краще звичаєві практики диверсифікації DVN
Незважаючи на рекомендації, Кельп обрали схему 1/1 DVN», – підкреслили в LayerZero Labs.
Партнер Dragonfly Capital Хасиб Куреши підтримує протест LayerZero проти проекту Aave, який відмовився від відповідальності, хоча саме LayerZero працює з операторами скомпрометованих DVN.
Команда Kelp відгукнувся лише за 46 хвилин після виявлення підозрілої діяльності За цей період зловмисники вклали вкрадені токени на Aave v3 як заставу і отримали за них wETH
На платформі вони зайняли близько $196 млн, а загальний обсяг їхніх позицій у Aave, Compound і Euler склав близько $236 млн.
Як постраждали користувачі Aave? За два дні TVL найбільшого лендингового протоколу з $26,3 млрд скоротився до $17,7 млрд – інвестиції вийшли більш як $8,6 млрд Ціна токена AAVE впала на 15%, до $91
Ринкова капіталізація активу скоротилася з $1,8 млрд до $1,3 млрд.
Пулові активи в Aave v3 повністю висохли Заблоковані активи на $5,1 млрд можуть вийти лише після потрапляння нових ліквідностей або погашення кредитів
Ринки rsETH заморожені в версіях v3 і v4 Резерви wETH заблоковані на Ethereum, Mantle і Linea.
Заморозка спричинила каскадний ефект: користувачі з заблокованими депозитами USDT почали займати під заставу ці засоби в інших пулах – обсяг таких кредитів зростав на $300 млн за день
Цей процес призвів до повного ліквідування ринку USDC і USDe.
we're now seeing some negative secondary effects of illiquidity in Aave stablecoin markets (in this example, Aave Core USDT on Ethereum)
because users cant withdraw due to 100% utilization, there has been a ~$300 million increase in borrowing with USDT collateral in just the… pic.twitter.com/ReGjGaIqAh
— monetsupply.eth (@MonetSupply) April 19, 2026
«Aave слід негайно заборонити нові позики під неликвідні заставові активи – наприклад встановити LTV=0 для USDT, USDC і USDe на Aave Core або повністю припинити надання кредитів», написав директор стратегії конкуруючої лендингової платформи Spark під псевдонімом monetsupply.eth.
Перше відкриття Umbrella Модуль Umbrella – оновлений модуль безпеки протоколу Aave У ньому рішення про знищення заложених коштів відбувається автоматично, а не шляхом голосування
Коли виникне безнадійний борг, смарт-контракт знищує заложені aTokens без затримок.
Користувачі вкладають кошти, отримуючи дохід із протоколу, а також додаткові винагороди в GHO або AAVE На момент інциденту в Umbrella ETH заложено близько $55 млн
Казначейство Aave DAO володіє активами близько $85 млн, включаючи токени AAVE на $51 млн Старий модуль безпеки ніколи не застосовував знищення заложених коштів.
Кейс Kelp став першим справжнім випробуванням механізму
Команда Aave спочатку оголосила, що Umbrella покроє будь-який дефіцит, потім змінила формулу на «випробування шляхів компенсації».
Що зробить майбутнє?
Засновник DefiLlama під псевдонімом 0xngmi подає три варіанти розвитку подій.
Соціалізація збитків серед усіх власників rsETH.
У цьому випадку активи кожного власника будуть знищені на 18,5% Aave заблокував 666 000 rsETH, більшість позицій знаходяться біля межі ліквідності (LTV 95%)
При соціалізації збитків усі ці засоби будуть знищені Створиться безнадійний борг майже на $216 млн
Umbrella покровить близько $55 млн, а казначейство ще близько $85 млн Залишиться близько $76 млн непокритих збитків.
На Ethereum повністю забезпечені засоби rsETH
Якщо основна мережа не буде знищена, усі збитки лягли б на користувачів L2 За словами monetsupply.eth, на мережах другого рівня знаходиться близько $361 млн rsETH: Base — $71 млн, Arbitrum — $152 млн, Mantle — $116 млн, Ink — $21 млн, Linea — $1,4 млн
Безнадійний борг на $341 млн лягне на постачальників wETH в цих мережах, а Umbrella нічого не покроє – модуль працює тільки на Ethereum.
«Концентрація збитків на зовнішніх мережах – найгірший результат для Aave При рівномірному розподілі збитків буде використано Umbrella на $50 млн і виникає можливість використовувати заложені засоби на Aave Core для часткового погашення боргу
Збитки на L2 мережах стануть керованими», — вважає monetsupply.eth.
Повернення до попередньої версії.
Технічна складність цього варіанту полягає в тому, що засоби активно переміщалися після атаки Хакер зайняв близько $124 млн на Ethereum і $18 млн на Arbitrum
Якщо повернути лише ці суми, загальний збиток після покриття Umbrella сколихся близько $91 млн.
Цепна реакція і пошуки «тихої гавані» Підвищення спричинила наслідки не тільки для Aave, але і для всього сектора DeFi.
TVL всього сектора DeFi з $99,4
За матеріалами ForkLog