Один великий кит через Aave одноразово обміняв 50 432 688 доларів США USDT на токени AAVE, але через екстремальне проскальзування отримав лише 324 AAVE (близько 36 000 доларів), майже втративши всі свої кошти, але всі захисні механізми спрацювали нормально.
(Попередній опис: Жах! Великий кит при обміні через Aave зазнав збитків у 50 мільйонів доларів через «екстремальне проскальзування»)
(Додатковий фон: Детальний аналіз механізму ліквідації в DeFi: ризики Compound, Maker, AAVE)
Зміст статті
Перемикач
- Аналіз однієї транзакції
- Жорстка математика ліквідності
- Куди поділися «надлишкові» різниці?
- Три захисні лінії
- Вибачення на 600 000 доларів
- Відповідальність у DeFi
- DeFi стоїть на одній лінії з історією
50 432 688 доларів США: Це сума, яку анонімний гаманець вніс у транзакцію 12 березня.
36 297 доларів: Це реальна сума, яку він отримав назад.
Відсоток збитків: 99,93%. За менше ніж хвилину 50 мільйонів доларів криптоактивів перетворилися на ціну вживаного автомобіля.
Це не хак, не вразливість смарт-контракту, не атака з використанням флеш-кредитів, не крадіжка приватного ключа.
Усі протоколи, що брали участь у цій транзакції: Aave, CoW Protocol, Uniswap — згодом заявили, що система «працює за задумом і нормально».
Транзакція з 99,93% збитків, коли кожен елемент працював правильно. Саме це найцікавіше в цій історії.
Аналіз однієї транзакції
Щоб зрозуміти, чому сталася ця ситуація, розберемо її поетапно.
Цей гаманець (адреса 0x98B9D979…1FBF97Ac8) має багато aEthUSDT — це токен, що автоматично генерується при внесенні USDT у протокол Aave для позик, і уособлює вашу позицію депозиту USDT у Aave. Маючи aEthUSDT, ви фактично здаєте в оренду USDT і отримуєте відсотки.
Користувач хоче зробити просту операцію: обміняти свою позицію USDT на позицію AAVE (aEthAAVE). Простими словами — обміняти один вид застави на інший.
Інтерфейс Aave пропонує функцію «Обмін застав» (Collateral Swap), яка дозволяє зробити це одним кліком без попереднього зняття, обміну на біржі і повторного внесення. Звучить зручно.
Проблема у тому, що за цим «одним кліком» стоїть.
Після натискання підтвердження транзакція маршрутизувалася через CoW Protocol (децентралізовану систему маршрутизації торгів, інтегровану в Aave наприкінці 2025 року). Solver CoW Protocol виконав наступні кроки:
Перший, викупив 50 432 688 aEthUSDT через контракт Aave V3, отримавши 50 432 688 USDT.
Другий, ці 50 мільйонів USDT були використані у пулі USDT/WETH на Uniswap V3 для обміну на 17 958 WETH.
Третій, WETH обміняли на AAVE.
Четвертий, отриманий AAVE внесли назад у Aave V3, отримавши aEthAAVE, які повернули користувачу.
Здається, логіка ідеальна. Але в підсумку користувач отримав лише 327,24 aEthAAVE.
За тодішнім курсом AAVE близько 111 доларів, це приблизно 36 297 доларів.
З 50 мільйонів — до 36 тисяч.
Жорстка математика ліквідності
Ця сума настільки велика, що багато хто при читанні новини спершу подумає: це помилка або фішинг. Або вразливість смарт-контракту; але ні.
Загальний обіг токенів AAVE — близько 15,3 мільйонів, капіталізація — близько 1,6 мільярда доларів. Перед інцидентом щоденний обсяг торгів AAVE на децентралізованих біржах — близько 273 мільйонів доларів.
Зараз хтось хоче одноразово купити AAVE на 50 мільйонів доларів.
Простими словами, він хоче за одну операцію купити близько 3% обігу AAVE.
Це як зайти на фондовий ринок з обігом 270 мільйонів і поставити ордер на 50 мільйонів за ринковою ціною. У традиційних фінансах цю операцію заблокували б системи ризик-менеджменту брокера. Існує механізм «лімітних зупинок» (флеш-стопи). Маркетмейкери зобов’язані підтримувати ціновий спред у розумних межах.
Але у DeFi таких немає.
Ліквідність децентралізованих бірж забезпечується автоматичними маркет-мейкерами (AMM). Формула ціноутворення — найпоширеніша — постійне добуток x × y = k. Це означає, що чим більший обсяг покупки, тим сильніше ковзання ціни. Це не лінійно, а експоненційно.
Коли цей ордер на 50 мільйонів доларів потрапив у пул Uniswap, його вплив був набагато більшим за можливості пулу. Маргінальна ціна за кожну додаткову AAVE стрімко зростала. В кінці кількох останніх токенів ціна могла бути сотні разів вищою за ринкову.
Результат: 50 мільйонів доларів обміняли лише на 327 AAVE.
Куди поділися «надлишкові» різниці?
В кишені арбітражних роботів.
У екосистемі Ethereum існує ціла індустрія MEV (максимальна витягувана цінність). Вони цілодобово моніторять кожну велику транзакцію і миттєво влаштовують арбітраж — купують перед нею, підвищують ціну, потім продають після. Це називається «триєдине» (медіанська атака).
У цій операції арбітражники «з’їли» майже 50 мільйонів доларів.
Цікаво, що задум CoW Protocol — захистити користувачів від таких атак.
Три захисні лінії
Найбільш тривожна частина цієї історії — не сума збитків, а те, що всі захисні механізми «спрацювали правильно».
Перша лінія: захист від MEV у CoW Protocol.
CoW Protocol — один із найсучасніших систем маршрутизації транзакцій у DeFi. Він не просто відправляє вашу операцію у пул. Спершу він групує кілька замовлень у батчі, щоб професійні «сапери» змагалися за найкращий шлях виконання.
Теоретично, ця система може зробити три речі:
- приховати ваші наміри від MEV-роботів через батч-торги
- встановити єдину ціну для всіх операцій у батчі, щоб уникнути арбітражу за порядком
- безпосередньо з’єднати користувачів між собою, обходячи пул
Але при ордері на 50 мільйонів доларів усі ці механізми не працюють. Адже неможливо знайти ще одного користувача, який хоче обміняти таку ж кількість AAVE у той самий момент. Батч-торги тут безсилі: пулу просто не вистачає ліквідності.
Заява CoW Swap пізніше була короткою: «Транзакція виконується згідно з підписаними параметрами. … Система попереджає про значний вплив на ціну.»
Заява CoW Protocol:
Раніше сьогодні трейдер намагався обміняти 50 мільйонів aEthUSDT на aEthAAVE через інтерфейс Aave, який працює на CoW Protocol. Хоча система попереджала, що він втратить майже всю цінність транзакції, і… https://t.co/Pav4udXUkX
— CoW DAO (@CoWSwap) 13 березня 2026
Друга лінія захисту: попередження про проскальзування у інтерфейсі Aave.
Засновник Aave Стані Кулєчов згодом пояснив важливу деталь: коли користувач ініціював цю операцію у інтерфейсі, система показала попередження про «аномальне проскальзування». Він повинен був вручну поставити галочку підтвердження, щоб прийняти ризик.
За словами Кулєчова, користувач зробив це на мобільному пристрої.
Галочка підтвердження — рішення на мільйони доларів — натиснута на телефоні.
Пізніше інженер Aave розкрив ще деталі: перед підтвердженням у системі вже було видно, що 50 мільйонів USDT можна обміняти лише на менше ніж 140 AAVE (до врахування комісій). Тобто система не просто казала «проскальзування велике», вона чітко показувала: ви втратите понад 99%.
Але цей кит побачив цю цифру і натиснув «Підтвердити».
Третя лінія: власне рішення користувача.
У традиційних фінансах, якщо клієнт хоче зробити на телефоні операцію на 50 мільйонів і очікує втрату 99%, його брокер зателефонує, щоб підтвердити. Відділ ризик-менеджменту втрутиться. Юридичний відділ вимагатиме письмову згоду. Процес може тривати кілька днів.
У DeFi все зводиться до одного кліка і підтвердження на екрані.
Ніхто не знає, хто цей користувач. Чому він натиснув «Підтвердити», бачачи 99% збитків? Помилився у цифрах? Випадково натиснув? Помилився на маленькому екрані смартфона? Або є інша причина? Можливо, він був п’яний або під наркотиками?
Але одне точно: у децентралізованому світі «підтвердження» — незворотне. Немає T+1, немає скасування, немає гарячої лінії.
Якщо ви натиснули «Підтвердити», транзакція назавжди залишається у блокчейні.
Вибачення на 600 000 доларів
Після події за 24 години засновник Aave Стані Кулєчов зробив заяву.
Він оголосив, що протокол Aave поверне цю транзакцію і зніме з неї близько 600 000 доларів комісій.
Раніше сьогодні користувач намагався купити AAVE на 50 мільйонів USDT через інтерфейс Aave.
Через надзвичайно великий обсяг цієї операції інтерфейс, як і більшість торгових систем, попередив про високий проскальз і вимагав підтвердження через галочку. …
— Stani.eth (@StaniKulechov) 12 березня 2026
Шістсот тисяч. Повернути людині, яка втратила 50 мільйонів. Це як у ресторані заплатити за вечерю на мільйон і отримати у подарунок пляшку води.
Але це максимум, що може зробити Aave за чинною системою.
Адже Aave — децентралізований протокол, його кошти керуються DAO. Кулєчов і Aave Labs — команда розробників, але з юридичної та управлінської точки зору вони не володіють коштами протоколу. Щоб використати DAO-казну для компенсації, потрібно голосування спільноти.
Це підводить до глибшого питання: хто несе відповідальність у децентралізованому світі?
Якщо це централізована біржа, відповідь очевидна: вона зобов’язана захищати користувачів. Якщо система спричинила збитки, вона має компенсувати. Регулятори втрутяться. Юристи напишуть листи.
У випадку з Aave відповідальність розподілена між щонайменше чотирма рівнями:
-
Aave Labs створили інтерфейс, інтегрували CoW Swap, додали функцію обміну застав. Але вони кажуть, що система попереджала про ризики.
-
CoW Protocol виконав маршрутизацію. Але вони кажуть, що транзакція виконана згідно з підписаними параметрами.
-
Ліквідність пулів Uniswap дала ціну. Але AMM — прозорий і відкритий.
-
Користувач сам натиснув підтвердження, знаючи про 99% збитків.
Кожен має свою правду, кожен «не зробив помилки», але 50 мільйонів зникли.
Відповідальність у DeFi
Ця подія знову піднімає питання: яка ціна «без дозволу»?
Основна ідея DeFi — усунути посередників, банків, брокерів, регуляторів. Ти і твій капітал — лише код.
За останнє десятиліття ця ідея залучила мільйони користувачів. Станом на березень 2026 року, загальний заблокований обсяг у DeFi — близько 97,6 мільярдів доларів. Лише протокол Aave керує понад 25,7 мільярдами, а загальний обсяг кредитування — понад 1 трильйон доларів.
Але «усунення посередників» означає і втрату всіх їхніх захисних механізмів.
У традиційних фінансах, коли ви робите велике замовлення, існує ціла система захисту:
- Нью-Йоркська фондова біржа має «ліміти цінового руху» і «флеш-стопи»: при великих коливаннях торги припиняються
- Брокери мають «обов’язок відповідності»: підтверджують, що операція відповідає вашому ризик-апетиту
- Банки мають «KYC» — процедуру ідентифікації клієнта, щоб у разі проблем знайти вас
Ці системи здаються бюрократичними і не Web3. Але вони існують, бо історія фінансів за 200 років показала: люди помиляються, руки тремтять, емоції беруть верх.
DeFi обрав інший шлях. Він повернув усі рішення користувачу. Що купувати, скільки, яку допустиму проскальз — все на його совісті. Система лише попереджає — і виконує команду.
Це ефективно у більшості випадків. Але у крайніх ситуаціях ця модель породжує парадокс: чим «краще працює» система, тим важче повернути збитки.
Бо ніхто «не зробив помилки». Всі збитки — добровільні.
Це нагадує старий принцип у традиційних фінансах: «Покупець несе ризик». Перш ніж з’явилися регулятори, ринок базувався на тому, що кожен сам відповідає за свої рішення. Це був час без SEC, без законів про захист інвесторів, без колективних позовів.
Після краху 1929 року і фінансової кризи 2008-го, регулювання стало жорсткішим, захист — ширшим.
DeFi стоїть на тій самій історичній кривій
Aave керує понад 25 мільярдами активів, отримує понад 600 мільйонів доларів щорічних комісій. CoW Protocol обробля мільярди доларів транзакцій. Це вже не іграшки, а справжня фінансова інфраструктура.
Але їхні захисні механізми досі — лише «спливаюче вікно з попередженням».
50 мільйонів доларів зникли, і кожен крок був «законним», «прозорим» і «нормальним».
У традиційній фінансовій системі існує неписане правило: захищати клієнта від його ж дурості — обов’язок фінансової установи. У DeFi цей неписаний принцип — навпаки: не втручатися, не давати порад, не керувати.
Обидві системи мають свої плюси і мінуси. І вони рано чи пізно зіштовхнуться.
Цього разу — вартість збитків склала 50 мільйонів доларів. Але я не кажу, що DeFi має імітувати банки. Я закликаю замислитися над людською природою і механізмами контролю.
