500 миллионов USDT мгновенно исчезли: цена подтверждающей клавиши Aave

13 марта 2026 года в ранние часы произошла операция в мобильном приложении Aave, в результате которой 50,43 миллиона долларов США в USDT были обменяны на AAVE, но в блокчейне это превратилось в учебное пособие по катастрофе: более 99% скольжения, в итоге было получено всего около 3,6 тысяч долларов в эквиваленте AAVE, после чего команда протокола объявила о возврате примерно 600 тысяч долларов в виде комиссии. Помимо публичных данных, более ярким является структурное противоречие, которое выявила эта авария — с одной стороны, неукоснительный принцип «Code is Law» в децентрализованных системах, где контракты безжалостно исполняют правила; с другой — постоянные требования защиты пользователей, терпимости к ошибкам и «защиты от дурака». За несколько кликов «подтверждения» почти вся сумма в 50 миллионов USDT была практически стёрта, став одним из самых экстремальных вопросов за более чем десятилетний опыт развития DeFi: когда технологии и правила «не ошибаются», кто заплатит цену за это?

Большой ордер на 50 миллионов долларов погрузился в ценовую чёрную дыру пула на 4,5 миллиона

● Структура пула ликвидности: согласно данным, собранным сообществом, эти 50,43 миллиона долларов USDT были проведены через пул Aave V3 на Ethereum, связанный с AAVE, при этом доступных ликвидных средств в этом пуле было примерно 4,5 миллиона долларов (подлежит подтверждению по масштабам). Иными словами, пользователь разместил крупный рыночный ордер, значительно превышающий глубину пула, и направил его прямо в криволинейный пул ликвидности. Под действием механизма постоянного произведения цена быстро сдвинулась к экстремальным значениям, вызвав эффект скольжения, близкий к полному очищению.

● Математический эффект ценового удара: в таких моделях кривых ликвидности цена не меняется линейно с объёмом сделки, а при увеличении относительного размера пула растёт всё быстрее и быстрее — нелинейно и резко. Когда 50,43 миллиона долларов пытаются «съесть» пул с глубиной всего в несколько миллионов, каждый следующий шаг сделки стоит экспоненциально дороже в обмен на очень малое количество AAVE, что в итоге приводит к скольжению более 99%. Большая часть USDT «платится кривой», а взамен остаётся лишь очень небольшое количество токенов, стоимость которых составляет всего около 3,6 тысяч долларов.

● Аналогичные инциденты не единичны: аналитические отчёты показывают, что за последние примерно 12 месяцев в подобных протоколах произошло уже 7 случаев экстремальных скольжений на сумму свыше миллиона долларов (данные требуют подтверждения). Хотя этот случай с Aave выделяется из-за более крупной суммы, он не является «чёрным лебедем», а скорее системным риском, присущим текущему дизайну AMM и кредитных пулов. Ранее подобные случаи не вызывали широкой тревоги из-за недостаточной выборки.

● Отсутствие интуиции и рост риска: для обычных пользователей, даже обладающих некоторым опытом торговли, трудно представить себе в уме соотношение «кривой ликвидности» и «ценового удара», не говоря уже о том, что означает математически соотношение «50 миллионов USDT / 4,5 миллиона ликвидности». Пользователи часто используют опыт с централизованных бирж (CEX), чтобы представить себе возможности пула DeFi, ошибочно полагая, что рыночный ордер можно «среднестатистически» поглотить. Эта когнитивная ошибка, усугубляемая ограниченным экраном мобильных устройств и упрощённым интерфейсом, приводит к катастрофическим потерям — в десятки миллионов долларов.

Кто разрешил эту катастрофу: самая дорогая кнопка подтверждения

● Пользовательский сценарий: исходя из данных блокчейна и скриншотов фронтенда, это был обмен, выполненный через мобильное приложение Aave. Пользователь инициировал обмен 50,43 миллиона долларов USDT на AAVE, фронтенд оценил цену и показал предполагаемый скольжение и минимальное получаемое количество, однако из-за маленького экрана, множества всплывающих окон и сложных параметров эти важные сведения могли быть восприняты как стандартное подтверждение. В итоге, многократные нажатия «Далее», «Подтвердить», «Отправить» не позволили пользователю переосмыслить риски, и крупный рыночный ордер прошёл все защитные механизмы.

● Разделение ответственности в сообществе: после раскрытия инцидента в сети быстро появились комментарии, что «это самое дорогое подтверждение в истории DeFi», одна часть сообщества считает, что это типичная «слепая рука + невнимательность» пользователя, и ответственность должна лежать на нём; другая часть подчёркивает, что сумма в 50 миллионов долларов не должна была пройти через несколько простых кликов на мобильном интерфейсе. Эмоциональный раскол сводится к вопросу: когда контракт работает по правилам, и есть подсказки по скольжению, — виноват ли пользователь или это системный сбой? Нет однозначного ответа.

● Ответственность фронтенда и параметров по умолчанию: с точки зрения взаимодействия, многие DeFi-интерфейсы по умолчанию используют параметры, такие как скольжение, справочная цена, минимальное принимаемое количество, — и для обычных пользователей это очень сложно понять. Особенно на мобильных устройствах важная информация зачастую скрыта в меню или дополнительных окнах. Даже если система предупредила о риске >99%, важен ли был достаточно заметный дизайн, ясность текста и разумные значения по умолчанию — всё это усиливает риск неправильной оценки ситуации и создаёт огромный разрыв между «видимой» и «понимаемой» информацией.

● Нужно ли вводить жёсткий лимит: эта авария вновь подняла давно обсуждаемый, но так и не реализованный вопрос — стоит ли протоколу устанавливать жёсткие ограничения по сумме или ценовому удару для крупных сделок? Например, при оценке скольжения выше 50%, 80% или даже 100%, фронтенд мог бы отказать в выполнении или потребовать более сложную процедуру с дополнительной подписью. Поддерживающие считают это необходимым «защитом от дурака», противники опасаются, что это нарушит нейтралитет безразрешённых протоколов. Но в свете исчезновения 50 миллионов долларов, «ничего не делая», становится всё труднее оправдывать.

Возврат комиссии Aave: тонкая грань между автономией и милосердием

● Только возврат комиссии, без отката контракта: после инцидента команда и сообщество Aave решили оставить результат без изменений, то есть не откатывать транзакцию, а сохранить итог обмена, выполненного по правилам. В то же время, учитывая экстремальные ситуации и потери пользователей, было принято решение вернуть пострадавшему адресу около 600 тысяч долларов в виде комиссии. Такой подход сохраняет неизменность результата исполнения контракта, одновременно демонстрируя сочувствие и поддержку.

● Символический компромисс: с точки зрения принципов, такой «возврат только комиссии» — скорее символический жест: с одной стороны, он гарантирует, что основная логика протокола и расчёты не будут изменены, избегая опасных прецедентов с произвольным переписыванием состояния блокчейна; с другой — посылает сигнал, что протокол признаёт системную ошибку и готов компенсировать её в ограниченных рамках, чтобы снизить негативное восприятие.

● Заявление основателей и договорённость о защите: основатель Aave публично заявил, что «мы должны внедрять механизмы защиты в автономных протоколах», — эта фраза фактически обозначает новый уровень договорённости: автономия и децентрализация не означают отсутствие защиты или ответственности. Протоколы могут, не меняя логики, через фронтенд, параметры и процессы повысить «человечность» системы, добавив «защитные механизмы». Это отражает как давление общественности, так и возможный путь развития индустрии.

● Моральные риски после возврата: однако, если протокол начнёт делать более масштабные возвраты или частичные компенсации, это создаст прецедент «подстраховки после», и в будущем любые крупные потери из-за ошибок или рискованных решений могут стать предметом претензий. В долгосрочной перспективе это снизит уровень саморегуляции пользователей, создаст ожидание, что протокол «рассчитает» за них — что подрывает принципы безразрешённых протоколов и их предсказуемости. Это именно та «серое» зона, которую стараются избегать многие стартапы и крупные DeFi-проекты.

Дискуссия о защите от ошибок: задержка подтверждения и мягкая централизация

● Идея задержки по EIP-9873: ещё в 2025 году в сообществе Ethereum обсуждался EIP-9873 — предложение для DEX-интерфейсов, предусматривающее обязательную задержку для крупных сделок. Например, при превышении суммы или ценового удара определённого порога, интерфейс не позволял бы сразу подписать транзакцию, а вводил бы паузу в несколько секунд или минут. За это время пользователь мог бы перепроверить скольжение, минимальное получаемое количество и диапазон цен, а также разбить ордер на части. Хотя стандарт этого предложения не был принят, его идея вновь стала актуальной после этого инцидента.

● Конфликт между паузой и высокой ликвидностью: с точки зрения пользовательского опыта и использования ликвидности, введение задержки, повторных подтверждений или предупреждений о ценовом ударе создаст трение с высокочастотной торговлей и арбитражем. Для профессиональных маркет-мейкеров задержки могут означать увеличение скольжения и потери возможностей, что снизит их интерес к определённым пулам. Такой «защитный механизм» — это компромисс между безопасностью и эффективностью, и балансировать между ними станет ключевым вопросом для будущего фронтенда.

● Мягкая централизация и баланс: в контексте мобильных устройств и рискованных операций обсуждается возможность установки более консервативных лимитов по сумме, а также внедрение уровней «рискового контроля» на основе поведения адресов, KYC или белых списков. Эти механизмы несложны в реализации, но в философии могут восприниматься как «мягкая централизация»: фронтенд начнёт дифференцировать доступ по субъективным критериям, что вызывает опасения о потере децентрализации. Поддержка таких решений — это защита крупных сумм, против — опасность превращения интерфейса в инструмент цензуры.

● Где провести границу: более глубокий вопрос — как разграничить ответственность между протоколом и фронтендом. Протокол должен оставаться безразличным к пользователю, все вызовы, соответствующие правилам, равны. Фронтенд же может вводить дополнительные уровни риска, предупреждения, задержки и шаблоны защиты, не меняя основную логику. В будущем может сложиться модель «чистый протокол + множество фронтендов», где опытные пользователи работают напрямую с контрактами, а массовый рынок — через проверенные интерфейсы, балансирующие безопасность и свободу.

Кровавые уроки: кому предназначен DeFi

Этот инцидент с потерей 50 миллионов долларов из-за экстремального скольжения выявил общие недостатки DeFi — слабую визуализацию глубины пула и ценового удара, слабую презентацию ключевой информации на мобильных устройствах, а также противоречие между «высокой свободой» и «низким порогом входа». Одних лишь предупреждений и отказов недостаточно — нужны системные механизмы и процессы, способные снизить вероятность подобных катастроф.

В будущем, в борьбе за контроль над крупными сделками и стандартизацию фронтендов, сообщество, протоколы и пользователи столкнутся с всё более острыми вопросами: разработчики будут предлагать EIP и стандарты для распределения ответственности, а управление протоколами — вводить жёсткие лимиты, задержки и механизмы мягкой централизации. Пользователи же должны будут делать осознанный выбор между «полной свободой» и «ограниченной защитой». Одним из возможных компромиссов станет постепенное введение таких правил: при высоком риске операции могут замедляться, но не запрещаться; сохранится возможность свободной торговли, но через более строгие фильтры и риск-менеджмент.