Как отказ оракула Aave вызвал ликвидации на $21.7M и испытал управление рисками DeFi

10 марта в инфраструктуре оракула Aave произошла техническая ошибка конфигурации, которая привела к принудительным ликвидациям, протестировав зависимость DeFi от автоматизированных систем управления рисками.

Событие ликвидации на сумму 21,7 млн долларов на Aave

Пользователи Aave понесли убытки примерно на 21,7 млн долларов в результате ликвидаций 10 марта после того, как внутреннее ограничение в системе риск-агента Wrapped stETH (wstETH) вызвало заниженную оценку залогов. В общей сложности было ликвидировано 34 аккаунта, поскольку протокол оценил wstETH примерно на 2,85% ниже его реальной рыночной цены.

В конечном итоге протокол не понес плохой долг и компенсировал пострадавших пользователей. Однако событие выявило структурные слабости в автоматизированном управлении рисками DeFi, которое осуществляет изменения без участия человека. Также оно показало, как быстро неправильно настроенный параметр может привести к масштабным ликвидациям здоровых позиций.

Согласно данным после инцидента, пользователи, держащие wstETH в качестве залога против долга WETH, казались недозаложенными только из-за неправильной оценки. Более того, их позиции оставались бы безопасными при реальных рыночных ценах, что подчеркивает, что сбой был инфраструктурным, а не рыночным.

Механика сбоя CAPO

Инцидент возник в системе CAPO (Correlated Asset Price Oracle) Aave, предназначенной для защиты от манипуляций с активами с коррелированными ценами, такими как wstETH и stETH. CAPO получает соотношение wstETH/stETH из Lido, применяет защитный лимит через WstETHPriceCapAdapter, затем умножает результат на цену ETH для получения оценки в долларах США.

В 12:47 UTC 10 марта система Chaos Labs за пределами блокчейна рекомендовала обновить максимальную цену CAPO до 1,1933947 wstETH/ETH. В тот момент фактическое рыночное соотношение составляло 1,2285, что означало, что предложенный лимит уже существенно ниже текущих цен.

AgentHub BGD выполнил эту рекомендацию через один блок позже с помощью системы автоматизации оракула, без проверки между внешней рекомендацией и внутренним исполнением. Именно этот мгновенный канал и стал причиной превращения ошибки конфигурации в событие, влияющее на пользователей.

Разница в 2,85% привела к заниженной оценке wstETH в протоколе. В результате аккаунты, которые по реальным данным должны были быть в безопасности, были признаны недозаложенными и ликвидированы. В процессе было ликвидировано 10 938 wstETH по 34 аккаунтам, а ликвидаторам начислено примерно 512 ETH в виде бонусов до обнаружения и исправления ошибки.

Техническая причина: несогласованность снимков

Технический сбой возник из-за несоответствия между параметрами snapshotRatio и snapshotTimestamp в CAPO. Внеблокчейновый Risk Agent Chaos Labs рассчитала целевое соотношение примерно 1,2282, основанное на снимке, сделанном 7 дней назад. Однако внутренняя система ограничивала скорость изменения этого соотношения.

По правилам CAPO, предыдущее значение на блокчейне — около 1,1572 — могло увеличиваться только на 3% каждые 3 дня. На практике это означало, что за один обновление соотношение могло подняться только примерно до 1,1919, даже если внешняя цель была выше. Кроме того, обновление не учитывало эти ограничения при привязке к времени.

Значение snapshotTimestamp было установлено так, будто внутренний показатель уже отражал 7-дневный старый внешний соотношение 1,2282. Это создало критический разрыв между временными и ценовыми ссылками. В результате CAPO вычислил максимальный обменный курс примерно 1,1939, что примерно на 2,85% ниже реальной рыночной цены 1,2285.

Это было первое автоматическое обновление, выполненное на блокчейне системой Chaos Labs CAPO Risk Agent с момента его внедрения. Однако тот факт, что первая же автоматическая операция привела к ликвидациям пользователей, сделал сбой особенно тревожным для управления и пользователей.

Автоматическая цепочка исполнения от Edge Risk к AgentHub

Edge Risk — это собственная внеблокчейновая система управления рисками Chaos Labs, которая подготавливает и отправляет изменения параметров с определенного адреса. AgentHub, разработанный BGD, слушает эти изменения через систему автоматизации оракула и распространяет их в протокол.

Неправильное изменение параметра прошло через автоматизированный стек рисков Chaos Labs в двух транзакциях. Сначала Edge Risk рекомендовал изменить лимит до 1,191926 wstETH/ETH в транзакции 0xfbafeaa8c58dd6d79f88cdf5604bd25760964bc8fc0e834fe381bb1d96d3db95. Затем AgentHub выполнил это изменение через один блок в транзакции 0x32c64151469cf2202cbc9581139c6de7b34dae2012eba9daf49311265dfe5a1e.

В феврале ежедневные ликвидации на Aave были относительно небольшими, редко превышая 5 млн долларов, поскольку рыночные условия оставались стабильными. Взлет 10 марта до 21,6 млн долларов — это исключительный случай, примерно в 4 раза выше обычных уровней. После исправления объем ликвидаций быстро вернулся к исходным значениям, что подтверждает, что стресс возник из-за пути оракула, а не из-за системных проблем протокола.

Это подтверждает, что проблема с ценой wstETH была результатом конфигурационной ошибки, а не ухудшения качества залогов или ликвидности внутри экосистемы Aave.

Обнаружение, устранение и компенсация ликвидаций

Несоответствие было обнаружено в течение нескольких минут, что вызвало ускоренную реакцию команды Aave и поставщиков рисков. Для ограничения дальнейших потерь лимиты на заимствование wstETH в Aave Core и Aave Prime были быстро снижены до 1, что фактически заморозило новые заимствования по этому активу.

Ручное вмешательство Risk Steward позволило скорректировать snapshotRatio в соответствии с текущим snapshotTimestamp, восстановив правильное значение оракула. Исправление оракула было выполнено через транзакцию 0xb883ad2f1101df8d48f014ba308550f3251c2e0a401e7fc9cf09f9c2a158259d, а изменение лимита заимствования — через транзакцию 0x34f568b28dbcaf6a8272038ea441cbc864c8608fe044c590f9f03d0dac9cf7f8.

Несмотря на вынужденные продажи, протокол не понес плохой долг и опубликовал подробный отчет для форума управления Aave. Однако убытки пользователей от ликвидаций потребовали отдельной политики компенсации, которая в итоге реализовала структурированный план возмещения.

Для компенсации пострадавших аккаунтов Aave вернул 141,5 ETH в виде бонусов за ликвидацию через Refunds BuilderNet. Казначейство DAO покрывало оставшуюся разницу, а общая сумма возмещения пользователям была ограничена 358 ETH. Важно отметить, что план был реализован через прямое предложение по улучшению Aave (AIP), что обеспечило полную компенсацию пострадавших пользователей, несмотря на инфраструктурную ошибку.

Рыночный контекст инцидента 10 марта

Кроссчейн-активность на Aave демонстрировала устойчивый рост пользователей в период февраль–март. Например, Avalanche зафиксировала 38 445 пользователей, внесших депозиты 10 февраля, а Base — 31 763 пользователя 6 марта, за четыре дня до события ликвидации, вызванного оракулом.

Эти пики подчеркивают растущее вовлечение пользователей в сети, поддерживаемые Aave, несмотря на сложный технический инцидент. Более того, общие депозиты и заимствования оставались стабильными в начале 2026 года, что свидетельствует о сохранении доверия к основной архитектуре протокола после инцидента.

Стабильность депозитов и быстрое восстановление ликвидаций подтверждают, что проблема с неправильной оценкой wstETH возникла из-за конфигурационных ошибок, а не из-за системных проблем залоговых рынков. Однако концентрационный риск в поставщиках автоматизации и оракульных путях остается структурной проблемой для DeFi-платформ на уровне Aave.

Управление, прозрачность и будущее автоматизированного исполнения оракулов

Инцидент 10 марта показывает, какие управленческие компромиссы создают автоматизированные исполнения оракулов в крупных протоколах DeFi. Chaos Labs’ Edge Risk предложил лимит ниже рыночного, AgentHub BGD выполнил его через один блок, и ликвидации последовали в течение нескольких минут, практически без времени на вмешательство человека.

Aave отреагировал быстрым обнаружением, решительными мерами и полной компенсацией пользователей, частично за счет казначейства DAO. Однако инцидент выявил недостатки в предварительной проверке перед исполнением и подчеркнул риски чрезмерной зависимости от одного собственнического системы управления рисками. В частности, закрытая природа расчетов Chaos Labs Edge Risk ограничивает независимую проверку и передает значительную операционную ответственность внешним поставщикам.

По мере внедрения все большего числа протоколов DeFi автоматизированных систем CAPO Risk Agent и подобных решений, инцидент показывает, что управление должно включать надежное тестирование, явные окна проверки и прозрачный контроль. Кроме того, архитектура оракула Aave, вероятно, потребует дополнительных уровней безопасности, таких как мультиисточниковые проверки или поэтапные развертывания, чтобы избежать повторных ошибок, приводящих к потерям пользователей.

В целом, ликвидации 10 марта не были рыночным кризисом, а служили стресс-тестом управления и инфраструктуры. Комбинация автоматизации, быстрого исполнения и непрозрачного моделирования рисков подчеркивает необходимость балансировать эффективность с прозрачными, проверяемыми мерами для защиты пользователей.