Одна устаревшая метка времени, потеряно $26 миллионов: внутри краха оракула Aave и переоценка ценовых фидов в DeFi

10 марта 2026 года 34 пользователя Aave обнаружили, что их абсолютно здоровые кредитные позиции были принудительно ликвидированы. В общей сложности они потеряли около 26,9 млн $ — не из-за обвала рынка и не из-за того, что они не справились с управлением рисками, а из-за того, что один неверно настроенный параметр оракула сообщил Aave, что обернутый стейкинговый эфир (wstETH) стоит на 2,85 % меньше его реальной рыночной цены. В мире DeFi-кредитования с высоким кредитным плечом 2,85 % — это разница между платежеспособностью и катастрофой.

Этот инцидент вновь разжег одну из самых неудобных дискуссий в сфере децентрализованных финансов: насколько «децентрализован» кредитный протокол стоимостью 24 млрд $, который зависит от оффчейн-процессов одного поставщика рисков для оценки своего залога?

Что произошло: ошибка конфигурации с многомиллионными последствиями

Первопричина кроется в Correlated Asset Price Oracle (CAPO) от Aave — защитном механизме, предназначенном для ограничения значений обменного курса и предотвращения манипулирования ценами. CAPO работает, используя коэффициент снимка (ratio) и временную метку снимка (timestamp) для расчета максимально допустимых обменных курсов. Когда эти два параметра синхронизированы, система работает должным образом. 10 марта они не были синхронизированы.

Chaos Labs, основной поставщик услуг по управлению рисками Aave, представил оффчейн-обновление коэффициента снимка. Но есть критическая деталь: смарт-контракт накладывает ограничение скорости (rate-limiting) на коэффициент — он может увеличиваться только на 3 % каждые три дня. Временная метка снимка не имеет такого ограничения.

Когда Chaos Labs обновили параметры, коэффициент был ограничен примерно 1,1939, в то время как временная метка отражала значение семидневной давности. Параметры рассинхронизировались, и оракул вошел в несогласованное состояние.

Результат? CAPO сообщил об обменном курсе wstETH/ETH на уровне примерно 1,1939 вместо фактического рыночного курса около 1,228. Для пользователей, работающих в Режиме эффективности (E-Mode) Aave, который позволяет агрессивно заимствовать под высококоррелированные активы, этого отклонения в 2,85 % было достаточно, чтобы нарушить пороги обеспечения и запустить автоматические ликвидации.

С 34 аккаунтов было принудительно продано около 10 938 wstETH. Сторонние боты-ликвидаторы, действуя согласно алгоритму, получили около 499 ETH прибыли из позиций, которые никогда не должны были быть ликвидированы.

Анатомия «безопасного» оракула, который дал сбой

Что делает этот инцидент особенно тревожным, так это то, что CAPO был специально разработан как механизм безопасности. Он существует для того, чтобы не допустить эксплуатации ценовых скачков. Иронию сложно не заметить: система, созданная для защиты от искусственных движений цен, в итоге сама создала такое движение.

Техническая архитектура выявляет тонкий, но критический недостаток проектирования. Chaos Labs управляет оффчейн-процессом, который вычисляет и отправляет обновления максимального обменного курса, в то время как смарт-контракты BGD Labs служат ончейн-ограничителем. Проблема возникла на стыке этих двух систем.

Оффчейн-процесс не учел ончейн-ограничение, которое лимитирует рост коэффициента до 3 % за трехдневное окно. Когда параметры разошлись, ни одна из систем не зафиксировала несоответствие.

Эта модель — когда оффчейн-процесс и ончейн-ограничение не могут «договориться» — не уникальна для Aave. Она представляет собой системную уязвимость во многих протоколах DeFi, которые полагаются на гибридные архитектуры оракулов, где управляемые человеком процессы взаимодействуют с неизменяемой логикой смарт-контрактов.

История сбоев оракулов в DeFi

Инцидент с Aave пополнил растущий список потерь, связанных с оракулами:

• Moonwell (ноябрь 2025 г.): неисправный фид оракула rsETH/ETH сообщил цену обернутого рестейкингового ETH на уровне около 5,8 млн $за токен, что позволило совершить эксплойт на 1 млн$. Тот же протокол потерял 1,7 млн $ месяцем ранее, когда разрывы цен между оракулом и DEX были использованы во время рыночного краха.
• Ribbon Finance (конец 2025 г.): несоответствие точности десятичных знаков в обновленной системе оракулов привело к потерям всего через шесть дней после развертывания, что указывает на недостаточное тестирование после обновления.
• UwU Lend (июнь 2024 г.): злоумышленник манипулировал рыночными ценами sUSDE на Curve Finance, исказив данные оракула, на которые полагался UwU Lend, что привело к убыткам в размере 19,3 млн $.
• Morpho (2024 г.): неверно настроенный параметр SCALE_FACTOR ошибочно оценил PAXG в 2,6 трлн $ за токен вместо его реальной цены, что позволило злоумышленникам вывести ликвидность через кредиты с избыточным обеспечением.

Общая черта? Каждый инцидент использовал разрыв между тем, что сообщал оракул, и тем, что на самом деле отражал рынок. Будь то ошибки конфигурации, манипуляции или несовпадение десятичных знаков, уровень оракулов остается самой стабильной точкой отказа в DeFi.

Почему зависимость от одного оракула — системный риск для DeFi

Aave управляет общей заблокированной стоимостью (TVL) более чем в 24 млрд $ — что примерно эквивалентно ВВП Исландии. Тем не менее, его ценовые фиды для ключевых активов зависят от конвейера оффчейн-вычислений одного поставщика рисков. Это не проблема конкретно Chaos Labs; это проблема архитектурного паттерна.

Большинство крупных кредитных протоколов DeFi следуют схожей структуре: один основной поставщик оракулов, один набор ценовых фидов, одна точка, где ошибка может каскадом разойтись по всей системе. Событие «каскада под управлением ИИ» в феврале 2026 года, которое привело к потерям DeFi более чем на 400 млн $, продемонстрировало, как быстро автоматизированные системы могут усилить один ошибочный сигнал в связанных протоколах.

Сам рынок оракулов отражает этот риск концентрации. Согласно DefiLlama, Chainlink обеспечивает безопасность большей части общего объема активов DeFi, в то время как альтернативные поставщики, такие как Pyth, RedStone и API3, занимают специализированные ниши, но ни один из них не приближается к доминированию Chainlink. Когда в архитектуре одного провайдера обнаруживается изъян, радиус поражения распространяется на каждый протокол, который от него зависит.

Будущее с несколькими оракулами: появляющиеся архитектуры

Индустрия начинает реагировать. Появляются несколько архитектурных моделей:

Верификация цен из нескольких источников агрегирует потоки данных от нескольких независимых провайдеров оракулов. Если один источник значительно отклоняется от остальных, система может либо использовать медианное значение, либо полностью приостановить операции. Этот подход жертвует задержкой и стоимостью газа ради устойчивости.

Автоматические выключатели (Circuit breakers) набирают популярность — это автоматизированные механизмы, которые приостанавливают ликвидации, когда движение цен превышает заданные пороговые значения в течение короткого промежутка времени. Если бы в Aave был реализован автоматический выключатель, срабатывающий при быстрой переоценке wstETH, ликвидации на сумму 26,9 млн долларов могли бы быть приостановлены и пересмотрены.

Первоисточные оракулы (First-party oracles), продвигаемые такими провайдерами, как API3, позволяют поставщикам данных передавать информацию напрямую в смарт-контракты без посредников. Это устраняет эффект «испорченного телефона», когда данные проходят через несколько оффчейн-уровней, уменьшая поверхность для ошибок конфигурации.

Оракулы с моделью запроса (Pull-model oracles), используемые Pyth и RedStone, переносят ответственность за обновление на потребителя. Вместо того чтобы проталкивать цены в блокчейн через фиксированные интервалы, эти системы позволяют смарт-контрактам запрашивать последнюю цену по требованию, снижая риск получения устаревших данных и сокращая расходы.

Реакция: компенсация и управление в действии

Chaos Labs действовали быстро, чтобы локализовать ущерб. Они временно снизили лимиты заимствования wstETH, вручную перенастроили параметры снимков состояния и восстановили правильные значения оракулов. Сам протокол не понес безнадежных долгов (bad debt).

Затем Aave DAO предприняла шаги по возмещению средств пострадавшим пользователям. Предложение по управлению — [Direct To AIP] wstETH CAPO Oracle Incident User Reimbursement — было представлено для возмещения средств по 34 затронутым аккаунтам. Общая сумма возмещения составляет 512,19 ETH, из которых 141,5 ETH были возвращены в результате инцидента, а до 345 ETH выделено из казначейства DAO. Чистые затраты DAO: примерно 357,56 ETH, и ожидается, что эта цифра уменьшится по мере дальнейшего возврата средств.

Эта реакция демонстрирует одно из подлинных преимуществ DeFi перед традиционными финансами: прозрачное реагирование на инциденты, публично проверяемая компенсация и участие сообщества в управлении процессом исправления последствий. В традиционном банке сопоставимая ошибка конфигурации решалась бы за закрытыми дверями, а пострадавшие клиенты могли бы ждать разрешения ситуации месяцами.

Что это значит для следующей главы DeFi

Инцидент с оракулом Aave стал переломным моментом — не потому, что это была самая крупная потеря в DeFi (это не так), а потому, что он показал, насколько тонка грань безопасности в системах, управляющих миллиардами долларов. Отклонение цены на 2,85%. Рассинхронизация временной метки. Тридцать четыре пользователя, потерявшие 26,9 млн долларов. Таковы ставки при сбое инфраструктуры оракулов.

Для того чтобы DeFi превратился в финансовую инфраструктуру институционального уровня, о которой мечтают его сторонники, должны измениться три вещи:

1. Архитектуры с несколькими оракулами должны стать стандартом. Ни один провайдер, каким бы авторитетным он ни был, не должен быть единственным источником истины для протокола при оценке активов стоимостью в миллиарды.

2. Ончейн-выключатели (circuit breakers) должны стать обязательными. Автоматические паузы во время аномальных ценовых событий дают время для проверки человеком и предотвращают каскадные ликвидации.

3. Оффчейн- и ончейн-системы должны проходить совместную формальную верификацию. Разрыв между оффчейн-процессом Chaos Labs и ончейн-ограничениями BGD был сбоем координации, а не ошибкой в коде. Формальная верификация взаимодействия между этими уровнями — а не только самих смарт-контрактов — имеет важное значение.

Инцидент с оракулом wstETH стоил 26,9 млн долларов. Следующий сбой оракула в более сложной и взаимосвязанной экосистеме DeFi может стоить гораздо дороже. Вопрос не в том, будет ли инфраструктура оракулов DeFi снова подвергнута испытанию, а в том, создаст ли индустрия необходимую избыточность, чтобы выжить.

BlockEden.xyz предоставляет высокодоступную мультичейн-инфраструктуру RPC и API, разработанную для обеспечения надежности, которой требуют протоколы DeFi. Изучите наши сервисы нод, чтобы создавать решения на базе инфраструктуры, спроектированной с учетом отказоустойчивости.