DeFi-протоколы запустили аварийный выход для кредиторов Aave в ETH на фоне атаки на Kelp DAO

По данным CoinDesk, открытая архитектура DeFi одновременно стала причиной и решением кризиса вокруг Aave: поддельное кроссчейн-сообщение на мосту Kelp DAO привело к сотням миллионов долларов проблемной задолженности на Aave, а уже в течение 48 часов коалиция протоколов предложила аварийный маршрут выхода. DEX и кредитный протокол Fluid вместе с партнерами запустил механизм для держателей депозитов Aave в ETH и участников циклических стратегий, позволяющий закрывать позиции в WETH, когда прямые выводы недоступны. Пользователи могут либо полностью выйти из протокола, либо сменить тип залога. Уязвимость Kelp DAO привела к потерям примерно на $290 млн. Согласно данным в реальном времени, за первые 48 часов после запуска Aave обработал вывод 58 510 aWETH из замороженного пула WETH — это около $136 млн. Публикуется дашборд Dune по Fluid. Инфраструктуру собрали менее чем за 24 часа, чтобы решить проблему 100%-й утилизации ETH в Aave после атаки на адаптер моста rsETH от Kelp DAO 18 апреля. Как работает маршрут выхода Механизм позволяет кредиторам Aave обменять aWETH на залог в wstETH или weETH одной транзакцией. Ориентир дисконта — около 2,21% на 1 000 aWETH. Сооснователь 1inch Сергей Кунц отмечал, что торговля на вторичном рынке до погашения приводила к ценам почти на 23% ниже номинала. Поддерживаются два сценария: — Для кредиторов: aWETH конвертируется в залог wstETH или weETH, после чего активы можно вывести. — Для заемщиков: залог переводится из ETH в wstETH или weETH, при этом долг не меняется. Это дает возможность либо закрыть ранее заблокированные позиции, либо продолжать держать доходный залог на Aave. Кредиторы вносят aWETH в Lite ETH-хьюст Fluid и получают wstETH или weETH. Хранилище использует поступивший aWETH, чтобы погасить часть своего долга в WETH на Aave, убирая задолженность без вывода WETH из пула ликвидности Aave. Зачет работает потому, что Fluid — крупнейший единичный участник рынка Aave WETH: круговая позиция Lite-хьюста соответствует примерно $1,5 млрд долга в ETH. Поскольку Fluid принимает на себя уже существующий долг, протокол, по его заявлению, не берет на себя новый направленный риск: он лишь заменяет одно требование к LST-залогу на другое. Это позволяет выходящим кредиторам понести меньший убыток и одновременно снижает экспозицию казначейства к рискам заимствований на рынке с дефицитом предложения. Протокол задействуют Lido Finance, Ether.fi, 0x Protocol, 1inch и KyberNetwork. Lido и Ether.fi предоставляют ликвидность LST, 1inch отвечает за фронтенд, 0x и Kyber — за маршрутизацию ордеров. В гайде по выводу средств, рекомендованном Aave DAO, провайдерам WETH, оказавшимся в ловушке, теперь предлагается использовать маршрутизацию через Fluid. Основатель и CTO Fluid Самьяк Джайн заявил: "Утилизация ETH на Aave достигла 100%, и у кредиторов не осталось вариантов. Fluid построил инфраструктуру и готов масштабировать поддержку кредиторов в ETH в течение часов". Контекст эксплуатации уязвимости Kelp DAO 18 апреля злоумышленник воспользовался уязвимостью в rsETH bridge adapter на базе LayerZero и незаконно выпустил 116 500 rsETH стоимостью около $293 млн — примерно 18% от предложения в обращении — без эквивалентной блокировки rsETH на стороне Ethereum. Затем эти необеспеченные rsETH использовали как залог, чтобы занять на Aave V3 и V4 около $236 млн в WETH, после чего рынок был заморожен. На фоне попыток кредиторов вывести средства до подтверждения дефолта утилизация WETH в Aave за считанные часы достигла 100%, что нарушило механизм пассивных выводов. Плавающие ставки заимствования взлетели до трехзначных значений, а WETH на вторичных рынках начал торговаться с дисконтом. Риск-команда Aave в отчете Incident Report от 20 апреля оценила модель проблемной задолженности в диапазоне $123,7–$230,1 млн — в зависимости от того, как будут распределены требования к недокапитализированному L2-адаптеру rsETH. Kelp DAO и LayerZero расходятся во взглядах на ответственность. В заявлении от 19 апреля Kelp указал, что конфигурация 1:1 DVN на мосту была настройкой по умолчанию, описанной в Quickstart-руководстве LayerZero, и в ходе расширения на L2 команда LayerZero подтверждала ее корректность. LayerZero, со своей стороны, связал уязвимость с подгруппой TraderTraitor из Lazarus Group, ассоциируемой с КНДР, и сообщил, что больше не позволит новым развертываниям OFT использовать конфигурацию 1:1 DVN. Роль компонуемости Та же компонуемость, которая позволила уязвимости распространиться на Aave, Compound, Fluid и другие площадки, дала возможность собрать протокол погашения менее чем за сутки. aWETH — стандартизированный "квитанционный" токен, wstETH и weETH — стандартизированные liquid staking tokens (LST). Функция Aave repayWithATokens публична и не требует разрешений, что позволяет агрегаторам привлекать ликвидность с любых бирж. Процесс Fluid объединяет эти базовые компоненты без голосований по управлению, расходов казначейства или создания новых отношений с контрагентами. Механизм не снижает объем проблемного долга в модели Aave, не отменяет действия атакующего и не влияет на спор LayerZero и Kelp. Он дает отдельный путь выхода для кредиторов, которым иначе пришлось бы ждать "социализированных" решений или принимать более глубокий рыночный дисконт. Fluid заявляет о достаточной производственной мощности и сообщает, что ведет работу с дополнительными партнерами.