2.92 мільярди доларів США урок: з крадіжки rsETH дивіться безпеку DeFi

Написано: Лю Цзяо Лян

Вступ: Щасливий випадковий збіг

18 квітня 2026 року, мост rsETH від Kelp DAO був атакований, викрадено активів приблизно на 292 мільйони доларів США. Зловмисник зберіг викрадені rsETH у Aave, позичив ETH, що спричинило паніку щодо непогашених боргів. Використання ETH на Aave миттєво зросло до 100%, безліч невинних вкладників втратили свої кошти.

Але Цзяо Лян за два місяці раніше, 5 лютого, просто перевів усі свої депозити з Aave до Spark. Мотивація була дуже проста: дохідність Spark була трохи вищою за Aave. В результаті він випадково уникнув цієї кризи.

Це не передбачення, не судження, а чиста удача. Але ця удача змусила Цзяо Лян серйозно задуматися над питанням: чи можливо ще раз так пощастить?

З цієї події Цзяо Лян підсумував свої помилки, уроки та роздуми у світі DeFi, і виклав їх нижче.

I. 2026.4.18: Як метелик махає крилами

1.1 Сам напад

18 квітня о 17:35 UTC зловмисник керував гаманцем, який викликав контракт EndpointV2 LayerZero, активувавши міжланцюговий міст Kelp DAO, і випустив 116 500 rsETH на адресу зловмисника. За тодішнім ринковим курсом це приблизно 292 мільйони доларів США. [1]

Гаманець зловмисника за 10 годин до цього отримав кошти через пул Tornado Cash на 1 ETH — поширений спосіб маскування коштів у DeFi-атаках.

Реакція Kelp DAO була не дуже повільною. Через 46 хвилин їхній екстрений мульти-підписаний гаманець виконав команду pauseAll, заблокувавши основний контракт і запобігши двом подальшим спробам викрасти ще близько 100 мільйонів доларів. [1]

1.2 Передача ризику до Aave

Але справжня буря була не в Kelp DAO, а в більш відомому протоколі позик Aave.

Зловмисник зберіг викрадені rsETH у Aave як заставу і позичив ETH. Цей крок перетворив зовнішню атаку у внутрішній ризик непогашених боргів Aave. [2]

Ринок швидко відреагував. Ведмеді почали знімати ETH з Aave. За даними Lookonchain, використання ETH на Aave швидко досягло 100% — це означає, що у пулі майже не залишилось ETH для зняття або нових позик. [2]

Невинні користувачі, які ніколи не торкалися rsETH і зберігали лише ETH, також втратили доступ до своїх коштів.

Ось ціна спільного пулу позик: вам не потрібно безпосередньо контактувати з поганим яблуком, достатньо бути в одному пулі — і вас також зачепить.

1.3 Внутрішні ризики неконтрольованого позичання

Засновник Curve Майкл Егоров у коментарі після події сказав: це саме ризик, який притаманний популярній моделі неконтрольованого позичання. Вона має хорошу масштабованість, але й підвищує ризики. Управління ризиками — ключовий момент, і Aave в цьому плані справляється добре. [3]

Його натяк був у тому, що ця проблема не є унікальною для Aave, а є властивою цій моделі.

Цзяо Лян вважає, що це правильна оцінка. Але проблема в тому, що звичайним користувачам важко заздалегідь передбачити, коли ризик стане реальністю.

II. Конфліктний момент: слова проти дій

2.1 Розбіжність між заспокоєнням і діями

Офіційний представник Aave заявив, що ситуація під контролем, і модуль безпеки Umbrella може виступати як перша лінія захисту. [1]

Але справжнє обговорення викликав поведінка Андре Кронье (AC).

У твіті він сказав: у Aave є 7 мільярдів доларів ETH, з яких виведено лише 100 мільйонів, і вплив мінімальний. Навіть якщо з’являться непогашені борги, модуль безпеки Aave і токен AAVE — це перша лінія захисту. [4]

Водночас він створив протокол PUT і вивів усі ETH з Aave. Його пояснення — мета PUT — забезпечити ліквідність користувачів, і зниження доступної ліквідності на Aave до мінімального порогу — це просто тригер правил, а не ознака банкрутства Aave. [4]

З точки зору правил, він не зробив помилки. Але з точки зору стороннього спостерігача важко не скласти враження: одне говорить, інше робить.

2.2 Історія римуються

Це не перший раз.

У травні 2022 року сталася криза Luna. До Квон у UST після втрати прив’язки він повторював, що не варто панікувати, алгоритм відновиться. Тих, хто йому повірив, зжерла криза.

У листопаді 2022 року FTX збанкрутував. SBF після паніки заявив, що активи в порядку, FTX — здорова. Тих, хто йому повірив, також зжерла криза.

У Цзяо Ляна є друзі, які тримали великі суми в FTX. Побачивши паніку і заспокоєння одночасно, він обрав виведення коштів для захисту. Після він сказав, що тоді ще не знав, чи збанкрутує FTX, але був впевнений, що якщо так станеться, він не зможе втекти. Тому він вирішив вивести кошти першими.

Ця логіка — найважливіша для звичайних користувачів у кризовій ситуації: не ставтеся під підозру до стіни, яка може обвалитися. Ви не знаєте, чи вона впаде. Ви просто повинні пам’ятати: не потрібно стояти під нею.

III. Два досвіди Цзяо Ляна: від пастки до випадкової удачі

3.1 Перший: Compound заблокований

Листопад 2025 року, Цзяо Лян зберіг у Compound деякі USDC. Він не торкався deUSD і не знав, що таке xUSD.

Але команда xUSD 4 листопада визнала збитки на 93 мільйони доларів і заявила про втрату прив’язки. Внаслідок цього зірвалася прив’язка deUSD. Compound прийняв deUSD як заставу. О 5 ранку було терміново зупинено зняття коштів. [5]

Кошти Цзяо Ляна були заблоковані.

Того дня він написав у статті: «Могли б спокійно і без поспіху, заздалегідь, вчора, вивести кошти для захисту. Але раптом зупинили зняття — і тепер немає навіть можливості швидко і з зусиллями вивести кошти». [5]

На щастя, масштаб непогашених боргів був лише кілька мільйонів доларів, і модуль безпеки спрацював, тому все закінчилося без катастрофи.

Але Цзяо Лян запам’ятав урок: ризик може передаватися. Вам не потрібно безпосередньо контактувати з поганим яблуком, достатньо бути в одному пулі — і вас також зачепить.

3.2 Другий: Виведення з Aave

5 лютого 2026 року Цзяо Лян перевів свої депозити з Aave до Spark.

Причина була дуже проста і навіть банальна: дохідність Aave знизилася, у Spark вона була трохи вищою. Він просто перемістив кошти з менш вигідного місця у більш вигідне.

Ця операція відбувалася щодня. Цзяо Лян не передбачав, що через два місяці Aave знову зламається, не аналізував ризики rsETH і не мав внутрішньої інформації.

Але він випадково уникнув кризи Aave у квітні.

Цзяо Лян вважає це удачею. Але він також задумався: чи є в цій удачі якась закономірність у випадковості?

3.3 Порівняння двох випадків

Перший: пасивна пастка, випадкова втеча. Другий: активна мобільність, випадковий захист.

Не потрібно шукати правильність суджень — це важко. Головне — зберігати ліквідність і бути готовим до випадкових ситуацій.

Але це не довгостроковий вихід. Як кажуть, хто багато ходить берегом, той не уникне намокання.

IV. Новий фронт: Непрозорість поза ланцюгом Spark

4.1 Тимчасове притулок

Після виходу з Aave Цзяо Лян перевів частину коштів у Spark.

Що таке Spark? Це автоматизований розподільник капіталу, який автоматично розподіляє USDS, sUSDS, USDC та інші активи між різними протоколами DeFi і RWA-продуктами для оптимізації доходу. [6]

4.2 Структура активів

За офіційними даними Spark, загальні активи його ліквідного шару становлять близько 2,1 мільярда доларів.

Цзяо Лян звернув увагу, що понад 90% активів — це стабільні монети на ланцюгу, які можна відстежувати. Але організація Anchorage, яка тримає близько 7% активів, — це позаланцюгові активи, і звичайним користувачам їх не видно.

4.3 Обмін ризиками

Цзяо Лян вважає, що перехід від Aave до Spark — це не безпечне оновлення, а обмін ризиками.

У протоколах типу Aave або Compound ризики досить прозорі: що є заставою, яка межа ліквідації, код відкритий. Ризики виникають через коливання ринку або атаки.

У Spark ризики додають новий вимір: організаційне управління, RWA, непрозорі стратегії. Ви не знаєте, що саме робить Anchorage з 150 мільйонами доларів, і не можете відслідковувати кожну зміну стратегії в реальному часі.

Це не означає, що Spark небезпечний. З моменту запуску Spark управляє понад 4 мільярдами доларів і не мав жодних інцидентів безпеки. Цзяо Лян хоче сказати: будь-який протокол має ризики, просто вони різні за типами. Звичайний користувач має знати, з яким ризиком він має справу, а не сліпо довіряти, що протокол ніколи не зламається.

V. Історичні уроки: чотири висновки

Цзяо Лян зібрав усі кризові ситуації, що трапилися в DeFi за ці роки, і створив таблицю:

(таблиця пропущена у перекладі)

З цих чотирьох подій Цзяо Лян зробив висновки:

1. Не ставте під підозру стіну, яка може обвалитися. При появі ознак аномалії спершу припускайте, що стіна може впасти, і швидко виводьте кошти. Якщо стіна не впаде — ви втратите лише кілька газових комісій і кілька днів відсотків. Якщо впаде — збережете весь капітал.

2. Не довіряйте лише словам, дивіться на дії. Будь-які заспокійливі слова від KOL або засновників потрібно перевіряти їхніми діями. Той, хто говорить — не несе відповідальності, а той, хто робить — відповідає сам.

3. Зберігайте ліквідність і свободу руху. Ніколи не ставте себе у ситуацію, коли не зможете втекти. Використання 100% utilization — це сигнал: коли ви захочете втекти, вже буде пізно.

4. Усвідомлюйте обмін ризиками. Перед вибором протоколу запитайте себе: що ви отримуєте за доходом і які нові ризики приймаєте? Прозорі ризики на ланцюгу проти позаланцюгових організацій, ринкові коливання проти стратегічних помилок — немає абсолютної безпеки, лише різні типи ризиків.

VI. Остаточна відповідь: вихід із гри

6.1 Чому потрібно виходити

Цзяо Лян зрозумів: поки ви прагнете доходу, ви завжди піддаєтеся ризикам.

У Aave ви піддаєтеся ризику поширення через спільний пул. У Spark — непрозорості організаційних ризиків. У стабільних монетах — ризику емісії та регулювання. У BTC у капсулі — ризику托管 і跨鏈橋.

Кожен перехід — це не оновлення, а обмін ризиками.

6.2 План Цзяо Ляна

Використовуючи цей бичий ринок, він планує поступово перевести всі або більшу частину коштів у DeFi у власний BTC на ланцюгу.

Це не wBTC, не cbBTC, не будь-які інші капсульовані активи. Це — нативний BTC. Зберігати його потрібно у власному гаманці під повним контролем.

Цзяо Лян вважає, що це єдиний актив у криптомірі, який не вимагає довіри до третіх осіб.

6.3 Вартість і відповідальність

BTC на ланцюгу не приносить відсотків — це ціна.

Управління приватним ключем переходить від протоколу до користувача — це відповідальність.

Процес конвертації також має ризики і вимагає обережності.

Цзяо Лян готовий прийняти ці витрати, бо, на його думку, безпечність без довіри до будь-кого вартує втрати кількох відсотків річної доходності.

6.4 Останнє слово

Ми зайшли у криптовалютний світ, щоб знайти місце без довіри до банків. Обійшовши все, ми довірилися коду, команді, модулю безпеки, заспокійливим словам KOL…

Але в кінці кінців, справжня мета — повернутися до найпростіших речей: зберігати свої Bitcoin самостійно.

Джерела:

[1] The Block, “Мост rsETH від Kelp DAO, ймовірно, був зламаний для приблизно $292 мільйонів у LayerZero-атаці”, 18 квітня 2026

[2] Lookonchain, X-пост про досягнення ETH utilization rate на Aave 100%, 19 квітня 2026

[3] Майкл Егоров, X-пост про ризики неконтрольованого позичання, 19 квітня 2026

[4] Андре Кронье, X-пост про рішення вивести PUT, 19 квітня 2026

[5] Лю Цзяо Лян, “Бабинець бурі”, 5 листопада 2025. [посилання]

[6] Spark, офіційні дані Spark Liquidity Layer