В това, което се описва като една от най-разрушителните грешки от типа „дебел пръст“ (fat finger) в историята на децентрализираните финанси (DeFi), крипто кит ефективно унищожи близо $50 милиона с една-единствена транзакция на 12 март 2026 г. Потребителят се опита да обмени USDT на стойност $50.4 милиона за токени AAVE, но поради катастрофална липса на ликвидност и пренебрегнати предупреждения за безопасност, той получи само 324 AAVE, на стойност приблизително $50,000 по това време.
Сделката, изпълнена през интерфейса на Aave чрез маршрутизирането на CoW Swap, подчерта бруталната реалност на динамиката на ликвидността в блокчейна. На типичен ликвиден пазар $50 милиона биха купили стотици хиляди токени AAVE. Въпреки това, като изсипа такава масивна поръчка в един-единствен път в блокчейна, търговецът измести кривата на цената толкова агресивно, че плати средна цена, хиляди пъти по-висока от действителната пазарна ставка.
Анатомията на пропадане (slippage) от $50 милиона
Механизмите зад загубата се коренят в модела на Автоматичен Маркет Мейкър (AMM), използван от повечето децентрализирани борси. За разлика от централизираните борси с книги за поръчки, DEX разчитат на пулове за ликвидност. Когато поръчка за покупка е значително по-голяма от наличната ликвидност, протоколът трябва да премине по-нагоре по ценовата крива, за да изпълни заявката.
В този случай суапът на USDT за $50.4 милиона изчерпа наличните AAVE на разумни цени почти мигновено. За да изпълни „подписаните“ параметри на сделката, протоколът за маршрутизиране беше принуден да купи AAVE на астрономически завишени цени. Това доведе до „пропадане“ (slippage)—разликата между очакваната цена на сделката и цената, на която сделката всъщност се изпълнява—от близо 99.9%.
Пренебрегнати предупреждения и мобилно изпълнение
Според основателя на Aave Labs, Stani Kulechov, интерфейсът на протокола е функционирал точно по предназначение. Системата е идентифицирала огромното въздействие върху цената и е задействала сигнал на високо ниво. За да продължи, потребителят е трябвало ръчно да потвърди предупреждение за „извънредно пропадане“ (extraordinary slippage) и да потвърди риска, като отметне конкретно квадратче.
Данните сочат, че транзакцията е потвърдена от мобилно устройство. Анализаторите предполагат, че потребителят може би е бързал или не е успял да схване мащаба на предупреждението, показано на по-малък екран. CoW Swap по-късно потвърди, че транзакцията следва точните параметри, подписани от потребителя, не оставяйки място за защита чрез технически „експлойт“. Това е чист случай на грешка на потребителя в среда без разрешителни.
Къде отидоха парите?
Най-належащият въпрос за общността е къде всъщност са отишли изгубените $50 милиона. За разлика от хак, при който средствата се преместват в един портфейл, този капитал беше разпределен в екосистемата на Ethereum чрез няколко канала:
- MEV ботове: Ботовете за Максимално Извличаема Стойност (MEV) бяха основните бенефициенти. Докладите показват, че ETH MEV ботове са прибрали приблизително $9.9 милиона, като са предвидили (front-running) или са „сандвичирали“ (sandwiching) транзакцията, за да уловят огромното ценово несъответствие.
- Доставчици на ликвидност: Значителна част от „изгубения“ USDT остава в пуловете за ликвидност, използвани за суапа. Арбитражистите и доставчиците, които са държали AAVE от другата страна на тези пулове, на практика са продали своите токени с огромна премия.
- Такси за протокола: Транзакцията генерира приблизително $600,000 такси за участващите протоколи. В рядък жест на добра воля, както Aave, така и CoW Swap обещаха да върнат тези конкретни суми на такси на засегнатия потребител.
Дебатът: Автономност на потребителя срещу защитни бариери
Инцидентът отново разпали ожесточен дебат в DeFi сектора относно баланса между защитата на потребителите и философията „кодът е закон“. CoW Protocol се обявиха по повод грешката в X, заявявайки, че въпреки че преглеждат мерките за безопасност, „възпрепятстването на потребителите да извършват сделки премахва избора и може да доведе до ужасни резултати в някои ситуации“.
Платформата отбеляза, че потребителското изживяване (UX) в DeFi все още не е на нивото, необходимо за защита на потребителите от самите тях. Въпреки че интерфейсът на Aave предостави квадратче за отметка, фактът, че потребител може да изпълни сделка с 99.9% пропадане, се разглежда от някои като дефект в дизайна, който трябва да бъде адресиран чрез по-строги „твърди стопове“ (hard stops) или задължителни периоди на изчакване за сделки над определени стойности.
Горчиви поуки за търговците с големи залози
За крипто търговците и тези, които преместват големи суми капитал, тази грешка служи като мрачно напомняне за рисковете, свързани с он-чейн суапове. Експертите препоръчват няколко „най-добри практики“ за избягване на подобни катастрофи:
- Проверете толеранса на пропадане (Slippage Tolerance): Винаги се уверявайте, че лимитите за пропадане са настроени на 0.5% или 1%. Ако сделката не може да бъде изпълнена в рамките на тези граници, протоколът трябва автоматично да я отмени.
- Разделяйте големите поръчки: Суапването на $50 милиона наведнъж рядко е ефективно. Големите сделки трябва да бъдат разделени на по-малки „траншове“ в рамките на няколко часа или дни, за да се позволи възстановяване на ликвидността.
- Използвайте MEV защита: Използването на „частни“ RPC крайни точки или специфични MEV-защитени агрегатори може да попречи на ботовете да откраднат стойност по време на сделки с голямо въздействие.
Докато Aave Labs изрази съчувствие и се опитва да се свърже с потребителя, няма бутон „отмени“ за загубата от $50 милиона. В света на DeFi, свободата да бъдеш своя собствена банка идва с абсолютната отговорност да управляваш собствената си безопасност.