Amit a decentralizált pénzügyek (DeFi) történetének egyik legpusztítóbb „elhízott ujj” (fat finger) hibájaként jellemeznek, egy kriptobálna szó szerint elhamvasztott közel 50 millió dollárt egyetlen tranzakcióban 2026. március 12-én. A felhasználó 50,4 millió dollár értékű USDT-t próbált meg AAVE tokenre cserélni, de a likviditás katasztrofális hiánya és figyelmen kívül hagyott biztonsági figyelmeztetések miatt mindössze 324 AAVE-t kapott, ami akkoriban körülbelül 50 000 dollárt ért.
A CoW Swap útválasztáson keresztül, az Aave felületen végrehajtott kereskedés rávilágított az on-chain likviditási dinamika kegyetlen valóságára. Egy tipikus likvid piacon 50 millió dollár több százezer AAVE tokent vásárolna. Azonban azzal, hogy ekkora méretű megbízást egyetlen on-chain útvonalra zúdított, a kereskedő annyira agresszíven tolta el az árgörbét, hogy az tényleges piaci árnál több ezerszer magasabb átlagárat fizetett.
Az 50 Millió Dolláros Csúszás Anatómiája
A veszteség mögötti mechanizmus a legtöbb decentralizált tőzsde által használt Automatikus Piaci Teremtő (AMM) modellben gyökerezik. A tőzsdei könyvekkel rendelkező központosított tőzsdékkel ellentétben a DEX-ek likviditási poolokra támaszkodnak. Amikor egy vételi megbízás jelentősen nagyobb, mint a rendelkezésre álló likviditás, a protokollnak feljebb kell mozdulnia az árgörbén a kérés teljesítéséhez.
Ebben az esetben az 50,4 millió dolláros USDT csere szinte azonnal kimerítette a rendelkezésre álló AAVE-t ésszerű áron. A kereskedés „aláírt” paramétereinek teljesítése érdekében az útválasztó protokollt csillagászati mértékben felpumpált árakon kényszerült AAVE-t vásárolni. Ennek eredménye „csúszás” (slippage) lett—a kereskedés várható ára és a kereskedés tényleges végrehajtásának ára közötti különbség—közel 99,9%.
Figyelmen kívül hagyott figyelmeztetések és mobil végrehajtás
Stani Kulechov, az Aave Labs alapítója szerint a protokoll felülete pontosan a terveknek megfelelően működött. A rendszer felismerte a hatalmas árhatást, és magas szintű riasztást indított el. A folytatáshoz a felhasználónak manuálisan el kellett fogadnia egy „rendkívüli csúszásra” vonatkozó figyelmeztetést, és egy adott jelölőnégyzetre kattintva megerősítenie a kockázatot.
Az adatok azt mutatják, hogy a tranzakció mobil eszközön került megerősítésre. Az elemzők feltételezik, hogy a felhasználó sietett, vagy nem fogta fel a kisebb képernyőn megjelenő figyelmeztetés nagyságrendjét. A CoW Swap később megerősítette, hogy a tranzakció pontosan követte a felhasználó által aláírt paramétereket, nem hagyva teret technikai „kihasználásos” védekezésnek. Ez egy tiszta felhasználói hiba volt egy engedély nélküli környezetben.
Hová tűnt a pénz?
A közösség számára a legégetőbb kérdés az, hogy hová is került valójában az elveszett 50 millió dollár. Ellentétben egy feltöréssel, ahol az alapokat egyetlen tárcába mozgatják, ez a tőke több csatornán keresztül oszlott szét az Ethereum ökoszisztémában:
- MEV botok: A Maximum Extractable Value (MEV) botok voltak a fő kedvezményezettek. Jelentések szerint az ETH MEV botok körülbelül 9,9 millió dollárt zsebeltek be azzal, hogy a tranzakció előtt vagy mögött pozíciót foglalva (front-running vagy sandwiching) megragadták a hatalmas árkülönbözetet.
- Likviditási Szolgáltatók: Az „elveszett” USDT jelentős része a csere során használt likviditási poolokban maradt. Az arbitrázsosok és azok a szolgáltatók, akik a poolok másik oldalán AAVE-val rendelkeztek, lényegében hatalmas feláron adták el tokenjeiket.
- Protokoll Díjak: A tranzakció hozzávetőlegesen 600 000 dollár díjat generált az érintett protokollok számára. A jóakarat ritka gesztusaként az Aave és a CoW Swap is ígéretet tett ezen konkrét díjösszegek visszafizetésére az érintett felhasználónak.
A vita: Felhasználói autonómia kontra védőkorlátok
Az incidens újra fellobbantotta a DeFi szektoron belüli heves vitát a felhasználói védelem és a „kód az isten” filozófia közötti egyensúlyról. A CoW Protocol az X-en (korábbi nevén Twitter) reagált a baklövésre, kijelentve, hogy bár felülvizsgálják a biztonsági intézkedéseket, „a felhasználók kereskedésének megakadályozása megszünteti a választás lehetőségét, és bizonyos helyzetekben rossz eredményekhez vezethet.”
A platform megjegyezte, hogy a DeFi felhasználói élménye (UX) még mindig nem ott tart, ahol kellene ahhoz, hogy megvédje a felhasználókat önmaguktól. Bár az Aave felület biztosított egy jelölőnégyzetet, az a tény, hogy egy felhasználó tudott végrehajtani egy 99,9%-os csúszással járó kereskedést, egyesek szerint tervezési hiba, amelyet szigorúbb „hard stopok” vagy bizonyos érték feletti kereskedésekre vonatkozó kötelező hűtési időszakok révén kell orvosolni.
Kemény leckék a nagy tétekkel kereskedők számára
A kriptokereskedők és a nagy tőkemozgások számára ez a baklövés komor emlékeztetőül szolgál az on-chain cserékkel járó kockázatokra. A szakértők több „bevált gyakorlatot” javasolnak a hasonló katasztrófák elkerülésére:
- Ellenőrizze a csúszási toleranciát: Mindig győződjön meg róla, hogy a csúszási limiteket 0,5%-ra vagy 1%-ra állítsa. Ha egy kereskedést nem lehet ezen keretek között kitölteni, a protokollnak automatikusan meg kell szüntetnie azt.
- Ossza fel a nagy megbízásokat: Az 50 millió dollár egyben történő cseréje ritkán hatékony. A nagy kereskedéseket kisebb „trancsokra” kell bontani több órán vagy napon keresztül, hogy a likviditás pótlódhasson.
- Használjon MEV védelmet: A „privát” RPC végpontok vagy kifejezetten MEV-védett aggregátorok használata megakadályozhatja, hogy a botok értéket szívjanak el a nagy hatású kereskedések során.
Bár az Aave Labs együttérzését fejezte ki, és megpróbálja felvenni a kapcsolatot a felhasználóval, az 50 millió dolláros veszteségre nincs „visszavonás” gomb. A DeFi világában az a szabadság, hogy saját bankja lehessen, a saját biztonságának kezelésével járó abszolút felelősséggel párosul.