To, čo je označované za jednu z najničivejších chýb typu „fat finger“ v histórii decentralizovaných financií (DeFi), viedlo k tomu, že krypto-veľryba efektívne spálila takmer 50 miliónov dolárov v jedinej transakcii 12. marca 2026. Používateľ sa pokúsil zameniť USDT v hodnote 50,4 milióna dolárov za tokeny AAVE, ale v dôsledku katastrofálneho nedostatku likvidity a ignorovania bezpečnostných upozornení získal len 324 AAVE, ktoré mali v tom čase hodnotu približne 50 000 dolárov.
Obchod, vykonaný prostredníctvom rozhrania Aave cez smerovanie (routing) CoW Swap, poukázal na krutú realitu dynamiky on-chain likvidity. Na bežnom likvidnom trhu by 50 miliónov dolárov zaistilo nákup státisícov tokenov AAVE. Avšak tým, že takúto masívnu objednávku „zhodili“ do jedinej on-chain cesty, obchodník posunul cenovú krivku tak agresívne, že zaplatil priemernú cenu tisíckrát vyššiu ako bola skutočná trhová sadzba.
Anatómia 50-miliónového sklzu (Slippage)
The mechanics behind the loss are rooted in the Automated Market Maker (AMM) model used by most decentralized exchanges. Unlike centralized exchanges with order books, DEXs rely on liquidity pools. When a buy order is significantly larger than the available liquidity, the protocol must move further up the price curve to fill the request.
V tomto prípade výmena USDT v hodnote 50,4 milióna dolárov takmer okamžite vyčerpala dostupný AAVE za rozumné ceny. Aby bolo možné splniť „podpísané“ parametre obchodu, smerovací protokol bol nútený nakúpiť AAVE za astronomicky nafúknuté ceny. To viedlo k „sklzu“ (slippage)—rozdielu medzi očakávanou cenou obchodu a cenou, za ktorú sa obchod skutočne vykoná—takmer 99,9 %.
Ignorované varovania a vykonanie z mobilu
Podľa zakladateľa Aave Labs, Staniho Kulechova, rozhranie protokolu fungovalo presne podľa plánu. Systém identifikoval masívny cenový dopad a spustil upozornenie na vysokej úrovni. Aby používateľ mohol pokračovať, musel manuálne potvrdiť varovanie o „mimoriadnom sklze“ a potvrdiť riziko zaškrtnutím špecifického políčka.
Dáta naznačujú, že transakcia bola potvrdená na mobilnom zariadení. Analytici špekulujú, že používateľ sa mohol ponáhľať alebo nepochopil rozsah varovania zobrazeného na menšej obrazovke. CoW Swap neskôr potvrdil, že transakcia presne dodržala parametre podpísané používateľom, čo neumožňovalo obhajobu prostredníctvom technického „zneužitia“ (exploit). Išlo o čistý prípad chyby používateľa v prostredí bez povolenia (permissionless environment).
Kam zmizlo 50 miliónov dolárov?
Najnaliehavejšou otázkou pre komunitu je, kam sa týchto stratených 50 miliónov dolárov skutočne podelo. Na rozdiel od hacku, kde sú prostriedky presunuté do jednej peňaženky, tento kapitál bol distribuovaný naprieč ekosystémom Ethereum prostredníctvom niekoľkých kanálov:
- MEV Boty: Maximálni extrahovateľní hodnotiaci boty (MEV Bots) boli primárnymi príjemcami. Správy naznačujú, že ETH MEV boty si pripísali približne 9,9 milióna dolárov tým, že transakciu predbehli (front-running) alebo ju obklopili (sandwiching) s cieľom zachytiť masívny cenový rozdiel.
- Poskytovatelia likvidity: Významná časť „strateného“ USDT zostáva v likviditných pooloch použitých na výmenu. Arbitrážni obchodníci a poskytovatelia, ktorí držali AAVE na druhej strane týchto poolov, v podstate predali svoje tokeny s masívnou prémiou.
- Poplatky protokolu: Transakcia vygenerovala približne 600 000 dolárov v poplatkoch pre zúčastnené protokoly. V zriedkavom prejave dobrej vôle Aave aj CoW Swap prisľúbili vrátenie týchto konkrétnych súm poplatkov dotknutému používateľovi.
Debata: Autonómia používateľa vs. Záchranné siete
Incident opätovne rozprúdil ostrú debatu v sektore DeFi týkajúcu sa rovnováhy medzi ochranou používateľa a filozofiou „kód je zákon“. Protokol CoW sa k tejto chybe vyjadril na X, pričom uviedol, že hoci prehodnocujú záchranné mechanizmy, „zabránenie používateľom v obchodovaní odstraňuje voľbu a môže viesť k hrozným následkom v niektorých situáciách.“
Platforma poznamenala, že používateľská skúsenosť (UX) v DeFi ešte nie je na úrovni, ktorá by používateľov chránila pred nimi samými. Hoci rozhranie Aave poskytlo zaškrtávacie políčko, skutočnosť, že používateľ mohol vykonať obchod s 99,9 % sklzu, je niektorými vnímaná ako dizajnová chyba, ktorú je potrebné riešiť prostredníctvom prísnejších „hard stop“ opatrení alebo povinných lehôt na rozmyslenie (cooling-off periods) pre obchody nad určitú hodnotu.
Tvrdé lekcie pre obchodníkov s vysokými stávkami
Tento prešľap slúži ako mrazivé pripomenutie rizík spojených s on-chain swapmi pre krypto obchodníkov a tých, ktorí presúvajú veľké sumy kapitálu. Experti odporúčajú niekoľko „osvedčených postupov“ na predchádzanie podobným katastrofám:
- Skontrolujte toleranciu sklzu: Vždy sa uistite, že limity sklzu sú nastavené na 0,5 % alebo 1 %. Ak sa obchod nedá zrealizovať v rámci týchto hraníc, protokol by ho mal automaticky zrušiť.
- Rozdeľte veľké objednávky: Výmena 50 miliónov dolárov v jednej transakcii je zriedkakedy efektívna. Veľké obchody by sa mali rozdeliť do menších „tranží“ počas niekoľkých hodín alebo dní, aby sa umožnilo doplnenie likvidity.
- Používajte MEV ochranu: Využitie „súkromných“ RPC endpointov alebo špecifických agregátorov chránených pred MEV môže zabrániť botom v odčerpávaní hodnoty počas obchodov s vysokým dopadom.
Hoci Aave Labs vyjadrili sústrasť a pokúšajú sa kontaktovať používateľa, pre 50-miliónovú stratu neexistuje žiadne tlačidlo „späť“. Vo svete DeFi prichádza sloboda byť vlastnou bankou s absolútnou zodpovednosťou za riadenie vlastnej bezpečnosti.