У тому, що описують як одну з найбільш руйнівних помилок типу «товстий палець» (fat finger) в історії децентралізованих фінансів (DeFi), криптокит фактично спалив майже $50 мільйонів за одну транзакцію 12 березня 2026 року. Користувач намагався обміняти USDT на суму $50,4 мільйона на токени AAVE, але через катастрофічну нестачу ліквідності та проігноровані попередження про безпеку він отримав лише 324 AAVE, вартістю приблизно $50,000 на той момент.
Ця угода, виконана через інтерфейс Aave за допомогою маршрутизації CoW Swap, підкреслила жорстоку реальність динаміки ончейн-ліквідності. На типовому ліквідному ринку $50 мільйонів придбали б сотні тисяч токенів AAVE. Однак, скинувши таке масивне замовлення в один ончейн-канал, трейдер настільки агресивно зрушив криву ціни, що заплатив середню ціну, яка була в тисячі разів вищою за фактичну ринкову ставку.
Анатомія прослизання (Slippage) на $50 мільйонів
Механіка, що стоїть за цією втратою, корениться в моделі Автоматичного Маркет-Мейкера (AMM), яку використовує більшість децентралізованих бірж. На відміну від централізованих бірж з книгами ордерів, DEX покладаються на пули ліквідності. Коли ордер на купівлю значно перевищує доступну ліквідність, протокол повинен рухатися далі вгору по кривій ціни, щоб виконати запит.
У цьому випадку своп USDT на суму $50,4 мільйона майже миттєво вичерпав доступний AAVE за розумними цінами. Щоб виконати «підписані» параметри угоди, протокол маршрутизації був змушений купувати AAVE за астрономічно завищеними цінами. Це призвело до «прослизання» (slippage)— різниці між очікуваною ціною угоди та ціною, за якою угода фактично виконується — майже 99,9%.
Проігноровані попередження та виконання з мобільного пристрою
За словами засновника Aave Labs, Stani Kulechov, інтерфейс протоколу функціонував саме так, як задумано. Система визначила величезний вплив на ціну та активувала попередження високого рівня. Щоб продовжити, користувач мав вручну підтвердити попередження про «надзвичайне прослизання» та підтвердити ризик, встановивши відповідний прапорець.
Дані свідчать, що транзакція була підтверджена з мобільного пристрою. Аналітики припускають, що користувач, можливо, поспішав або не зміг усвідомити масштаб попередження, відображеного на меншому екрані. CoW Swap пізніше підтвердив, що транзакція відповідала точним параметрам, підписаним користувачем, не залишивши місця для захисту на основі технічного «експлойту». Це був чистий випадок помилки користувача у середовищі без дозволів (permissionless environment).
Куди пішли гроші?
Найбільш нагальне питання для спільноти полягає в тому, куди насправді поділися втрачені $50 мільйонів. На відміну від злому, коли кошти переміщуються на один гаманець, цей капітал був розподілений екосистемою Ethereum через кілька каналів:
- Боти MEV: Основними бенефіціарами стали боти Максимально Видобутої Вартості (Maximum Extractable Value, MEV). Звіти свідчать, що боти ETH MEV привласнили приблизно $9,9 мільйона, випереджаючи (front-running) або оточуючи (sandwiching) транзакцію, щоб захопити величезну різницю в ціні.
- Постачальники ліквідності: Значна частина «втраченого» USDT залишається в пулах ліквідності, використаних для обміну. Арбітражери та постачальники, які володіли AAVE на протилежному боці цих пулів, фактично продали свої токени з величезною премією.
- Комісії протоколу: Транзакція згенерувала приблизно $600,000 у комісіях для залучених протоколів. У рідкісному жесті доброї волі Aave та CoW Swap пообіцяли повернути цю конкретну суму комісій постраждалому користувачу.
Дискусія: Автономія користувача проти Запобіжних заходів (Guardrails)
Інцидент поновив запеклу дискусію в секторі DeFi щодо балансу між захистом користувачів та філософією «код — це закон». Протокол CoW Protocol прокоментував помилку на X, заявивши, що, хоча вони переглядають запобіжні механізми, «заборона користувачам здійснювати угоди позбавляє їх вибору і може призвести до жахливих наслідків у певних ситуаціях».
Платформа зазначила, що досвід користувача (UX) у DeFi все ще не на тому рівні, щоб захистити користувачів від самих себе. Хоча інтерфейс Aave надав прапорець, той факт, що користувач зміг виконати угоду з прослизанням 99,9%, розглядається деякими як недолік дизайну, який необхідно усунути шляхом більш жорстких «жорстких зупинок» (hard stops) або обов’язкових періодів охолодження для угод, що перевищують певні значення.
Важкі уроки для трейдерів з високими ставками
Для криптотрейдерів та тих, хто переміщує великі суми капіталу, ця помилка слугує похмурим нагадуванням про ризики, пов'язані з ончейн-свопами. Експерти рекомендують кілька «найкращих практик» для уникнення подібних катастроф:
- Перевіряйте толерантність до прослизання: Завжди переконайтеся, що ліміти прослизання встановлені на рівні 0,5% або 1%. Якщо угоду неможливо виконати в межах цих меж, протокол повинен автоматично скасувати її.
- Розбивайте великі ордери: Обмін $50 мільйонів за один раз рідко буває ефективним. Великі угоди слід розбивати на менші «транші» протягом кількох годин або днів, щоб ліквідність могла поповнитися.
- Використовуйте захист MEV: Використання «приватних» RPC-ендпойнтів або спеціалізованих агрегаторів із захистом MEV може запобігти викраденню вартості ботами під час угод із високим впливом.
Хоча Aave Labs висловила співчуття і намагається зв’язатися з користувачем, для втрати у $50 мільйонів кнопки «скасувати» не існує. У світі DeFi свобода бути власним банкіром несе абсолютну відповідальність за управління власною безпекою.