50 мільйонів USDT миттєво зникли: ціна підтвердження Aave

13 березня 2026 року в ранкові години одна з операцій на мобільній платформі Aave призвела до обміну 50,43 мільйонів доларів USDT на AAVE, але в блокчейні ця транзакція перетворилася на справжню навчальну катастрофу: понад 99% проскальзування, в результаті було отримано лише приблизно 36 тисяч доларів еквіваленту AAVE, а згодом команда протоколу оголосила про повернення близько 600 тисяч доларів комісійних. Окрім публічно доступних даних, ще більш яскраво кидається в очі структурний конфлікт, який ця аварія відкрила — з одного боку, непохитний принцип «Код — це Закон» у децентралізованій системі, де смарт-контракти безжально виконують встановлені правила; з іншого — постійний заклик до захисту користувачів, терпимості до помилок і запобіжних механізмів. Майже вся сума у 50 мільйонів USDT була знищена між кількома натисканнями «підтвердити», ставши одним із найекстремальніших питань у розвитку DeFi за понад десять років: коли технології та правила «не помиляються», хто заплатить ціну за цю катастрофу?

Великий ордер на 50 мільйонів доларів увірвався у цінову «чорну діру» пулу обсягом 4,5 мільйона доларів

● Структура пулу ліквідності: за даними, зібраними спільнотою, ця транзакція на 50,43 мільйони доларів USDT була здійснена через пул Aave V3 на Ethereum, у якому доступна ліквідність у AAVE становить приблизно 4,5 мільйона доларів (підтвердження потрібне). Іншими словами, користувачі намагалися провести великий ордер на ринкову покупку, який значно перевищує глибину пулу, безпосередньо впливаючи на цінову криву. За механізмом постійного добутку ціна швидко зрушилася до крайніх значень, викликавши ефект майже повного очищення пулу від ліквідності — так званий проскальзувальний удар.

● Математичний вплив на ціну: у моделях з кривими ліквідності ціна не змінюється пропорційно обсягу транзакції, а зростає з прискореною кривою нелінійно — чим більший пул, тим швидше зростає ціновий удар. Коли 50,43 мільйони доларів намагаються «з’їсти» пул з глибиною у кілька мільйонів, кожен наступний крок транзакції коштує експоненційно більше, отримуючи мінімальну кількість AAVE за дуже високою ціною. В результаті проскальзування перевищує 99%, більша частина USDT «сплачується» кривій, а отримані токени — це лише кілька відсотків від суми, еквівалент яких становить близько 36 тисяч доларів.

● Подібні інциденти не поодинокі: дослідження показують, що за останні 12 місяців у схожих протоколах вже трапилося щонайменше 7 випадків із проскальзуванням понад мільйон доларів (дані ще потребують підтвердження). Хоча цей випадок у Aave через масштаб був особливо яскравим, за частотою він не є «чорною лебедицею», а радше системним ризиком у рамках сучасних механізмів AMM і пулів позики — просто раніше обсягів було недостатньо для виклику колективної тривоги у галузі.

● Відсутність інтуїції та посилення ризиків: для звичайного користувача, навіть із досвідом торгівлі, важко уявити у голові цінову криву та її нелінійний вплив, не кажучи вже про те, що означає математичне співвідношення «50 043 000 USDT / 4,5 мільйона ліквідності». Зазвичай користувачі уявляють можливості пулу через досвід централізованих бірж, сприймаючи «ринковий ордер» як команду, яку ринок здатен рівномірно поглинути. Це неправильне уявлення посилюється обмеженим екраном мобільних додатків і спрощеним інтерфейсом, що ще більше збільшує ймовірність помилкових оцінок і в підсумку — збитків у десятки мільйонів доларів.

Найкоштовніша кнопка підтвердження: хто дозволив цю катастрофу?

● Шлях користувача: за даними блокчейну та скріншотів фронтенду, це був процес обміну, виконаний через мобільний додаток Aave. Користувач ініціював обмін 50,43 мільйонів доларів USDT на AAVE, фронтенд після оцінки ціни показав очікуваний проскальзувальний удар і мінімальну кількість токенів, які потрібно отримати. Однак через малий екран, кілька спливаючих вікон і складні параметри ці важливі дані швидше за все були сприйняті користувачем як стандартне підтвердження. В результаті, під натиском «Далі», «Підтвердити», «Відправити» користувач не зупинився, щоб переоцінити ризики, і великий, майже безглуздий ордер пройшов усі захисні рівні.

● Розкол у спільноті щодо відповідальності: після розголосу інциденту швидко з’явилися коментарі, що «це найдорожче натискання кнопки підтвердження в історії DeFi», і одна частина вважає, що це типова «неуважність + ігнорування підказок» користувача, і відповідальність має нести він сам; інша ж наголошує, що обсяг у 50 мільйонів доларів не може бути пропущений через кілька натискань на мобільному інтерфейсі. Емоційний розкол зводиться до питання: коли смарт-контракт працює за правилами і проскальзування попереджене, — чи це «заслуга» користувача, чи «системний збій», і тут немає однозначної згоди.

● Відповідальність фронтенду і стандартних параметрів: з точки зору інтерфейсу, багато DeFi-додатків за замовчуванням встановлюють високий проскальзувальний поріг, орієнтовані на досвідчених трейдерів, і ці параметри важко зрозуміти звичайному користувачу, особливо на мобільних пристроях, де ключова інформація прихована у меню або другорядних вікнах. Хоча у цій транзакції було попередження про ризик понад 99% проскальзування, чи достатньо воно помітне? Чи зрозумілий текст? Чи занадто широкі за замовчуванням налаштування? Це все сприяє неправильному сприйняттю ризиків і створює значний розрив між «видимою» і «справжньою» інформацією.

Чи потрібен жорсткий ліміт? Це питання знову підняло проблему, яка давно обговорюється, але досі не реалізована — чи має протокол встановлювати жорсткий поріг на суму або ціновий проскальзувальний удар для великих ордерів? Наприклад, якщо очікуваний проскальзувальний удар перевищує 50%, 80% або навіть 100%, — чи має фронтенд відмовити у виконанні або вимагати складніший процес із додатковим підписом? Підтримувачі вважають це необхідним «захисним механізмом», опоненти — побоюються, що це знівелює нейтральність безліцензійних протоколів. Але у реальності, при втраті 50 мільйонів доларів, ігнорувати цю проблему вже важко — «нічого не робити» стає дедалі складніше виправдати.

Комісія за повернення: баланс між автономією і співчуттям

● Повернення лише комісії, без скасування транзакції: після інциденту команда і спільнота Aave ухвалили рішення не відкочувати транзакцію, тобто зберегти результат обміну, виконаний згідно з правилами. Водночас, з огляду на крайні ситуації і можливі втрати користувачів, було вирішено повернути близько 600 тисяч доларів комісійних на адресу постраждалих. Це формально зберігає незмінність результату, але водночас демонструє співчуття і прагнення заспокоїти спільноту.

● Символічна поступка: з принципової точки зору, такий підхід — швидше символічна жертва: з одного боку, він гарантує, що «Код — це Закон», і основна логіка протоколу залишиться незмінною, щоб не створювати прецедентів довільного переписування стану в блокчейні; з іншого — посилає сигнал, що протокол визнає системну помилку і готовий компенсувати її частково, щоб зменшити негативний резонанс.

● Заяви засновників і принципи захисту: засновник Aave у відкритих дискусіях підкреслив, що «ми повинні створити механізми захисту в автономних протоколах», — цим він окреслив новий рівень консенсусу: автономія і децентралізація не означають відсутність відповідальності або захисту. Протокол може, не змінюючи логіку контрактів, через інтерфейс, параметри і процеси додати людський фактор і «захисні механізми». Це відображає не лише тиск громадськості, але й можливий шлях еволюції галузі.

● Моральний ризик після повернення: однак, якщо протокол у цьому випадку зробить масштабне відшкодування або часткове повернення основної суми, це стане прецедентом «запасного механізму», і кожна велика помилка у майбутньому може бути використана для претензій і компенсацій. Це може стимулювати користувачів знижувати рівень самоконтролю у великих операціях, очікуючи, що протокол «застрахує» їх у разі екстремальних ситуацій, що підриватиме нейтральність і передбачуваність безліцензійних протоколів — саме того, чого намагаються уникнути багато старих DeFi-проектів.

Дискусія про захист і запобіжні механізми: затримка підтвердження і м’яка централізація

● Ідея затримки EIP-9873: ще у 2025 році в Ethereum-спільноті з’явилися пропозиції типу EIP-9873, що передбачають для великих транзакцій встановлення часових затримок. Наприклад, при перевищенні суми або цінового проскальзування за певним порогом, підписання транзакції автоматично блокувалося б на кілька секунд або хвилин, щоб користувач міг повторно перевірити проскальзування, мінімальні отримувані токени і ціновий діапазон, а також розбити ордер на частини. Хоча ця ідея ще не отримала єдиного стандарту реалізації, її основна концепція знову піднімалася після цього інциденту.

● Конфлікт між затримкою і високою швидкістю: введення затримки, додаткових підтверджень або попереджень про ціновий удар ускладнить швидкі арбітражі і високочастотну торгівлю. Для професійних трейдерів будь-яка затримка означатиме більші проскальзування і втрати можливостей, що зменшить їхню зацікавленість у таких пулів. Це — компроміс між безпекою і ефективністю, і балансування його стане ключовою задачею для майбутнього дизайну інтерфейсів.

● М’яка централізація і ризики: для мобільних додатків і високоризикових операцій обговорюється можливість встановлення обмежень за сумою, а також застосування додаткових рівнів контролю — наприклад, через поведінку адрес, KYC або білий список. Це створює «м’який» рівень централізації: інтерфейс починає диференціювати користувачів і обмежувати їхні дії залежно від рівня довіри. Підтримувачі вважають це цілком логічним захистом великих капіталів, а опоненти — ризиком зсуву у сторону «цензури» і втрати децентралізованої нейтральності.

● Де провести межу: глибше питання — як чітко розмежувати протокол і фронтенд. Протокол має залишатися безліцензійним і нейтральним, кожен виклик, що відповідає правилам, має виконуватися рівноправно; фронтенд може додавати додаткові рівні захисту, попереджень і затримок, не змінюючи логіку контрактів. У майбутньому може сформуватися модель «чистий протокол + кілька фронтендів», де технічно досвідчені користувачі працюватимуть безпосередньо з контрактами, а для масового ринку — офіційні і сторонні інтерфейси, що підкреслюють безпеку і захист, але й обмежують свободу.

Кровні уроки: кому має захищати DeFi

Цей інцидент із проскальзуванням понад 50 мільйонів доларів ускладнив ілюзію безпечної роботи DeFi, відкривши системні прогалини у управлінні ліквідністю, інтерфейсах і користувацькій освіті: глибина пулів і цінові коливання досі не мають інтуїтивної візуалізації, мобільні додатки надто залежні від самосвідомості користувачів у відображенні ризиків, а «висока свобода» і «низький поріг входу» конфліктують у цій системі. Лише нагадування і відмови не здатні запобігти катастрофам — потрібні системні механізми і процеси, що зменшать частоту таких крайніх випадків.

У майбутньому, у сфері ризик-менеджменту великих операцій і стандартів фронтенду, спільнота, протоколи і користувачі зіштовхнуться у все гострішій боротьбі: розробники прагнутимуть через пропозиції EIP і стандарти фронтендів розподілити відповідальність, а управління протоколами — визначити чіткі межі щодо введення жорстких лімітів, затримок і м’якої централізації. Користувачам доведеться робити свідомий вибір між «повною свободою» і «обмеженим захистом». Очевидно, що компромісний шлях — це поступове формування у галузі консенсусу: високоризикові операції можна значно уповільнити, але не заборонити; зберегти свободу торгівлі, але через більш жорсткі ризик-обмеження.