Aave получил свыше $200 млн безнадежного долга после эксплойта KelpDAO: ликвидность резко просела

Волна атак на блокчейн-проекты усиливает давление на сектор DeFi: по данным AMBCrypto, совокупные потери в апреле превысили $620 млн. Крупнейший протокол кредитования Aave напрямую пострадал из-за эксплойта KelpDAO. Злоумышленники выпустили 116,5 тыс. необеспеченных rsETH и использовали их в качестве залога, чтобы занять высококачественные активы. В результате у Aave сформировалось более $200 млн "плохого" долга, что запустило резкую волну оттока капитала. Ликвидность на рынках Aave сжалась в считаные часы. Пользователи начали массово выводить средства, а коэффициенты использования пулов подскочили до экстремальных значений. Резервы WETH достигли 100% utilization — в пуле не осталось мгновенно доступной ликвидности. Это ускорило отток по всему протоколу. По оценкам, с платформы ушло около $16,4 млрд, а объем депозитов сократился с $45,6 млрд до $29,2 млрд (источник: AAVEScan). На этом фоне Total Value Locked (TVL) снизился до $15 млрд — уровней, которые последний раз наблюдались в ноябре 2024 года. Использование стейблкоинов на AAVE также резко упало: показатель снизился на 54,2% — с $15,95 млрд до $7,31 млрд. Одновременно объем заимствованных стейблкоинов уменьшился на 37,9% — с $10,6 млрд до $6,63 млрд (источник: AAVEScan). На фоне оттока из Aave часть участников рынка переключилась на Sparklend. TVL Sparklend вырос с $1,9 млрд до $3,5 млрд, прибавив более $1,3 млрд. Таким образом, в разгар кризиса именно Sparklend стал одной из основных точек притяжения ликвидности, в том числе со стороны крупных игроков, которые сокращали экспозицию к Aave [AAVE]. Эксплойт выявил уязвимость структуры ликвидности Aave: значительная ее часть опиралась на looping-стратегии. Они строились на внесении ETH-активов, таких как rsETH, и последующем займе Ethereum [ETH] для усиления доходности. Согласно данным из ветки Blockworks, 98,5% залога под займы WETH приходилось на ETH LSTs (источник: Blockworks). Такая концентрация риска оказалась хуже диверсифицированного кредитного портфеля. Когда атака произошла, конструкция быстро начала распадаться. Даже вкладчики без прямой экспозиции к rsETH столкнулись с последствиями, поскольку их средства фактически обеспечивали эти позиции. Проблема усугублялась тем, что Aave относился ко всем кредиторам одинаково, несмотря на разный уровень риска: вкладчики принимали повышенный риск без дополнительной компенсации. При иссыхании ликвидности модуль Umbrella в Aave впервые прошел полноценную проверку на прочность. Он задуман для покрытия bad debt за счет застейканного "младшего" капитала, но масштаб покрытия, судя по оценкам, ограничен по сравнению с возможными потерями. В одном из сценариев backstop закрывал лишь часть дефицита, а оставшиеся потери могли перейти на вкладчиков или DAO. Рост utilization и дефицит ликвидности ослабили и механизмы ликвидаций, замедлив восстановление. В итоге рынки перешли в режим ожидания: участники предпочитают дождаться большей определенности перед возвращением. Итог: Aave получил более $200 млн безнадежного долга после того, как атакующие выпустили 116,5 тыс. необеспеченных rsETH и через кредитное плечо вывели ликвидность. Капитал частично перетек в более "безопасные" протоколы, включая Sparklend, который привлек свыше $1,3 млрд на фоне повышенного спроса на ликвидность и более жесткие контуры контроля риска.