Все еще стоит играть в DeFi? Этот вкус слишком знаком…

Криптовалютный рынок вступил в очередную бессонную ночь под холодным ветром. За неделю Bitcoin потерял почти 12%, Ethereum откатился к отметке около 3300 долларов, а рисковые активы оказались под коллективным давлением.

На фоне вялой динамики рынка децентрализованные финансы (DeFi) вновь оказались в эпицентре шторма: старейший протокол Balancer v2 подвергся крупнейшей в своей истории хакерской атаке с убытками более 120 миллионов долларов; сразу после этого платформа по оптимизации доходности Stream Finance сообщила о потере 93 миллионов долларов, а её стейблкоин для стейкинга xUSD упал ниже 0,3 доллара.

Шторм на этом не закончился. Риски, вызванные Stream, по цепочке "композируемости" распространяются на всё большее количество протоколов.
В последней волне цепной реакции компания по управлению рисками в DeFi Gauntlet уже подала экстренное предложение на форум управления Compound, рекомендовав временно приостановить рынки USDC, USDS и USDT в основной сети Ethereum, чтобы предотвратить распространение рисков.

Серия хакерских инцидентов на фоне ослабления рынка ставит "финансы без посредников" перед суровым испытанием:

Когда падение цен сочетается с рисковыми событиями, осмелитесь ли вы продолжать "играть" в DeFi?

Хакерские атаки, начавшиеся с Balancer

В понедельник в Balancer v2 был обнаружен критический уязвимый участок. Злоумышленники воспользовались логической ошибкой в Composable Stable Pools, чтобы за несколько часов вывести 128 миллионов долларов на разных сетях, включая Ethereum, Arbitrum, Base и другие.

Исследователи отмечают, что атакующие, возможно, подделывали "зачисление комиссий" и инициировали вывод, превращая "фальшивые баллы" в реальные средства. Что ещё более иронично, этот модуль системы прошёл более десяти аудитов безопасности, включая проверки от OpenZeppelin и Trail of Bits. Многолетняя репутация и технический опыт не смогли защитить от логической атаки.

Hasu, руководитель стратегий Flashbots и Lido, заявил: "Каждый раз, когда такой старый контракт взламывают, общее внедрение DeFi откатывается на 6-12 месяцев назад."

Менее чем через 24 часа Stream Finance сообщила, что её "внешний управляющий активами" привёл к убыткам в размере 93 миллионов долларов. Платформа приостановила ввод и вывод средств, а стейблкоин для стейкинга xUSD сильно отвязался от доллара, упав с 1 доллара до 0,27 доллара.

Данные on-chain показывают, что общий объём залогов, связанных с xUSD, xBTC, xETH, составляет около 285 миллионов долларов и затрагивает такие протоколы кредитования, как Euler, Silo, Morpho и другие. За один день совокупный TVL на многих рынках сократился на сотни миллионов долларов.

Ваши средства вам не принадлежат: обратная сторона "композируемости"

Проще говоря, самая привлекательная особенность DeFi — "композируемость" (Composability) — это как финансовый конструктор Lego: вы можете разместить пул доходности протокола A на кредитовании протокола B, а в качестве залога использовать стейблкоин протокола C, выстраивая сложные комбинации.

В бычьем рынке такая стратегия действительно приносит удовольствие. Доходность на каждом этапе усиливается, эффективность поражает. Но многие не осознают: чем выше построена башня из кубиков, тем болезненнее её падение.

Как только рынок охлаждается или в одной из базовых "деталей" — например, в таких ключевых протоколах, как Balancer или Stream — возникает проблема, риск распространяется по всей выстроенной цепочке, как домино.

Основатель компании по безопасности Ginger Security Джонни Тайм подробно объяснил этот механизм передачи риска.

Многие пользователи покупали на Beefy Finance так называемый "самый безопасный USDC-волт", считая, что их средства в безопасности. Но на самом деле деньги не оставались на Beefy, а проходили через несколько этапов. Путь средств выглядел так:

Beefy → Silo → Arbitrum → другая организация под названием Valarmore → в итоге попадали в Stream Finance, который и стал жертвой нынешнего краха.

Вы думали, что покупаете USDC, но на самом деле уже пассивно владели обесценившимся xUSD.

В этой цепочке фронтенд-платформа Beefy показывала пользователям "безопасный USDC-волт", но затем средства через промежуточного управляющего Valarmore перераспределялись в стратегию xUSD протокола Stream.

Джонни Тайм отмечает, что проблема в том, что каждый уровень протоколов стремится максимизировать доходность, но при этом отсутствуют механизмы раскрытия информации и изоляции рисков.
Такая "многоуровневая вложенность" позволяет рискам незаметно передаваться по цепочке: изменение решений на верхних уровнях, волатильность базовых активов или ошибки в промежуточных стратегиях — всё это усиливает риски по пути.
В итоге, когда на самом нижнем уровне (например, xUSD) возникает проблема, вся конструкция рушится как карточный домик.

Дискуссия о децентрализации

Поэтому в сообществе вновь разгорелась дискуссия о децентрализации.

Партнёр Dragonfly Хасиб Куреши считает: "Даже в децентрализованных системах, если достаточно участников придут к согласию, они могут заморозить счета или средства."
Однако критики быстро возразили: "Если достаточно людей могут договориться сделать что-то, значит, они могут сделать что угодно — а это уже не децентрализация."

Эта дискуссия выявляет парадокс управления в DeFi: когда системе требуется вмешательство человеческого консенсуса для остановки кровотечения, границы "децентрализации" начинают размываться.

Основатель OneSource Владислав Гинзбург считает, что риск — это неотъемлемая часть DeFi-экосистемы: "Сложность смарт-контрактов и финансовой инженерии означает, что пользователи должны принимать неопределённость."
Исследователь по безопасности Сухайл Какар прямо говорит: "'Проведённый аудит' почти ничего не значит. Код сложен, а DeFi ещё сложнее."
CTO Komodo Кадан Штадельман добавляет, что частые инциденты с безопасностью заставят институциональные средства избегать сложных структур и вернуться к стратегии "только Bitcoin".

Исследователь Nansen Николай Сёндегаард отмечает, что уязвимость Balancer была связана с логикой расчёта комиссий, а не с контролем доступа — такие проектные риски сложно выявить аудитом, а механизмы управления не способны быстро реагировать.

Резюме

Проблема DeFi никогда не была в технологиях, а в управлении.
В бычьем рынке протоколы наслаиваются, высокая доходность манит; теперь же медвежий рынок раскрывает правду — ни один уровень не является полностью безопасным.

В будущем выживут те проекты, которые смогут доказать три вещи:
прозрачность средств, изоляцию рисков и исполнимость управления.

Для обычных пользователей опыт тоже меняется: если вы даже не знаете, куда в итоге уходят ваши деньги, то, возможно, проще и надёжнее просто купить BTC.

В конце концов, в мире DeFi: только тот риск, который вы понимаете, — это возможность, а непонятная доходность всегда ловушка.

Автор: Seed.eth