Центр вознаграждений 
Aave, один из самых крупных децентрализованных протоколов кредитования с депозитами более $20 млрд до текущей недели, понесла примерно $196 млн плохих долгов в результате одного эксплойта, к которому она не была причастна. 19 апреля 2026 года контракт rsETH от Kelp DAO был взломан на сумму $292 млн — это крупнейший DeFi-эксплойт текущего года. Злоумышленник использовал похищенные rsETH, внес их как залог в Aave V3 и занял под них WETH. Проблема заключалась в том, что после взлома rsETH уже не имели обеспечения, т.е. залог стал практически бесполезным.
В течение 24 часов TVL Aave снизился примерно с $22 млрд до $15,4 млрд, поскольку вкладчики выводили средства со всех рынков, даже с тех пулов, которые не имели никакого отношения к rsETH. Токен AAVE снизился на 16–20% в зависимости от биржи. Резервный фонд Umbrella, предназначенный для покрытия подобных ситуаций, может оказаться недостаточным для полного покрытия дефицита в $196 млн.
Как эксплойт Kelp стал проблемой Aave
Сам эксплойт Kelp не был связан со смарт-контрактами Aave. Kelp — протокол ликвидного рестейкинга на базе EigenLayer, выпускающий токены rsETH, представляющие доли застейканного ETH. 19 апреля злоумышленник воспользовался уязвимостью в механизме вывода средств и вывел активы на сумму около $292 млн. Оставшиеся в обращении токены rsETH перестали иметь обеспечение и торговались с большим дисконтом к своему теоретическому ETH-пегу.
На этом этапе появилась Aave. До того как команда Kelp смогла заморозить скомпрометированные токены, злоумышленник внес большую часть похищенных rsETH в Aave V3 как залог и взял под них WETH. Оракл Aave все ещё оценивал rsETH по докризисной цене, так как канал Chainlink не успел отразить депег. К тому моменту, когда голосование Aave приостановило работу рынков rsETH на V3 и V4, злоумышленник уже вывел полученный WETH, оставив у Aave залог, стоимость которого оказалась в разы ниже изначальной.
В итоге образовался плохой долг порядка $196 млн, полностью сосредоточенный в паре rsETH-WETH. Это не гипотетический убыток — это реальный долг перед вкладчиками, предоставившими WETH.
Почему за сутки из Aave ушло $6,6 млрд
Обвал TVL должен вызывать у пользователей DeFi не меньше опасений, чем сам плохой долг. Проблема была изолирована в одной паре (rsETH-WETH), в отдельных рынках. Большинство других пулов Aave не имели отношения к rsETH. Поставщики USDC, DAI, wBTC на незацепленных сетях не подвергались риску потери средств из-за данного эксплойта.
Однако вкладчики не стали разбираться в деталях. Как только слова «Aave» и «плохой долг» появились в новостях, сработал эффект банковской паники: пользователи стали выводить средства со всех рынков, сетей и пулов. TVL сократился с $22 млрд до $15,4 млрд, то есть почти $6,6 млрд было выведено за 24 часа — это в 33 раза больше, чем фактические потери.
Такая динамика не нова для DeFi. В марте 2023 года, когда был взломан Euler Finance, многие кредитные протоколы столкнулись с оттоками средств, даже если сами не были затронуты. В этот раз масштабы больше, ведь Aave — не средний протокол, а лидер сегмента. Массовый вывод $6,6 млрд сигнализирует рынку о рисках не только этого протокола, но всей отрасли.
Кроме того, массовый отток вкладов вызвал рост коэффициентов использования оставшихся пулов, что привело к росту ставок по займам и стимулировало еще большие выводы средств. По этой причине падение TVL оказалось столь масштабным: вкладчики предпочли снизить риски и ушли с платформы.
Как покрывается дефицит в $196 млн
У Aave есть механизм для подобных ситуаций: резерв Umbrella, сформированный за счет доходов протокола и застейканных токенов AAVE. Вопрос — хватит ли его на $196 млн.
По состоянию на середину апреля 2026 года, в резерве — $80–100 млн. Таким образом, возникает нехватка в $96–116 млн, которую придется покрывать другими способами. Для активации механизма Umbrella требуется голосование, и сообщество будет решать, как использовать резерв.
Если резерв не покроет весь дефицит, следующая линия защиты — держатели stkAAVE (стейкеры AAVE). Эти пользователи получают вознаграждение за стейкинг, принимая на себя риск снижения баланса при подобных событиях. Голосование по поводу частичного списания stkAAVE для покрытия дефицита возможно и сейчас этот риск закладывается в стратегии держателей.
Основатель Aave Стани Кулечов публично подтвердил, что эксплойт связан исключительно с внешним протоколом. «Протокол Aave сработал так, как был задуман», — отметил Кулечов, подчеркнув, что уязвимость была в коде Kelp, а не в логике кредитования Aave. Формально это так, но для вкладчиков, лишившихся доступа к своему WETH из-за обесценившегося залога, это малоутешительно.
Что показывает цена токена AAVE
После новостей об эксплойте AAVE упал на 16–20% — с примерно $280 до $224, стабилизировавшись около $235. Причины падения: непосредственные финансовые последствия плохих долгов и возможное сокращение stkAAVE, а также репутационные риски крупнейшего DeFi-протокола.
Дальнейшая динамика будет зависеть от действий управления: если резерв покроет убытки, а списания stkAAVE будут умеренными, доверие восстановится быстрее. Если решение затянется или появятся новые плохие долги, возможен повторный спад.
Важный момент — поведение крупных держателей токена: первые два дня на блокчейне фиксировались как покупки ниже $230, так и переводы на биржи (возможные продажи). Рынок пока не определился, и дальнейшие решения будут зависеть от ясности управления.
Последствия для DeFi-кредитования
Этот инцидент выявил структурный риск всех кредитных протоколов: оценка залога зависит от орклов. Если внешний эксплойт делает залог бесполезным быстрее, чем оркл обновляет цену, убытки несет сам протокол. Aave не совершила ошибок, ее смарт-контракты сработали корректно. Но безопасность депозитов зависит от надежности всех протоколов, чьи токены принимаются в качестве залога.
Рестейкинговые риски давно обсуждаются с момента запуска EigenLayer. Токены типа rsETH, rswETH, ezETH — это деривативы уже сложных стейкинговых позиций, используемые как залог в DeFi. Каждый уровень деривирования увеличивает риски, и при сбое на одном слое страдают все зависимые протоколы.
В ближайшие недели ожидаются предложения по ужесточению стандартов залога для таких токенов во всех крупных кредитных протоколах. Compound, MakerDAO и другие платформы, принимающие подобные активы, вероятно, пересмотрят параметры риска, а некоторые временно исключат такие токены из списка залога.
Для вкладчиков главный вывод: защищенные смарт-контракты кредитного протокола не страхуют от рисков связанных с внешними активами-залогами. Диверсификация между платформами уменьшает риски только частично — инцидент с Kelp показал, что даже безопасные пулы могут испытать отток. Главное — диверсифицироваться по типам залога, а не только по платформам.
Часто задаваемые вопросы
Был ли сам Aave взломан?
Нет, смарт-контракты Aave не были скомпрометированы. Плохой долг возник из-за эксплойта протокола rsETH от Kelp DAO. Злоумышленник использовал украденные rsETH как залог для займа WETH. Когда rsETH потерял обеспечение, залог обесценился, а занятые средства уже были выведены.
Сколько потеряла Aave в результате эксплойта Kelp?
Aave понесла плохой долг примерно на $196 млн по паре rsETH-WETH. Также TVL снизился на $6,6 млрд из-за панических выводов вкладчиков, хотя большинство этих средств было выведено в качестве превентивной меры, а не из-за прямых потерь.
Могут ли держатели stkAAVE потерять средства?
Это возможно, и держатели stkAAVE должны внимательно следить за ситуацией. Резерв Umbrella, вероятно, не покроет весь дефицит, поэтому может быть принято решение о списании части застейканных AAVE. Это риск, который держатели stkAAVE принимают, получая комиссии протокола. По состоянию на 20 апреля голосование еще не состоялось.
Безопасно ли вносить депозиты в Aave после этого?
Контракты Aave работоспособны и не были взломаны. Риски связаны не с уязвимостью самой Aave, а с активами-залогами, принимаемыми платформой. Вкладчикам стоит проверить, какие активы принимаются в том или ином пуле и помнить, что деривативы рестейкинга несут дополнительные риски по сравнению с базовыми активами вроде ETH или USDC.
Итоги
Эксплойт Kelp привел к $196 млн плохих долгов в Aave и вызвал панический отток $6,6 млрд, но смарт-контракты Aave не были взломаны. Главный выявленный риск — компонуемость в DeFi-кредитовании и зависимость от внешних рестейкинговых протоколов. В ближайшие 7–14 дней управление будет решать, как использовать резерв Umbrella и потребуется ли списание stkAAVE. Быстрое и прозрачное решение поможет восстановить TVL, затяжной процесс или новые проблемы с залогами усугубят ситуацию и станут поводом для пересмотра стандартов залога во всей отрасли. Те протоколы, которые раньше других ужесточат правила для рестейкинговых активов, вероятно, привлекут больше осторожного капитала.
Этот материал предназначен исключительно для ознакомительных целей и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютами связана с существенными рисками. Всегда проводите собственный анализ перед принятием торговых решений.
