Протокол децентрализованного кредитования Aave столкнулся с массовой ликвидацией позиций на сумму около $27,1 млн из-за критической ошибки в конфигурации системы оракулов Chaos Risk Oracles (CAPO). Инцидент, произошедший 25 февраля 2026 года, затронул примерно 10 938 wstETH (wrapped staked ETH) и стал напоминанием о хрупкости инфраструктуры ценообразования в мире DeFi.
📉 Ошибка привела к расчёту обменного курса wstETH/Lido stETH на 2,85% ниже рыночного значения, что спровоцировало автоматические ликвидации позиций, находившихся близко к порогу.
Как следует из постмортем-отчёта, опубликованного командой Aave, проблема возникла из-за несоответствия между параметрами ценообразования и временными метками в конфигурации оракула. Система рассчитала максимальный допустимый обменный курс ниже фактического значения в сети, что привело к ложному срабатыванию механизма ликвидации.
Важно отметить: сама система CAPO обработала более 1 200 полезных нагрузок и 3 000 параметров без сбоев. Проблема была исключительно в человеческой ошибке при настройке — не в коде протокола.
«Оракулы — это Ахиллесова пята DeFi. Даже самый безопасный смарт-контракт бессилен против неверных данных извне», — Андреас Антонопулос, автор «Мастер Биткоин».
Хотя протокол не понёс «плохого долга» (bad debt), ликвидаторы получили бонусы в размере около 499 ETH (~$1 млн) за закрытие позиций. Однако команда Aave оперативно предприняла шаги для компенсации пострадавшим:
Генеральный директор Aave Стани Кулечов подтвердил, что «конфигурационная проблема уже устранена», а протокол продолжает функционировать без нарушений.
Инцидент с Aave — не единичный случай. В феврале 2026 года протокол YieldBlox потерял $10 млн из-за манипуляции ценами в пуле кредитования на базе Blend. Подобные атаки становятся всё более изощрёнными:
По данным PeckShield, ошибки оракулов составляют 38% всех эксплойтов в секторе кредитования за последние 12 месяцев.
Инцидент произошёл на фоне растущего конфликта внутри экосистемы. В начале февраля Aave Chan Initiative (ACI) объявила о прекращении сотрудничества с DAO, сославшись на «недостаточные стандарты управления». Это вызвало дискуссию о том, кто должен нести ответственность за технические решения — сообщество или профессиональные команды.
Кулечов в ответ заявил, что «токенхолдеры не должны голосовать по всем вопросам», подчеркнув необходимость сбалансированного подхода между децентрализацией и операционной эффективностью.
Эксперты выделяют три ключевых вывода:
Как отметил аналитик из Kronos Research: «DeFi достигла зрелости в коде, но отстаёт в операционных процессах. Следующий этап — инженерия надёжности».
Разработчики уже работают над решениями:
Однако пока ни одно решение не устраняет полностью риск человеческой ошибки при интеграции.
Инцидент с оракулом CAPO показал: безопасность DeFi строится не только на криптографии, но и на дисциплине операционных процессов. Даже при наличии аудитов, тестов и распределённой архитектуры одна ошибка в конфигурации может стоить миллионов.
Как сказал один из разработчиков: «Мы строим замки с семью замками, но забываем закрыть окно». И пока индустрия не научится управлять человеческим фактором так же строго, как кодом, подобные инциденты будут повторяться.
