Подробный анализ: влияние инцидента с Aave на отрасль Выводы — сразу в начале: 1. История о безопасности L2 разрушена. Раньше утверждали, что L2 столь же безопасны, как основная сеть, но теперь очевидно, что придется пожертвовать rsETH на L2. 2. Все нарративы о рестейкинге ETH полностью провалились. После многоуровневых слоев через EigenLayer выяснилось, что доход (так называемая ставка за стейкинг безопасностных узлов AVS) меньше рисков, создаваемых этими слоями. 3. DeFi под угрозой. Не полностью мёртв, но значительное сокращение неизбежно. Люди поняли: он-чейн безопасность неустранима; и ещё — платформы, потеряв деньги, просто уходят (классический агентский риск). 4. В этом инциденте точно были потери пользователей — ведь Kelp банкрот и не может компенсировать убытки. --------------------------------------------------------- Конкретные детали не будем разбирать — другие уже всё подробно проанализировали. Просто: северокорейские хакеры взломали Kelp, затем через LayerZero на L2 напечатали фейковые токены и ограбили казну Aave. Сейчас Kelp, LayerZero и Aave спорят, кто виноват. 1. Нарратив о безопасности L2 Раньше все L2 — будь то Optimistic Rollup или ZK-Rollup — утверждали, что их безопасность такая же, как у основной сети ETH. Строго говоря, здесь не был взломан сам консенсус или сортер L2, но пользователям всё равно — что мост взломан, что L2 упал: результат один — rsETH, напечатанный на L2, превратился в воздух, в то время как основная сеть, не задействованная в мосте, осталась целой. Официальный ответ Aave: «rsETH на основной сети полностью обеспечен», при этом все рынки WETH и rsETH на Arbitrum, Base, Mantle, Linea и других L2 были заморожены. Другими словами: пользователи основной сети и L2 — не равны. Пользователи L2 стали гражданами второго сорта. https://t.co/14aPSMvLlJ 2. Полный крах всех нарративов о рестейкинге ETH Сервисы безопасностной валидации AVS EigenLayer: Прошло два года — так и не появилась прибыльная модель. Да, EigenLayer заявляет о доходах — но если внимательно посмотреть, большая часть этих доходов — это субсидии в виде токенов Eigen, как у Filecoin: громкие лозунги, но реальное применение крайне нишевое... в итоге — просто продажа токенов. (Я даю тебе 4 млн долларов токенов Eigen, которые разблокируются через два года — взамен ты платишь 1 млн долларов за услуги EigenLayer...) Для пользователей же после инцидента с Kelp стало ясно: дополнительные 2% ставки по стейкингу не компенсируют риски. Ведь чем больше слоёв — тем выше вероятность сбоя. В крайнем случае: доход линейный, а риск — экспоненциальный. 3. DeFi под угрозой Так называемая «безразрешительность» (permissionless) Web3 существует только в мечтах. Слишком много фундаментальных проблем, которые невозможно решить. Большинство DeFi-протоколов на деле — это код, управляемый мультиподписными кошельками. 1) Скорость vs безопасность Это неразрешимый конфликт. Почему банковские переводы дорогие и медленные? Часть причины — в безопасности: нужны различные системы контроля и проверки. (Вы редко слышали о кражах денег из банковских счетов?) А как вы собираетесь это реализовать в DeFi? Вы же не можете запрограммировать всю логику контроля в смарт-контракты и позволить всем их изучать? 2) Безразрешительность vs борьба с отмыванием денег Аналогично контролю: правила борьбы с отмыванием денег и проверки — человеческие, с определёнными триггерами. Невозможно одновременно иметь «безразрешительность» и эффективную борьбу с отмыванием. Даже если AI будет проверять — его правила всё равно задают люди. Можно сказать: DeFi не нуждается в борьбе с отмыванием денег. Но явно большинство стран не согласятся. Сейчас они просто дают вам шанс — пока. В XXI веке финансовые транзакции не могут избежать AML — вопрос времени. 3) Человеческий фактор неустраним Большинство DeFi-протоколов — это код под управлением мультиподписных кошельков. Причины просты: a) Для кредитных протоколов: новые монеты, параметры кредитования, настройки оракулов — всё это задаётся людьми и может быть изменено. b) Большинство протоколов обновляемы — утеря приватного ключа может уничтожить всё, как в случае с Drift. c) Фронтенд-сайты контролируются командой. Например, @pendle_fi, @Morpho и все другие DeFi-протоколы могут отключить рынок, скрыть его или пометить как рискованный. Устройства разработчиков могут быть взломаны, цепочка поставок заражена, домен атакован (недавний инцидент с доменом CoW Swap). Существует ли вообще чистый Web3-DeFi, идеальный? Я могу назвать один: Tornado Cash — и вы знаете, чем он закончился. Если вы считаете это будущим DeFi — тогда мне нечего добавить. 4) Несоответствие агентского риска При краже средств в Web3-протоколах разработчики и менеджеры несут крайне ограниченный ущерб — не говоря уже об уголовной ответственности. Приведу самый яркий пример: @arc — это L1-цепочка Circle (материнской компании USDC) — какова максимальная награда за обнаружение критической уязвимости белыми хакерами? $5000. https://t.co/OJ0Zo6KynS Критическая уязвимость может привести к потерям в сотни миллионов долларов — а награда всего $5K? Это уже не логика нормального человека. Причина проста: награда белым хакерам платится из собственного кармана; а убытки от взлома несёт кто-то другой. Посмотрим на традиционную финансовую отрасль — банки и фонды: — Если хакер действительно украдёт деньги — менеджеры могут быть осуждены за халатность и отправлены в тюрьму. — Уровень защиты по классам 3/4... Финансовые данные классифицируются на 5 уровней с чёткими мерами защиты. Ключевые бухгалтерские данные должны регулярно экспортироваться на физические ленты или офлайн-оптические диски и храниться в другом регионе... А DeFi? Нет никаких правил — всё на добровольной основе. В итоге DeFi снова превращается в CeDeFi.Когда вы зарабатываете — там xxx Lab забирает деньги, а когда теряете — вы говорите: «Мы в DeFi, вы не сделали DYOR». Да, протоколы DeFi можно оснастить тайм-локами, различными риск-менеджментами, задержками аудита, антиотмывочными мерами и даже KYC (это неизбежно). Но после того как вы украсите навоз цветами, вы обнаружите, что всё в итоге становится всё более похожим на традиционные финансы. (Кроме того, мало каких институциональных инвесторов заинтересует отрасль, где каждый день происходят взломы. Так что перестаньте мечтать о нарративе RWA от институтов.) Если вы верите в нарратив Web3 — лучше поверьте в то, что коммунизм когда-нибудь наступит. 4. В этом инциденте точно есть пользовательские потери. Отраслевой консенсус: Kelp несёт как минимум 40% ответственности. Aave и LayerZero, возможно, частично компенсируют убытки, но не возьмут на себя ответственность за долю Kelp. Команда Kelp бедна: когда rsETH отвязался от цены, они сами вошли в арбитраж, блокируя другие запросы на выкуп — то есть воровали у пользователей даже мелкие копейки. При текущей ситуации Kelp, скорее всего, объявит о закрытии/банкротстве протокола — денег мало, если хотите — подавайте в суд. Таким образом, по крайней мере, часть ответственности Kelp ляжет на пользователей. Кроме того, я видел, как кто-то тегает Сунь Гэ, CZ и других, чтобы они пришли как белые рыцари... Вы, кажется, ещё не проснулись. Когда Tether давал кредит Drift — это тоже был дымовая завеса. Как только появится план компенсаций — вы поймёте, я уже об этом писал ранее. Итог: этот инцидент одновременно ударил по трём основным нарративам — L2, Restaking и доверию к DeFi — это настоящий «нарративный трипл-килл». В будущем люди могут называть апрель 2026 года «чёрным апрелем» Web3 или DeFi... (а апрель ещё не закончился — осталось 10 дней...) Мой совет: пока не трогайте DeFi — положите деньги на биржу и получайте проценты.