Aave пересматривает правила листинга после эксплойта KelpDAO на $293 млн

Главный вопрос, который каждый руководитель платформы с DeFi-интеграцией кредитования должен поставить своему комитету по рискам на этой неделе, — не в том, разумны ли изменения Aave. Вопрос в том, соответствует ли собственный фреймворк листинга новой планке, которую Aave только что подняла. Апрельский инцидент с KelpDAO превратил баг моста в сотни миллионов безнадёжного долга на стороннем протоколе, а ответная реакция теперь переопределяет понятие "должной осмотрительности" для любой команды, работающей с токенизированным залогом.

Для разработчиков, оценивающих где развернуть рынки кредитования, подключить рестейкинговые примитивы или добавить новые залоги, именно сейчас изменилась кривая затрат. Проверка кибербезопасности больше не является строкой расходов, спрятанной в бюджете аудита четвёртого квартала. Она превращается в обязательное условие входа.

Что произошло

На Consensus Miami 2026 Линда Дженг, главный юрисконсульт и директор по политике Aave Labs, представила структурную реформу подхода протокола к оценке и листингу залоговых активов. Как сообщил CoinDesk, каждый будущий актив будет оцениваться по параметрам кибербезопасности, интероперабельности и базовой технической архитектуры, а не только по финансовому риску и волатильности цены, как это исторически было принято во фреймворке Aave.

Катализатором стал крупнейший DeFi-эксплойт 2026 года. В апреле атакующий скомпрометировал кросс-чейн мост KelpDAO и выпустил 116 500 необеспеченных токенов rsETH на сумму около $293 млн. Эти фантомные токены были внесены в Aave в качестве залога, и атакующий занял под них реальный wrapped ether. Когда всё улеглось, Aave оказался с сотнями миллионов безнадёжного долга, обеспеченного залогом, которого никогда не должно было существовать.

Дженг, работавшая регулятором во время финансового кризиса 2008 года, охарактеризовала прошедший месяц как «две недели без сна» и сказала, что произошедшее вызвало острое ощущение дежавю. Однако развязка оказалась совершенно иной. Вместо государственного спасения отраслевая коалиция под названием «DeFi United» взяла на себя покрытие дефицита залога при поддержке Lido, EtherFi и Ethena. «Во время финансового кризиса нам пришлось спасать банки, — сказала Дженг. — Здесь мы собрались как экосистема и спасли себя сами».

Помимо новых критериев оценки, Aave опубликует официальный регламент с минимальными стандартами для эмитентов, желающих пройти листинг, и начнёт изучать системные взаимосвязи между протоколами, а не анализировать пулы изолированно. «Из такого кризиса мы выходим с более высокими стандартами», — заявила Дженг.

Техническая анатомия

Механика этого эксплойта важна, поскольку она обнажает категориальную ошибку, заложенную в том, как большинство кредитных протоколов до сих пор мыслят о рисках. rsETH — это рестейкинговый токен, выпущенный KelpDAO. Его ценность как залога определяется целостностью моста эмитента, корректностью логики эмиссии и сжигания, а также операционной безопасностью слоя кросс-чейн-сообщений. Ни одно из этих свойств не отражается в ценовом оракуле.

Атакующий не взломал Aave. Он взломал мост KelpDAO и позволил залоговой логике Aave сделать всё остальное. Это то, что руководители по рискам должны усвоить. Платёжеспособность кредитного протокола теперь определяется наименее защищённым компонентом любого принятого в качестве залога токена. Если мост эмитента выпускает необеспеченное предложение, кредитный рынок выступает в роли площадки выхода для этого плохого предложения, превращая баг протокола в системный убыток. Wrapped ether уходит, фантомный rsETH остаётся, и депозиторы покрывают разрыв.

Ответ Aave — изучение системных взаимосвязей вместо изолированного анализа пулов — является правильным архитектурным подходом. В традиционном кредитном риске вы составляете карту контрагентских позиций. В DeFi эквивалентом является граф зависимостей: от каких оракулов, каких мостов, каких рестейкинговых слоёв, каких наборов валидаторов транзитивно зависит данный залоговый актив? Коррелированный сбой на любом узле этого графа — это коррелированный сбой на каждом рынке, принявшем актив в листинг.

Построить это — нетривиальная инженерная задача. Она требует постоянной телеметрии зависимостей по всем листинговым активам, автоматического пересчёта оценок при изменении модели угроз зависимости (новый набор хранителей моста, новый оператор рестейкинга, новый EIP, затрагивающий допущения о финальности), а также governance-конвейера, способного реально реагировать на сигналы. Большинство DAO не могут выпустить изменение параметров менее чем за две недели. Атакующему нужны минуты.

Регламент минимальных стандартов — также значимый примитив. Если Aave опубликует чёткую планку (периодичность аудитов, требования к архитектуре моста, управление ключами, контроль апгрейдов), это станет де-факто отраслевым стандартом. Меньшие кредитные рынки либо примут его, либо явно согласятся на залог более низкого класса — что тогда становится оцениваемым риском.

Кто пострадает

Три группы несут основную нагрузку следующих 90 дней, и затраты распределяются по-разному.

Первая — эмитенты рестейкинговых и жидких стейкинговых токенов. Если вы выпускаете токен и хотите, чтобы он был принят в качестве залога на крупнейшей DeFi-кредитной площадке, вы теперь обязаны пройти проверку безопасности, которая больше напоминает вендорскую оценку банка, а не аудит протокола. Это означает бюджет на формальную верификацию бридж-контрактов, ротацию аудиторских фирм, возможно — штатную службу безопасности вместо частичного аудиторского ретейнера. Небольшие рестейкинговые проекты без достаточного инженерного ресурса будут отфильтрованы, что консолидирует рынок эмитентов вокруг нескольких хорошо капитализированных игроков. Финансовый директор любого LST- или LRT-эмитента должен моделировать, что непрерывные расходы на безопасность (вероятно, семизначные цифры в год) означают для экономики комиссий.

Вторая — кредитные протоколы, конкурирующие с Aave. Morpho, Spark, Euler и длинный хвост форков теперь стоят перед вынужденным выбором. Принять сопоставимые стандарты и взять на себя затраты на проверку — или позиционироваться как высокорисковая площадка и закладывать это в спреды процентных ставок. Оба пути защитимы. Средний путь — туманные рассуждения о «надёжных фреймворках рисков» без реального регламента — нет.

Третья — интеграторы. Кошельки, агрегаторы, структурированные продуктовые хранилища и yield-роутеры, которые молчаливо предполагали, что «листинг на Aave» равнозначен «достаточно безопасно», теперь нуждаются в собственном слое проверки. Главный юрисконсульт любого финтека с розничным доступом к DeFi-доходности должен на этой неделе выяснить, соответствуют ли пользовательские раскрытия информации фактической поверхности риска, и предполагает ли язык возмещения в договорах с кастодианами и протоколами механизм выручки, который больше не соответствует реальности. DeFi United сработал однажды. Закладывать повторяющееся отраслевое самоспасение в риск-модель нельзя.

Рынок найма следует за деньгами. Ожидайте резкого спроса на инженеров по безопасности протоколов с опытом работы с кросс-чейн мостами и более сложного рынка для универсальных Solidity-разработчиков, в чьих резюме нет состязательного моделирования угроз.

Руководство для криптовалют и DeFi

Для команд, принимающих реальные архитектурные решения в следующем квартале, — несколько конкретных шагов.

Если вы управляете кредитным рынком, подготовьте свою версию регламента Aave до того, как регламент Aave выйдет в эфир. Рассматривайте его как публичный документ-обязательство. Критерии листинга, включающие архитектуру моста, модель хранения ключей, governance апгрейдов и периодичность аудитов, станут обязательным минимумом к концу года. Прийти к этому вторым дороже, чем прийти первым.

Если вы выпускаете токен залогового класса, начните работу по раскрытию зависимостей прямо сейчас. Опубликуйте модель угроз вашего моста, набор валидаторов или операторов, регламент реагирования на инциденты. Эмитенты, воспринимающие это как маркетинг, обнаружат, что кредитные площадки с реальными риск-командами воспринимают непрозрачность как отказ в листинге.

Если вы строите инфраструктуру токенизации (а поглощение Bitwise фонда Superstate на $267 млн подтверждает, что эта категория разогревается), закладывайте готовность к листинговым требованиям уровня Aave в продукт с первого дня. Покупатели токенизированного кредита в конечном счёте захотят использовать его как DeFi-залог, и спецификация теперь видна.

Если вы находитесь на стороне покупки, рынки предсказаний и токенизация быстро притягивают капитал. Kalshi только что подтвердил раунд на $1 млрд при оценке $22 млрд под руководством Coatue, при этом институциональные объёмы выросли на 800% за шесть месяцев, а годовой торговый оборот составляет $178 млрд. Распределение капитала по крипто-вертикалям перебалансируется, и премия DeFi-кредитования будет частично зависеть от того, будут ли пост-KelpDAO-стандарты реально соблюдаться.

Ключевые выводы

• Aave расширяет критерии листинга за рамки волатильности цены, охватывая кибербезопасность, интероперабельность и техническую архитектуру, с официальным регламентом минимальных стандартов для эмитентов.
• Апрельский эксплойт моста KelpDAO выпустил 116 500 необеспеченных rsETH на сумму около $293 млн и превратил баг моста в сотни миллионов безнадёжного долга Aave.
• DeFi United при поддержке Lido, EtherFi и Ethena закрыл дефицит без участия государства — это разовый ответ, который не следует воспринимать как повторяемый механизм страховки.
• Рестейкинговые эмитенты и небольшие кредитные протоколы столкнутся с ростом постоянных расходов на безопасность; вероятный итог — консолидация вокруг хорошо капитализированных игроков.
• Риск-командам следует перестроить оценку залогов как граф транзитивных зависимостей, а не рейтинг волатильности по каждому активу, и нанимать персонал соответственно.