Потеря $50 млн: Aave обвинила пользователя, а CoW Swap сослалась на сбой алгоритмов

Проекты Aave и CoW Swap представили разные версии инцидента, в результате которого пользователь лишился более $50 млн при обмене токенов.

Команда агрегатора считает, что причиной провальной сделки с AAVE стала совокупность нескольких факторов:

https://t.co/1JJhoyi3Pd

На этапе запроса котировок три солвера предложили цены. Лучшие из них давали около $5 млн AAVE за $50 млн — потеря около 90%. Система верификации с жестким лимитом в 12 млн газа (устаревший код, как пояснили в CoW) отсеяла эти варианты.

Единственная прошедшая верификацию котировка от Solver A предлагала примерно 329 AAVE — в 150-200 раз хуже непроверенных альтернатив. Именно она легла в основу лимитной цены ордера.

При исполнении ситуация усугубилась. Solver Е нашел более выгодный маршрут и выиграл два аукциона, но ни одна транзакция не попала в блок. После двух неудач он перестал участвовать, оставив в игре только слабого солвера с худшей ценой.

«В аукционе нет механизма, который отслеживал бы такой сценарий», — отметили в CoW.

Разработчики также зафиксировали возможную утечку данных из мемпула. Транзакцию отправили через приватный RPC, но она получила метку «подтверждена за 30 секунд». Подобное происходит, если сделку замечают в публичной очереди еще до включения в блок. Расследование продолжается.

В Aave считают, что главные причины инцидента — неликвидность рынка и выбор самого пользователя. В отчете восстановили маршрут сделки: солвер перевел aEthUSDT в USDT через Aave V3, затем обменял на WETH на площадке Uniswap V3 и финализировал операцию через пул SushiSwap с ликвидностью всего $73 000.

https://t.co/UmXulxU7NS

Команда обратила внимание: виджет показывал предупреждение «высокое ценовое воздействие (99,9%)» и требовал поставить галочку согласия. Пользователь подтвердил операцию с мобильного устройства. Средства до сих пор ему доступны, но на связь он не выходил.

В ответ Aave запустил Aave Shield. Новая функция по умолчанию блокирует любые обменные операции с ценовым воздействием выше 25%. Отключить защиту можно только вручную в настройках.

Ранее основатель проекта Стани Кулечов упоминал о планах вернуть около $600 000 комиссий. В последней публикации цифру скорректировали до $110 368 (25 базисных пунктов). Точность суммы подтверждается метаданными агрегатора CoW Swap.

Эта сумма стала еще и предметом спора внутри сообщества Aave. С декабря 2025 года участники управления не могут решить, куда направить деньги: в общую казну ДАО или на адрес разработчиков из Aave Labs.

Примечательно, что в официальных публикациях никак не упоминаются MEV-боты, получившие основную выгоду из ошибки трейдера. По данным Arkham, алгоритм Titan Builder выручил около $34 млн в ETH. Другой бот получил $9,9 млн в результате успешной сэндвич-атаки.

Titan Builder extracted $34M worth of ETH out of this debacle
They immediately sent all proceeds to Coinbase https://t.co/B9j8p2czTD pic.twitter.com/5Ll8mZxiEB

CoW ограничилась упоминанием «значительного бэкрана» и перечислила адреса, но не использовала термин «сэндвич» и не раскрыла механику. При этом интеграция CoW Swap как раз и позиционировалась как защита от MEV.

Напомним, 10 марта в Aave произошел сбой оракула. Он привел к ошибочной ликвидации позиций в токене wstETH на сумму около $26 млн.

Подписывайтесь на ForkLog в социальных сетях

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Источник