18 апреля 2026 года протокол KelpDAO, специализирующийся на DeFi-решениях для рестейкинга, подвергся крупнейшей хакерской атаке за год. Злоумышленники воспользовались уязвимостью верификации в кроссчейн-инфраструктуре LayerZero: они подделали кроссчейн-сообщения и вывели около 116 500 rsETH в одной транзакции — сумма эквивалентна примерно $292 млн и составляет 18% от общего объёма обращения токена. В отличие от большинства предыдущих атак, злоумышленник не стал сразу обналичивать похищенные средства. Вместо этого он разместил их в качестве залога на крупнейших лендинговых протоколах, таких как Aave, занял около 74 000 ETH и создал более $280 млн проблемной задолженности на разных платформах. Таким образом, убытки, которые могли бы остаться локальной проблемой одного протокола, превратились в системный шок для всей экосистемы DeFi-кредитования благодаря принципу компонуемости.
Это уже второй крупный инцидент за три недели. 1 апреля протокол деривативов Drift Protocol на базе Solana также подвергся атаке и потерял $285 млн. В сумме оба события привели к прямым убыткам свыше $575 млн. Если добавить примерно $230 млн проблемной задолженности на Aave из-за обесценения залога, совокупные потери криптоактивов в апреле превысили $600 млн. Джефф Кендрик, глава отдела исследований цифровых активов Standard Chartered, назвал это «испытанием на прочность, которое согнуло, но не сломало DeFi» в своём постинцидентном отчёте. Однако за этим выводом скрывается более глубокий вопрос: насколько доходность DeFi сегодня обеспечивается реальной эффективностью капитала, а насколько — игнорированием рисков?
Почему ставки по депозитам и реальный риск так долго расходились?
В отчёте Standard Chartered подчёркивается структурная проблема, которую рынок долгое время игнорировал: действующие ставки по кредитам в DeFi зачастую не покрывают реальную стоимость рисков по активам. Будь то деривативы LRT (Liquid Restaking Token) от KelpDAO или бессрочные контракты Drift, базовые активы представляют собой сложные, многоуровневые конструкции — обёрнутые токены, кроссчейн-активы и ликвидные стейкинговые токены, объединённые в одном инструменте и формирующие крайне запутанный профиль рисков.
Рассмотрим пример rsETH. На платформе Aave 98% залога по этому активу сосредоточено в одной стратегии «кредитного лупинга с плечом». Пользователи вносят активы в Aave, занимают под максимальное значение LTV (loan-to-value), а затем реинвестируют полученные средства в ещё более сложные токены ради высокой доходности. Внешне это выглядит как рост эффективности капитала, но на деле приводит к наслоению рисков ликвидности, риска ликвидации и волатильности залога. Действующие процентные модели не предусматривают отдельные премии за такие сложные риски.
Ключевая уязвимость в кейсе KelpDAO заключалась не в ошибке кода, а в чрезмерной централизации в архитектуре верификации. Согласно данным, в экосистеме LayerZero 47% кроссчейн-приложений используют схему с одним валидатором (1/1), 45% — с двумя валидаторами (2/2), и менее 5% — с более надёжной защитой. То есть подавляющее большинство кроссчейн-приложений опираются всего на одного-двух подписантов как на единственный рубеж безопасности. При их компрометации сотни миллионов долларов оказываются незащищёнными — и этот системный дефект никак не отражается в текущих депозитных ставках.
Почему модель ценообразования риска от Standard Chartered указывает на «справедливую ставку» выше 13%?
В своём постинцидентном анализе Standard Chartered отметила, что ставки по депозитам в DeFi системно занижены. Их модель, учитывающая частоту взломов смарт-контрактов, риски кроссчейн-мостов и эффект распространения ликвидных кризисов, показывает: справедливые процентные ставки в DeFi должны быть значительно выше текущих. В отчёте основной причиной такого разрыва названа хроническая нехватка «премии за инфраструктурный риск» в кредитных протоколах DeFi.
В частности, модели ценообразования рисков должны покрывать три уровня угроз. Первый — риск кода смарт-контракта: DeFi-протоколы работают на открытом коде, и любая невыявленная логическая ошибка может привести к полной потере средств. Второй — инфраструктурный риск кроссчейн-мостов: мосты расширяют функциональность, но существенно увеличивают поверхность атаки, а совокупные потери от атак на мосты уже измеряются миллиардами. Третий — эффект компонуемости: сбой в одной точке может быстро распространиться по всей «лего-системе» DeFi, превращая локальные проблемы в системные.
Когда эти риски закладываются в высоконадежную модель, разрыв между справедливыми ставками и рыночными становится очевидным. Standard Chartered описывает ликвидный кризис во время инцидента с KelpDAO как «банковскую панику»: депозитная база Aave сократилась примерно на 38%, а объём активных кредитов — примерно на 31%. В традиционных финансах подобные стрессы приводят к резкому росту ставок по моделям ценообразования риска. В DeFi же такие риски по большей части не учитываются в ставках.
Иллюзия доверия к архитектуре кроссчейн-мостов и отсутствие премий за риск
Эффект домино после атак на KelpDAO и Drift был вызван не ошибкой одного протокола, а фундаментальным изъяном в архитектуре верификации, распространённым по всей индустрии. Сооснователь Polygon Сандип Найлвал после инцидента отметил: современная кроссчейн-инфраструктура по сути работает по принципу «нотариальной конторы» — будь то DVN, комитеты ораклов или мультисиг-управление, вся логика сводится к небольшому кругу валидаторов, подтверждающих кроссчейн-транзакции. Если этот комитет или его источники данных скомпрометированы, система автоматически одобряет мошеннические операции.
Александр Урбелис, директор по информационной безопасности ENS Labs, выразился ещё жёстче: «Подпись подтверждает автора, а не правду. Подписанная ложь остаётся ложью». Эта фраза точно отражает суть проблемы кроссчейн-архитектуры: система проверяет, что сообщение пришло от уполномоченного источника, но не гарантирует его достоверность. Этот фундаментальный изъян пока никак не учитывается в виде премии за риск ни в одной модели ставок.
Сегодняшние ставки по депозитам в DeFi отражают прежде всего баланс спроса и предложения капитала, а не уровень риска. В традиционных финансах доходность облигаций включает кредитные спрэды, премии за ликвидность и срок. В DeFi разница ставок по активам чаще всего определяется размером стимулов за ликвидность, а не дифференцированной оценкой рисков. Высокая доходность по rsETH от KelpDAO привлекла массу депозитов, но при атаке пользователи столкнулись с рисками, совершенно не соответствующими их доходности.
Почему пересмотр рисков неизбежен после оттока капитала?
Цепная реакция, вызванная инцидентом с KelpDAO, ускорила переоценку рисков. Аналитики JPMorgan отметили, что всего за несколько дней общий объём заблокированных средств (TVL) в DeFi сократился примерно на $2 млрд. Депозиты на Aave уменьшились на $1,7 млрд, а объём активных кредитов — примерно на $550 млн. Standard Chartered охарактеризовала это как «классическую панику»: когда пользователи поняли, что украденные активы используются в качестве залога, массовые выводы средств распространились по рынку, а чистые депозиты в ряде стейблкоин-пулов временно опустились до нуля.
Массовый отток капитала — это прямой рыночный механизм переоценки рисков. Когда инвесторы осознают, что доходность по конкретному DeFi-активу слишком низка по сравнению со скрытыми рисками взлома мостов, концентрации залога и ликвидационных спиралей, единственный рациональный выход — «голосовать ногами». После запуска этого процесса на рынке возникает заметный сдвиг: высокодоходные продукты вынуждены повышать ставки для привлечения капитала, а привлекательность более стабильных, но менее доходных активов возрастает.
Важно, что Standard Chartered не пересмотрела в сторону понижения свой долгосрочный прогноз по рынку RWA (реальных активов на блокчейне) после недавних событий, сохранив оценку, что капитализация токенизированных RWA достигнет $2 трлн к 2028 году. Такой прогноз основан на ключевом условии: DeFi должен повысить уровень безопасности и пересмотреть механизмы ценообразования рисков, чтобы привлечь крупный капитал из традиционных финансов. Токенизация RWA требует соответствия стандартам управления рисками традиционного рынка — и тогда премии за риск не только появятся, но и станут определяющим фактором распределения капитала.
Могут ли отраслевые антикризисные меры улучшить ценообразование рисков?
В ответ на системный кризис индустрия DeFi продемонстрировала редкий для традиционных финансов механизм экстренного реагирования. Основатель Aave Стани Кулечов и другие участники рынка оперативно выделили более $300 млн для восстановления коэффициента залогового обеспечения rsETH и контролируемой ликвидации позиций злоумышленника. KelpDAO также завершил обновление системы безопасности кроссчейн-моста за 11 дней, перейдя с прежней схемы валидаторов на механизм верификации с четырьмя DVN.
Этот «объединённый фронт DeFi» показал способность экосистемы к коллективным действиям в кризисных ситуациях. Однако здесь есть и настораживающий момент: отраслевые антикризисные меры по сути подменяют заранее заложенные премии за риск последующим устранением последствий. Если участники рынка начинают рассчитывать на то, что «альянсы коллег» всегда придут на помощь после крупных убытков, сигналы ценообразования рисков искажаются ещё больше. Это напоминает проблему морального риска в традиционных финансах: краткосрочный крах удаётся предотвратить, но долгосрочная способность к распознаванию и учёту рисков ослабевает.
Более устойчивый путь — это интеграция премий за риск непосредственно в модели ставок, а не компенсация убытков отраслевыми альянсами постфактум. Архитектура «hub-and-spoke» в Aave V4 и концепция Ethereum Economic Zone (EEZ) — попытки снизить зависимость от кроссчейн-решений на техническом уровне. Первая позволяет Layer 2-решениям использовать общую ликвидность без блокировки средств на отдельных цепочках, вторая обеспечивает синхронную компонуемость активов экосистемы Ethereum в одном блоке. Если эти обновления снизят системную значимость мостов, структура премий за риск станет более прозрачной.
Как институциональный взгляд изменит логику ценообразования рисков в DeFi?
Темпы притока институционального капитала напрямую зависят от зрелости систем оценки рисков в DeFi. Сейчас эта связь выступает серьёзным ограничивающим фактором. Аналитики JPMorgan в своём отчёте после инцидента с KelpDAO отметили: продолжающиеся взломы и стагнация объёмов капитала по-прежнему сдерживают интерес институциональных инвесторов к DeFi.
Взгляд Standard Chartered более нюансирован: банк признаёт наличие системных рисков, но сохраняет оптимизм в отношении роста рынка RWA. Это кажущееся противоречие на самом деле отражает рациональный институциональный анализ: текущие проблемы безопасности носят структурный, но решаемый характер, а долгосрочный рост RWA зависит от перехода DeFi с «трафиковой» модели на модель, основанную на ценообразовании рисков.
С точки зрения институционального распределения активов доходность должна соответствовать трём факторам: (1) риску волатильности, измеряемому стандартным отклонением аналогичных активов; (2) риску ликвидности, связанному со сроком удержания; и (3) оценке уязвимостей технической архитектуры ex-ante. Инцидент с KelpDAO показал, что ставки в DeFi существенно недооценивают все три аспекта: риск волатильности маскируется высокими APY от фарминга, риск ликвидности скрывается за нарративами компонуемости, а технические риски архитектуры практически не учитываются в моделях ставок.
С учётом более $500 млн прямых убытков от инцидентов с Drift ($285 млн) и KelpDAO ($292 млн) рынок сталкивается с фундаментальным вопросом: компенсирует ли доходность DeFi реальный риск владения активами? Окончательный ответ пока не получен, но модель Standard Chartered даёт ориентир: справедливая ставка должна быть существенно выше 13%.
Заключение
Последовательные атаки на KelpDAO и Drift стали фактическим стресс-тестом для механизмов ценообразования рисков в DeFi. Standard Chartered свела проблему к главному выводу: текущие депозитные ставки в DeFi не покрывают многоуровневые риски — уязвимости мостов, эффект компонуемости и сбои валидации. По расчётам банка, справедливая ставка должна быть не ниже 13% — впервые институция количественно определила этот разрыв.
Быстрые меры по спасению отрасли позволили избежать системного краха, но также подтвердили, что отсутствие премий за риск стало очевидным для участников рынка. Ключевой вопрос на будущее — не «случится ли ещё одна атака» (это почти неизбежно), а сможет ли рынок реформировать механизмы ценообразования до следующего системного события. Технические обновления вроде Aave V4 и Ethereum Economic Zone могут снизить системную уязвимость, но настоящая реформа требует динамических параметров оценки рисков на уровне протоколов. Только когда ставки в DeFi начнут реально отражать стоимость безопасности, отрасль сможет выйти из «серой зоны» несоответствия доходности и риска и перейти к новой эре масштабного институционального участия.
FAQ
Вопрос: Как Standard Chartered рассчитала «справедливую ставку выше 13%», упомянутую в отчёте?
Модель в отчёте, построенная на анализе системных рисков, выявленных в инциденте с KelpDAO, включает три ключевых компонента премии за риск: (1) среднюю частоту и ожидаемые потери от взломов смарт-контрактов, (2) риск расширения поверхности атаки из-за архитектуры мостов, (3) системный риск распространения через компонуемость активов. Интегрируя эти факторы в скорректированную модель ценообразования капитальных активов, банк пришёл к выводу, что ставки по кредитам в DeFi должны быть существенно выше рыночных, а 13% — это ориентир минимального уровня. Примечательно, что по состоянию на 30 апреля 2026 года годовые доходности по стейблкоинам на ведущих DeFi-протоколах обычно были ниже этого порога.
Вопрос: Почему атаки на KelpDAO и Drift затронули сторонние протоколы, такие как Aave?
Хотя атаки произошли в разных экосистемах, механизмы передачи последствий были схожи. В случае KelpDAO украденные rsETH были напрямую размещены в качестве залога на Aave и других платформах, что позволило злоумышленнику занять крупные суммы ETH и создать более $280 млн проблемной задолженности на лендинговых платформах. В атаке на Drift использовалась внутренняя манипуляция ценой и компрометация подписантов управления, что повлияло на рынок стейблкоинов и кредитные позиции. Такой «эксплойт одного протокола — залог на ключевых лендинговых платформах — каскадные ликвидации и распространение проблемной задолженности» иллюстрирует, как компонуемость DeFi превращается в источник системного риска и почему сторонние протоколы могут нести риски даже без прямой атаки.
Вопрос: Существует ли разрыв между текущими ставками в DeFi и оценками по модели Standard Chartered, и насколько он велик?
На 30 апреля 2026 года базовые ставки по депозитам в стейблкоинах на основных DeFi-платформах обычно составляли от 3% до 10%, причём большая часть доходности обеспечивалась токен-инсентивами, а не чисто кредитными операциями. Модель Standard Chartered, указывающая на «справедливую ставку выше 13%», подчёркивает значительный разрыв в оценке. Причины разрыва включают: недооценку участниками рынка рисков, связанных с вложениями в кроссчейн-активы, эффектами ликвидных кризисов и уязвимостями разрешений смарт-контрактов, а также искусственное искажение базовых ставок из-за программ стимулов ликвидности. В отчёте отмечается, что 98% залога rsETH от KelpDAO на Aave было сосредоточено в одной стратегии кредитного лупинга с плечом — уровень концентрации риска, который не отражён в действующих моделях ставок.
