В мае 2026 года атакующие использовали уязвимость в кросс-чейн мосту LayerZero, обеспечивавшем ценообразование rsETH, и дренировали пулы Aave на $230 млн. Инцидент обнажил системный изъян: оракул цены деривативного токена зависел от единственного моста без резервного источника данных. Aave выжил, однако полностью пересмотрел требования к листингу новых активов.
rsETH — liquid restaking-токен протокола KelpDAO, представляющий застейканный ETH с дополнительным слоем рестейкинга через EigenLayer. Его цена транслировалась в Aave через мост LayerZero, а не через несколько независимых оракулов. Атакующие манипулировали котировкой на мосту, завысили стоимость залога и взяли незаеспеченные займы. Риск: любой LRT-актив с единственным источником цены несёт аналогичную уязвимость.
LayerZero передаёт сообщения между блокчейнами через оракулов и реле. В данном случае атакующие скомпрометировали канал передачи цены rsETH: подали на Aave завышенный курс, получили ликвидность под переоценённый залог и вывели средства до срабатывания защиты. Ни одна из внешних проверок не зафиксировала аномалию вовремя. Риск кросс-чейн мостов — замедленная финализация и отсутствие атомарных откатов при атаке.
По данным CoinDesk, Aave DAO проголосовал за обязательное требование к новым активам: не менее двух независимых оракулов цены, аудит всех внешних зависимостей (мосты, реле), ограничение LTV для LRT-активов на уровне ≤65% до накопления 6-месячной истории ликвидации. Дополнительно введён мониторинг депрева: при отклонении цены актива >5% от базового ETH позиции автоматически переходят в режим ограниченного заимствования.
Основной удар приняли контрагенты, давшие ликвидность в пулы с rsETH-залогом. Страховочный резерв Aave (Safety Module) компенсировал часть потерь, однако полного покрытия $230 млн не хватило. Часть кредиторов зафиксировала убытки. Событие подтвердило: страховые модули протоколов рассчитаны на частичные потери, а не на системные атаки такого масштаба.
Проверяйте по DeFiLlama: историю TVL, наличие аудитов (вкладка «Security»), источники ценовых оракулов. Для lending-протоколов критично — сколько независимых фидов цены у залогового актива. Если актив новый и цена зависит от одного моста — это красный флаг. Также смотрите на Bug Bounty: размер программы косвенно говорит об уверенности команды в коде.
Да. Доходы от крипто-операций, включая проценты из DeFi-пулов и прибыль от продажи токенов, облагаются НДФЛ по ставке 13% (при доходе до 2,4 млн ₽ в год) или 15% сверх порога. Убытки от эксплойтов при расчёте налоговой базы учитываются сложно — практика ФНС по таким случаям ещё формируется. Декларацию 3-НДФЛ подаёт сам налогоплательщик.
LRT — токен, представляющий ETH, застейканный через протоколы рестейкинга (EigenLayer и аналоги). Добавляется ещё один слой смарт-контрактного риска поверх базового стейкинга. При депреве или эксплойте одного из уровней потери каскадируются. Это не запрещает их использование, но требует понимания вложенных рисков.
| Параметр | Значение | Примечание |
|---|---|---|
| Сумма эксплойта | ~$230 млн | По данным CoinDesk, июнь 2026 |
| Вектор атаки | Манипуляция ценовым оракулом через мост LayerZero | Единственный источник цены rsETH в Aave |
| Покрытие Safety Module | Частичное | Полного возмещения кредиторам не последовало |
| Новый минимум LTV для LRT | ≤65% | Введён решением Aave DAO после инцидента |
| Критерий | До инцидента | После инцидента |
|---|---|---|
| Минимум ценовых оракулов | 1 источник (мост) | ≥2 независимых оракула |
| Аудит внешних зависимостей | Опциональный | Обязательный (мосты, реле) |
| LTV для новых LRT-активов | До 75% | ≤65% первые 6 месяцев |
| Мониторинг депрева | Ручной / governance | Автоматический триггер при отклонении >5% |
| Период наблюдения до полного листинга | Не регламентирован | 6 месяцев истории ликвидаций |
Найдите в документации протокола, сколько независимых источников цены используется. Один мост или один агрегатор — повышенный риск манипуляции.
Откройте страницу протокола на defillama.com, вкладка «Security». Смотрите на дату последнего аудита и наличие открытых уязвимостей.
Резкие оттоки TVL в прошлом — сигнал либо эксплойта, либо потери доверия. Стабильная история TVL на протяжении 12+ месяцев снижает, но не исключает риск.
Крупные программы (от $1 млн) у Immunefi или собственные — признак того, что команда вкладывает в безопасность. Отсутствие программы — дополнительный риск.
Любой доход от DeFi в РФ — потенциальный объект НДФЛ. Ведите учёт входящих транзакций, дат и рублёвого эквивалента на момент получения.
LRT — токен, представляющий ETH, застейканный через протоколы рестейкинга (EigenLayer и аналоги). Добавляется ещё один слой смарт-контрактного риска поверх базового стейкинга. При депреве или эксплойте одного из уровней потери каскадируются. Это не запрещает их использование, но требует понимания вложенных рисков.
LayerZero — протокол передачи сообщений между блокчейнами. Безопасность зависит от конфигурации: выбора оракула и реле, пороговых подтверждений, настроек каждого dApp. Уязвимость была не в самом протоколе LayerZero как таковом, а в том, как Aave использовал его в роли единственного ценового источника для rsETH.
Safety Module — пул токенов AAVE и других активов, застейканных пользователями в обмен на вознаграждение. При шортфоле (нехватке средств после ликвидаций) DAO голосует за слэшинг этого пула. Размер Safety Module ограничен объёмом застейканных средств и не рассчитан на покрытие атак в $230 млн.
Aave остаётся одним из крупнейших lending-протоколов по TVL. Ужесточение стандартов снижает риск повторения аналогичного сценария, но не исключает другие векторы атаки. Любое использование DeFi несёт риски смарт-контракта, ликвидации и рыночной волатильности — оценивайте долю портфеля соответственно.
ФНС РФ не имеет устоявшейся практики признания убытков от DeFi-эксплойтов. Формально потеря актива из-за взлома не автоматически уменьшает налогооблагаемую базу. Рекомендация — фиксировать все транзакции и обращаться к налоговому консультанту, знакомому с крипто-спецификой.
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
