Założyciel Aave, Stani Kulechov, bronił zdecentralizowanego protokołu po fali wypłat o wartości 8,45 miliarda dolarów, która nastąpiła po dużym wykorzystaniu luki w DeFi na początku tego roku.
Przemawiając na konferencji Proof of Talk w Paryżu w zeszłym tygodniu, Kulechov przekonywał, że Aave pozostało operacyjne podczas jednego z najpoważniejszych zdarzeń stresowych w zdecentralizowanych finansach, pomimo kryzysu rynkowego wywołanego kwietniowym wykorzystaniem luki w mostku KelpDAO opartym na LayerZero.
Według Kulechova, infrastruktura Aave V3 została już przetestowana w wielu okresach zmienności rynkowej.
„Aave było naprawdę odporne w bardzo burzliwych czasach” – powiedział, omawiając działanie protokołu podczas zakłóceń.
Komentarze te pojawiły się po incydencie bezpieczeństwa, który rozprzestrzenił się daleko poza protokół, w którym powstał. Badacze ryzyka później powiązali exploit z atakiem RPC-spoofing i DDoS, który celował w węzły weryfikacyjne LayerZero połączone z KelpDAO.
Chociaż atak nie dotyczył wady w samych smart kontraktach Aave, konsekwencje szybko dotknęły platformę pożyczkową, gdy użytkownicy pospiesznie wypłacali środki.
W ciągu 48 godzin od exploitu, około 8,45 miliarda dolarów depozytów opuściło Aave, tworząc jeden z największych wstrząsów płynnościowych w DeFi. Chociaż protokół kontynuował działanie, wysiłki na rzecz odbudowy wymagały znacznej interwencji zarówno ze strony społeczności, jak i jej przywództwa.
Aave DAO przeznaczyło 25 000 ETH w ramach pakietu reagowania kryzysowego. Kulechov osobiście wniósł kolejne 5 000 ETH, wycenione wówczas na około 8,4 miliona dolarów, pomagając ustabilizować sytuację, gdy protokół napotykał rosnącą presję.
W swoich uwagach Kulechov rozróżnił między awariami w infrastrukturze wspierającej a podatnościami w samych aplikacjach DeFi.
Argumentował, że incydenty bezpieczeństwa coraz częściej wynikają z zewnętrznych zależności, a nie z wad w podstawowych protokołach pożyczkowych. Według Kulechova, bezpieczeństwo smart kontraktów w głównych aplikacjach DeFi znacznie się poprawiło, podczas gdy ryzyka często pojawiają się z systemów stron trzecich, które wchodzą w interakcje z tymi protokołami.
Nie wszyscy zgadzają się z tą interpretacją. Firma LlamaRisk, zajmująca się modelowaniem ryzyka blockchain, podała, że atakujący wykorzystali exploit KelpDAO do stworzenia bezwartościowego zabezpieczenia, które następnie zostało zdeponowane w Aave, zanim wycofano autentyczny wrapped Ether. Firma oszacowała, że incydent pozostawił Aave V3 z około 123,7 miliona dolarów złych długów.
Oddzielna analiza Bank Policy Institute wykazała, że ten epizod ujawnił słabości w ubezpieczeniach DeFi i pokazał, jak masowe wypłaty mogą generować presje podobne do tradycyjnych runów na banki.
Broniąc działania Aave, Kulechov przyznał, że wzajemnie połączona infrastruktura DeFi tworzy nowe formy ryzyka systemowego, które wymagają zmian architektonicznych.
Aby sprostać tym obawom, Aave Labs przygotowuje swoją aktualizację V4, która zastępuje tradycyjne łączenie płynności modułową architekturą typu hub-and-spoke. Według Kulechova, nowa konstrukcja pozwoli protokołowi na stosowanie zlokalizowanych premii za ryzyko i izolowanie problematycznego zabezpieczenia, zanim straty rozprzestrzenią się na rynki pożyczkowe.
Argumentował, że publiczne systemy blockchain zapewniają przewagę, ponieważ kod i modele ryzyka mogą być otwarcie sprawdzane przez badaczy i uczestników rynku.
Jednocześnie Aave Labs kontynuuje rozszerzanie swoich regulowanych operacji. W zeszłym miesiącu spółki zależne Push Labs Limited i Push Virtual Assets Limited otrzymały zgodę od brytyjskiego Urzędu Nadzoru Finansowego (FCA) na działanie jako zarejestrowani dostawcy usług wymiany kryptoaktywów.
Rejestracje te uzupełniają istniejące autoryzacje Grupy jako instytucji pieniądza elektronicznego FCA i następują po autoryzacji MiCA Aave Labs w Unii Europejskiej w listopadzie 2025 roku.
