Втрата $50 млн: в Aave поклали провину на користувача, в CoW Swap звинуватили алгоритм

Команди Aave та CoW Swap представили різні версії інциденту, в результаті якого користувач втратив понад $50 млн під час обміну токенів.

Версія CoW

Команда агрегатора вважає, що причиною провальної угоди з AAVE стала сукупність кількох факторів:

• ордер «виконати або скасувати» на неликвідній парі з величезним обсягом;
• застарілий ліміт газу в системі верифікації;
• солвер, що не впорався з виконанням;
• ймовірний витік даних про операцію з приватного мемпулу.

https://t.co/1JJhoyi3Pd

— CoW DAO (@CoWSwap) March 14, 2026

На етапі запиту котирувань три солвери запропонували ціни. Найкращі з них давали близько $5 млн AAVE за $50 млн — втрата приблизно 90%. Система верифікації з жорстким лімітом у 12 млн газу (застарілий код, як пояснили в CoW) відсіяла ці варіанти.

Єдине котирування від Solver A, що пройшло верифікацію, пропонувало приблизно 329 AAVE — у 150–200 разів гірше за неперевірені альтернативи. Саме цей показник було взято за основу лімітної ціни ордера.

Під час виконання ситуація погіршилася. Solver E знайшов вигідніший маршрут і виграв два аукціони, але жодна транзакція не потрапила до блоку. Після двох невдач він припинив участь, залишивши в грі лише слабкого солвера з гіршою ціною.

«В аукціоні немає механізму, який відстежував би такий сценарій», — зазначили в CoW.

Розробники також зафіксували можливий витік даних із мемпулу. Транзакцію надіслали через приватний RPC, але вона отримала мітку «підтверджена за 30 секунд». Подібне трапляється, якщо угоду помічають у публічній черзі ще до включення в блок. Розслідування триває.

Версія Aave

В Aave вважають, що головні причини інциденту — неликвідність ринку та вибір самого користувача. У звіті відновили маршрут угоди: солвер перевів aEthUSDT у USDT через Aave V3, далі обміняв на WETH на майданчику Uniswap V3 і фіналізував операцію через пул SushiSwap із ліквідністю всього $73 000.

https://t.co/UmXulxU7NS

— Aave (@aave) March 14, 2026

Команда звернула увагу: віджет показував попередження «високий ціновий вплив (99,9%)» і вимагав поставити позначку згоди. Користувач підтвердив операцію з мобільного пристрою. Кошти досі йому доступні, але на зв’язок він не виходив.

У відповідь Aave запустив Aave Shield. Нова функція за замовчуванням блокує будь-які обмінні операції з ціновим впливом вище 25%. Вимкнути захист можна лише вручну в налаштуваннях.

Раніше засновник проєкту Стані Кулечов згадував про плани повернути близько $600 000 комісій. В останній публікації цифру скоригували до $110 368 (25 базисних пунктів). Точність суми підтверджується метаданими агрегатора CoW Swap.

Ця сума стала предметом суперечки всередині спільноти Aave. З грудня 2025 року учасники управління не можуть вирішити, куди спрямувати гроші: до загальної казни ДАО чи на адресу розробників із Aave Labs.

MEV-фактор

Показово, що в офіційних публікаціях жодним чином не згадуються MEV-боти, які отримали основну вигоду від помилки трейдера. За даними Arkham, алгоритм Titan Builder заробив близько $34 млн в ETH. Інший бот отримав $9,9 млн внаслідок успішної сендвіч-атаки.

Titan Builder extracted $34M worth of ETH out of this debacle

They immediately sent all proceeds to Coinbase https://t.co/B9j8p2czTD pic.twitter.com/5Ll8mZxiEB

— Emmett Gallic (@emmettgallic) March 12, 2026

CoW обмежилася згадкою «значного бекрану» і перерахувала адреси, але не використала термін «сендвіч» і не розкрила механіку. При цьому інтеграція CoW Swap якраз і позиціонувалася як захист від MEV.

Нагадаємо, 10 березня в Aave стався збій оракула. Він призвів до помилкової ліквідації позицій у токені wstETH на суму близько $26 млн.