forklog.com
Проекты Aave и CoW Swap представили разные версии инцидента, в результате которого пользователь лишился более $50 млн при обмене токенов.
Версия CoW
Команда агрегатора считает, что причиной провальной сделки с $AAVE стала совокупность нескольких факторов:
- ордер «исполнить или отменить» на неликвидной паре с огромным объемом;
- неактуальный лимит газа в системе верификации;
- солвер, не справившийся с исполнением;
- возможная утечка данных об операции из приватного мемпула.
https://t.co/1JJhoyi3Pd
— CoW DAO (@CoWSwap) March 14, 2026
На этапе запроса котировок три солвера предложили цены. Лучшие из них давали около $5 млн $AAVE за $50 млн — потеря около 90%. Система верификации с жестким лимитом в 12 млн газа (устаревший код, как пояснили в CoW) отсеяла эти варианты.
Единственная прошедшая верификацию котировка от Solver A предлагала примерно 329 $AAVE — в 150-200 раз хуже непроверенных альтернатив. Именно она легла в основу лимитной цены ордера.
При исполнении ситуация усугубилась. Solver Е нашел более выгодный маршрут и выиграл два аукциона, но ни одна транзакция не попала в блок. После двух неудач он перестал участвовать, оставив в игре только слабого солвера с худшей ценой.
«В аукционе нет механизма, который отслеживал бы такой сценарий», — отметили в CoW.
Разработчики также зафиксировали возможную утечку данных из мемпула. Транзакцию отправили через приватный RPC, но она получила метку «подтверждена за 30 секунд». Подобное происходит, если сделку замечают в публичной очереди еще до включения в блок. Расследование продолжается.
Версия Aave
В Aave считают, что главные причины инцидента — неликвидность рынка и выбор самого пользователя. В отчете восстановили маршрут сделки: солвер перевел aEthUSDT в USDT через Aave V3, затем обменял на WETH на площадке Uniswap V3 и финализировал операцию через пул SushiSwap с ликвидностью всего $73 000.
https://t.co/UmXulxU7NS
— Aave (@aave) March 14, 2026
Команда обратила внимание: виджет показывал предупреждение «высокое ценовое воздействие (99,9%)» и требовал поставить галочку согласия. Пользователь подтвердил операцию с мобильного устройства. Средства до сих пор ему доступны, но на связь он не выходил.
В ответ Aave запустил Aave Shield. Новая функция по умолчанию блокирует любые обменные операции с ценовым воздействием выше 25%. Отключить защиту можно только вручную в настройках.
Ранее основатель проекта Стани Кулечов упоминал о планах вернуть около $600 000 комиссий. В последней публикации цифру скорректировали до $110 368 (25 базисных пунктов). Точность суммы подтверждается метаданными агрегатора CoW Swap.
Эта сумма стала еще и предметом спора внутри сообщества Aave. С декабря 2025 года участники управления не могут решить, куда направить деньги: в общую казну ДАО или на адрес разработчиков из Aave Labs.
MEV-фактор
Примечательно, что в официальных публикациях никак не упоминаются MEV-боты, получившие основную выгоду из ошибки трейдера. По данным Arkham, алгоритм Titan Builder выручил около $34 млн в $ETH. Другой бот получил $9,9 млн в результате успешной сэндвич-атаки.
Titan Builder extracted $34M worth of $ETH out of this debacle
— Emmett Gallic (@emmettgallic) March 12, 2026
They immediately sent all proceeds to Coinbase https://t.co/B9j8p2czTD pic.twitter.com/5Ll8mZxiEB
CoW ограничилась упоминанием «значительного бэкрана» и перечислила адреса, но не использовала термин «сэндвич» и не раскрыла механику. При этом интеграция CoW Swap как раз и позиционировалась как защита от MEV.
Напомним, 10 марта в Aave произошел сбой оракула. Он привел к ошибочной ликвидации позиций в токене wstETH на сумму около $26 млн.