menaskop

DeFi. AAVE формализует листинг токенов

2026-05-30T04:21:12.057Z

AAVE. TALF

Перевод

Это вольный перевод важнейшего решения: https://governance.aave.com/t/arfc-technical-asset-listing-framework/24988.

Краткое содержание

Aave Labs предлагает внедрить стандартизированный Technical Asset Listing Framework (TALF) для активов, претендующих на листинг, сохранение листинга или существенное расширение параметров в Aave V3, Aave V4 и Horizon.

Цель инициативы - сделать процесс листинга и мониторинга активов более единообразным, прозрачным и воспроизводимым, а также создать постоянную базу для контроля того, что уже размещённые активы продолжают соответствовать требованиям качества и безопасности протокола.

Фреймворк должен дополнять существующие методологии риск-провайдеров и Aave Asset Classification Framework (AACF), определяя публичный базовый стандарт технической безопасности.

Документ описывает техническую информацию и требования, которые ожидаются от эмитентов активов и участников проверки. Формальные технические отчёты могут содержать качественные оценки или сводки выявленных проблем для использования риск-провайдерами и участниками управления.

Однако данный ARFC не устанавливает конкретные пороговые значения рейтингов и не определяет исчерпывающий список блокирующих факторов.

Мотивация

Процесс листинга активов в Aave значительно развился со временем благодаря более активному участию риск-провайдеров, технических экспертов и участников DAO.

По мере расширения протокола на новые рынки, типы активов и блокчейн-сети технические требования должны оставаться достаточно понятными для оценки предложений сообществом, но при этом достаточно строгими для охвата полного спектра рисков актива.

Среди ключевых требований:

совместимость с ERC-20;
предсказуемое поведение переводов токена;
ограниченная эмиссия (bounded minting);
надёжный контроль привилегированных ролей;
устойчивые и надёжные оракулы;
безопасная архитектура мостов (bridges);
наличие аудита кода;
раскрытие информации о внецепочечных компонентах и договорённостях, если критически важные данные отсутствуют ончейн.

Хотя многие из этих вопросов являются техническими, они напрямую влияют на:

платёжеспособность Aave;
процессы ликвидации;
настройку параметров обеспечения;
архитектуру оракулов;
механизмы экстренного реагирования.

Токен с неограниченной эмиссией, слабыми механизмами управления обновлениями, неподходящим или устаревшим оракулом, рисками рассинхронизации предложения через мосты, непрозрачной процедурой погашения либо недостаточной прозрачностью из-за оффчейн-компонентов может создавать риски, которые невозможно выявить только по рыночным метрикам.

Поэтому данный ARFC предлагает формализовать и стандартизировать технические требования к активам, чтобы все будущие предложения оценивались по единому базовому стандарту, а DAO могло чётко понимать:

какие активы соответствуют требованиям;
какие требуют дополнительных мер по снижению рисков;
какие нуждаются в дополнительном аудите или доработке.

Область применения

Фреймворк распространяется на:

новые листинги активов в любых экземплярах Aave V3, Aave V4 и Horizon;
уже размещённые активы, проходящие существенные изменения;
уже размещённые активы, подлежащие периодической или внеплановой технической переоценке.

Фреймворк учитывает особенности разных сетей. Если актив существует в нескольких блокчейнах, он должен соответствовать требованиям в каждой из них отдельно, включая:

реализацию смарт-контрактов в каждой сети;
используемые оракулы;
архитектуру мостов;
систему контроля доступа;
конфигурацию внешних зависимостей.

При этом фреймворк не заменяет:

анализ рыночных рисков;
анализ ликвидности;
юридическую экспертизу;
дискреционные решения DAO.

Он определяет базовый уровень технической пригодности актива. Решения о листинге и параметрах актива по-прежнему остаются за DAO и принимаются на основе полного набора доступной информации, проведённого анализа и рекомендаций сервис-провайдеров.

Анализ ликвидности и глубины рынка предполагается получать от риск-провайдеров DAO в рамках их стандартной оценки рыночных рисков. Их выводы должны рассматриваться совместно с техническими выводами данного фреймворка при определении таких параметров, как:

Supply Cap;
Borrow Cap;
коэффициенты обеспечения (Collateral Parameters).

Связь с AAcA

Каждый актив сначала должен быть отнесён к соответствующей категории в рамках Aave Asset Classification Framework (AAcA).

На этапе предварительного отбора категория AAcA должна быть подтверждена. Активы, относящиеся к неразрешённым (non-approved) или санкционированным категориям, не должны проходить дальше по процессу оценки.

Классификация AAcA определяет, на каких требованиях необходимо сосредоточить основное внимание при проверке. Например:

доходные активы (yield-bearing assets) должны соответствовать специальным требованиям к обменному курсу (exchange rate), процедурам вывода средств (withdrawal path) и механизму CAPO;
мостовые активы (bridged assets) должны соответствовать требованиям к безопасности мостов и целостности предложения токенов (supply integrity).

Методология оценки

Данный фреймворк определяет технические требования к активам, претендующим на листинг, сохранение листинга или существенное расширение параметров в Aave.

Он не предназначен для публикации фиксированных рейтинговых шкал или полного списка автоматических причин для отказа.

Когда Aave Labs или другой участник готовит официальный технический отчёт по активу, такой отчёт может включать:

качественные оценки по отдельным разделам;
метки рисков (risk labels);
другие результаты оценки.

Эти оценки следует рассматривать как выводы конкретного отчёта, основанные на:

анализируемом активе;
конкретной сети развёртывания;
предоставленной эмитентом информации;
текущем состоянии рынка и самого протокола.

Что должен содержать технический обзор?

Проверка должна чётко разделять фактические выводы и рекомендации.

Для каждого раздела аудитор или рецензент должен указать:

какие контракты и системы были проверены;
ключевой вывод;
необходимые исправления (remediation);
остаточный риск после исправлений;
должен ли выявленный риск ограничивать параметры листинга или лимиты экспозиции;
итоговую качественную оценку и заключение.

Отсутствие в данном ARFC конкретных пороговых рейтингов не означает автоматическое одобрение любой реализации, которая формально предоставила запрошенную информацию.

Существенные недостатки могут привести к:

снижению лимитов экспозиции;
усиленному мониторингу;
переносу листинга;
рекомендации не проводить листинг до устранения проблем.

Требования предварительного отбора (Pre-Screening)

До начала полноценной технической проверки актив должен соответствовать следующим требованиям:

Контракт актива должен быть развёрнут и верифицирован в целевой сети.
Категория актива в рамках AAcA должна быть подтверждена.
Актив не должен относиться к неразрешённой или санкционированной категории AAcA.
Если актив уже присутствует в Aave, существующие листинги должны быть выявлены и использованы как ориентир для параметров там, где это применимо.
Должен быть определён наиболее близкий по характеристикам актив, уже размещённый в Aave.
Байткод прокси-контракта и реализации должен совпадать либо быть сопоставлен с последней аудированной версией кода (если используется прокси-архитектура).
Если существует сопоставимый актив, он должен использоваться как отправная точка для настройки:

оракулов;
LTV;
Liquidation Threshold;
лимитов (Caps);
прочих параметров обеспечения.

При этом окончательные параметры всё равно должны учитывать уникальный технический профиль нового актива.

Стандартный отчёт по результатам проверки (Standard Findings Report)

Если для актива готовится официальный технический отчёт, он должен использовать стандартизированную структуру, чтобы результаты можно было сопоставлять между различными активами и сетями развёртывания.

Отчёт может содержать:

рейтинг;
уровень серьёзности выявленных проблем;
рекомендации;
другие выводы, предусмотренные конкретной методологией проверки.

При этом данный ARFC не определяет эталонные значения или шкалы для таких оценок.

Если какой-либо раздел неприменим к рассматриваемому активу, проверяющий должен явно объяснить причину.

Разделы фреймворка

Ниже перечислены основные технические области, которые обычно должны проверяться при рассмотрении:

нового листинга;
сохранения листинга;
существенного расширения параметров актива в Aave.

Этот перечень не является окончательным или исчерпывающим.

Дополнительные требования могут появляться в зависимости от:

типа актива;
особенностей реализации;
среды развёртывания;
операционной модели эмитента;
внешних зависимостей;
новых рисков, выявленных DAO или сервис-провайдерами.

Активы с существенными оффчейн-компонентами

Для активов, имеющих значимые внецепочечные элементы, включая:

токенизированные реальные активы (RWA);
кастодиальные инструменты;
активы, погашение или обеспечение которых зависит от юридических соглашений, а не от смарт-контрактов,

требования данного фреймворка применяются прежде всего к ончейн-слою.

При этом оффчейн-механизмы, влияющие на:

целостность предложения токена (supply integrity);
надёжность погашения (redemption reliability);
контрагентские риски,

должны быть раскрыты и оценены в рамках:

Раздела 8 (Dependencies and Composability);
раздела Issuer Expectations.

Если оффчейн-компонент является критически важной зависимостью, он должен проверяться столь же тщательно, как и критическая ончейн-зависимость.

1. Соответствие стандарту ERC-20 (ERC20 Compliance)

Активы, размещаемые в Aave, должны вести себя предсказуемо с точки зрения стандартных предположений ERC-20 и общей совместимости с DeFi-протоколами.

Технические требования

Контракт должен корректно реализовывать следующие функции:

name()
symbol()
decimals()
totalSupply()

и возвращать разумные значения.

Функции:

transfer()
transferFrom()

должны возвращать булево значение (bool).

Токен не должен иметь механизмов:

Fee-on-Transfer (комиссия при переводе);
автоматического ребейза (rebase),

если только не используется специальная обёртка (wrapper), которая устраняет эти особенности.

Токен не должен использовать:

ERC-777 Hooks;
callback-механизмы передачи ERC-1363.

Если поддерживается Flash Mint, необходимо:

полностью документировать механизм;
доказать, что он не нарушает учёт активов и логику работы Aave.

Смарт-контракты должны иметь возможность:

хранить токены;
получать токены;
отправлять токены

без необходимости попадания в белый список или получения специальных разрешений.

Количество десятичных знаков (decimals) должно быть совместимо с:

интеграциями Aave;
пользовательскими интерфейсами Aave.

Что считается проблемой?

Следующие особенности обычно требуют исправления либо специального подхода к листингу:

Fee-on-Transfer токены;
ребейзинг-токены без безопасной обёртки;
использование ERC-777 Hooks;
нестандартные decimals, которые невозможно безопасно интегрировать.

До устранения таких проблем актив обычно не рассматривается как полностью соответствующий требованиям фреймворка.

Для RWA-проектов и стейблкоинов это означает, что Aave фактически начинает с самого базового вопроса:

Можно ли обращаться с этим токеном как с обычным ERC-20 без скрытых побочных эффектов для учёта, ликвидаций и залоговой системы?

Если ответ отрицательный, дальнейший анализ часто теряет смысл до устранения этой проблемы.

2. Оракулы (Oracle)

Для каждого актива, размещаемого в Aave, необходим надёжный источник ценовых данных. Оракул является одной из ключевых составляющих безопасности протокола, поэтому любая схема ценообразования, которая не использует Chainlink в качестве основного источника, должна быть отдельно обоснована.

Технические требования

В целевой сети должен существовать ценовой фид Chainlink, который используется напрямую либо через адаптер CAPO, если это необходимо.
Количество десятичных знаков (decimals) в ценовом фиде должно соответствовать стандартам Aave.
Ценовой фид должен работать в рамках ожидаемых параметров heartbeat и deviation threshold. Любые отклонения должны быть отдельно объяснены.
По возможности должны быть определены аналогичные оракульные адаптеры из уже существующих развёртываний Aave.
Необходимо проверить и задокументировать уровень риска соответствующего фида Chainlink (Chainlink Market Risk Tier).
Для доходных активов (yield-bearing assets) должен использоваться CAPO там, где это требуется для ограничения предположений о росте цены или обменного курса.

Отсутствие оракульной инфраструктуры, устаревшие данные, повышенный риск фида или отсутствие надёжного механизма определения цены должны быть вынесены на рассмотрение риск-провайдеров и отражены в рекомендациях по листингу, параметрам актива и его мониторингу.

3. Контроль доступа и управление активом (Asset Operations Access Control)

Актив должен иметь понятную систему контроля доступа и гарантии безопасности предложения токенов как на уровне ERC-20 контракта, так и на уровне вспомогательных (periphery) контрактов, способных влиять на:

предложение токенов;
балансы пользователей;
возможность перевода токенов;
процедуры погашения (redemption).

Помимо перечисления привилегированных ролей необходимо оценивать:

кому принадлежат эти роли;
насколько они сконцентрированы;
создаёт ли их структура общие точки отказа (correlated failure modes).

Уровни безопасности ролей:

Один приватный ключ (EOA), без задержек и мультисиг-защиты: 0
Мультисиг без честного большинства подписантов: 1
Мультисиг с честным большинством, без timelock: 2
Мультисиг с timelock менее 48 часов: 3
Мультисиг с timelock не менее 48 часов: 4
DAO-управление ончейн + timelock: 5

Под слабой конфигурацией безопасности (weak security configuration) далее понимается любой держатель роли уровня 0 или 1.

Эта классификация должна использоваться при определении:

лимитов экспозиции;
требований к мониторингу;
необходимых мер по устранению рисков.

3a. Карта ролей ERC-20 (ERC20 Role Mapping)

Эмитент обязан раскрыть и задокументировать все привилегированные роли контракта.

К ним относятся:

owner/admin;
default admin;
minter;
burner;
pauser;
blacklister;
bridge/adaptor roles;
любые иные специальные роли протокола.

Для каждой роли необходимо предоставить:

адрес держателя;
тип держателя;
модель безопасности;
административную иерархию назначения и отзыва ролей.

Концентрация ролей должна быть отдельно оценена.

3b. Карта вспомогательных контрактов (Periphery Role Mapping)

К вспомогательным относятся любые контракты, которые:

владеют ролями токена;
способны влиять на эмиссию;
способны влиять на балансы пользователей;
способны изменять ключевую функциональность токена.

Примеры:

bridge adapters;
minters;
treasury controllers;
fee receivers;
redemption contracts;
staking wrappers;
другие привилегированные модули.

Эмитент должен:

раскрыть все такие контракты;
предоставить исходный код;
раскрыть их административную структуру;
подтвердить, что они не могут обновляться под более слабым контролем, чем сам токен.

3c. Логика эмиссии и сжигания (Minting and Burning Logic)

Актив должен обеспечивать высокую целостность предложения токенов.

Эмитент обязан раскрыть:

кто может выпускать токены;
кто может их сжигать;
при каких условиях это происходит;
существуют ли лимиты и ограничения.

Технические требования:

Должны быть определены точные функции mint и burn.
Необходимо раскрыть все авторизованные адреса.
Эмиссия должна иметь жёсткие лимиты или периодические ограничения.
Адрес, увеличивающий лимит эмиссии, должен отличаться от адреса, который этот лимит использует.
Необходимо оценить максимальный объём возможной эмиссии в USD и сравнить его с потенциальной залоговой экспозицией Aave.
Привилегированный адрес не должен иметь возможность сжигать токены с произвольных пользовательских кошельков.
События mint и burn должны логироваться через события (events).

Особенно проблемными считаются случаи, когда:

эмиссия контролируется адресом со слабой конфигурацией безопасности;
эмиссия не ограничена;
один адрес может и повышать лимиты, и использовать их;
существует возможность произвольного сжигания пользовательских токенов.

Такие ситуации обычно требуют устранения либо серьёзно ограничивают рекомендации по листингу.

3d. Возможности паузы и чёрного списка (Pause and Blacklist Capability)

Механизмы паузы и блокировки адресов должны быть раскрыты, поскольку они напрямую влияют на ликвидации и вывод средств в Aave.

Требования:

Должен быть определён владелец права паузы (pause/freeze).
Должен быть определён владелец права чёрного списка (blacklist).
Необходимо раскрыть адреса держателей этих полномочий и их модель безопасности.
Blacklist-механизм не должен иметь возможности незаметно блокировать ликвидации Aave без ведома DAO.

Хотя подобные механизмы могут быть необходимы для некоторых активов, их влияние на работу Aave должно быть полностью понятно до листинга или расширения параметров.

3e. Обновляемость контрактов (Upgradeability)

Актив и его критически важные вспомогательные контракты должны иметь понятную и безопасную модель обновления.

Если контракты обновляемые, необходимо определить, кто контролирует процесс обновления и какие ограничения действуют на этот контроль.

Технические требования:

Необходимо определить тип прокси:

Transparent Proxy;
UUPS;
Beacon;
либо неизменяемый контракт (Immutable).

Должен быть определён Proxy Admin или иной орган обновления.
Контроль обновления не должен находиться у адреса со слабой конфигурацией безопасности.
Proxy Admin должен представлять собой мультисиг, timelock или DAO-механизм с проверенным исходным кодом и достаточными экономическими гарантиями.
Задержка timelock должна быть раскрыта.
История обновлений не должна содержать подозрительных или необъяснённых изменений.

С точки зрения Aave путь обновления через слабую конфигурацию безопасности не соответствует ожидаемому стандарту. Даже мультисиг без значимого timelock может считаться допустимым лишь временно и обычно приводит к ограничениям по экспозиции до тех пор, пока DAO не убедится в надёжности операционной модели эмитента.

4. Механизм обменного курса и доходности (Exchange Rate and Yield Mechanism)

Этот раздел применяется к:

доходным активам (yield-bearing assets);
обёрткам (wrappers);
LST (Liquid Staking Tokens);
LRT (Liquid Restaking Tokens);
токенам хранилищ (vault tokens);
аналогичным инструментам.

Технические требования

Функция расчёта обменного курса (exchange rate) должна быть определена и задокументирована.
В нормальных условиях обменный курс должен быть монотонно неубывающим, если только снижение стоимости не предусмотрено самой моделью актива (например, через слэшинг или отрицательную доходность).
Курс не должен поддаваться манипуляции в рамках одной транзакции через:

пожертвования (donations);
flash loans;
особенности бухгалтерского учёта.

Размещаемый токен не должен использовать ребейзинг.
Последствия слэшинга или отрицательного ребейза должны быть полностью понятны и отражены в параметрах риска.
Процедура вывода базового актива должна быть прозрачной и пригодной для ликвидаций.
Если требуется CAPO, для него должен быть установлен обоснованный лимит роста относительно ожидаемой доходности.
Необходимо задокументировать точность расчётов и правила округления.

Что считается проблемой

Обычно требуют исправления либо серьёзно ограничивают листинг:

обменный курс, который можно манипулировать одной транзакцией;
доходный актив без CAPO там, где CAPO необходим;
актив без механизма погашения и без достаточной ликвидности на вторичном рынке.

Для таких активов, как stETH, weETH, rsETH, ezETH и других LST/LRT, этот раздел фактически проверяет:

Насколько безопасно и предсказуемо растёт exchange rate и сможет ли Aave корректно ликвидировать позиции в стрессовой ситуации?

5. Архитектура токена (Token Architecture)

Актив должен иметь архитектуру, совместимую с интеграциями Aave и не содержать скрытых предположений относительно:

предложения токенов;
переводов;
контроля доступа.

Технические требования

Должна быть полностью понятна модель предложения:

фиксированная эмиссия;
инфляционная модель;
эмиссия под контролем эмитента.

Ограничения на переводы должны быть раскрыты и совместимы с принципами DeFi-композируемости.
Контроль доступа не должен основываться на tx.origin.
Контракт не должен позволять выполнять delegatecall в произвольные внешние контракты.
Все привилегированные функции должны быть явно задокументированы и защищены системой прав доступа.
Не должно существовать нескольких независимых точек выпуска одного и того же предложения токенов, включая:если между ними отсутствует прозрачный механизм учёта общего предложения.

дублирующиеся деплойменты;
старые версии токенов;
миграционные контракты,

6. Риски мостов и кроссчейн-инфраструктуры (Bridge and Cross-Chain Risk)

Для активов, чья целостность предложения зависит от мостов, вводятся дополнительные требования.

Технические требования

Необходимо определить и задокументировать:

исходную сеть (origin chain);
каноническое предложение токена;
представление токена в целевой сети;
используемый мост или систему сообщений;
конфигурацию валидаторов, аттестаторов, оракулов или DVN;
лимиты скорости переводов (rate limits);
механизмы эскроу;
административный контроль и обновление моста.

Важный принцип

Проверка не должна ограничиваться только целевой сетью.

Если канонический токен в исходной сети:

обновляемый (upgradeable);
имеет функцию эмиссии (mintable);
управляется слабыми механизмами доступа,

то эта слабость распространяется на всю кроссчейн-модель предложения независимо от качества самого моста.

Что считается серьёзным риском?

Особое внимание должно уделяться случаям, когда присутствуют:

мосты со слабой моделью безопасности;
отсутствие надёжной верификации;
неограниченная эмиссия через мосты;
слабый контроль Bridge Admin.

Такие риски должны напрямую отражаться в рекомендациях по:

листингу;
лимитам экспозиции;
мониторингу.

7. Аудиты и история безопасности (Audit and Security History)

Актив должен иметь актуальную и релевантную историю проверок безопасности, охватывающую как сам токен, так и критические зависимости.

Технические требования

Текущая развёрнутая версия должна быть проверена авторитетным аудитором.
Не должно оставаться неустранённых замечаний уровня Critical или High.
Дата аудита должна быть достаточно свежей относительно последних существенных изменений кода.
Должна существовать bug bounty программа, соответствующая предполагаемому TVL актива.
Все прошлые инциденты должны быть задокументированы вместе с:

post-mortem отчётом;
описанием исправлений.

Развёрнутый код должен совпадать с последней аудированной версией по соответствующему commit hash.
Эмитент должен иметь официальный канал коммуникации и обязаться заранее уведомлять команду Aave о существенных изменениях.

Что считается проблемой?

Обычно требуют исправления либо существенно ограничивают листинг:

отсутствие аудита;
наличие открытых Critical или High замечаний;
прошлый эксплойт без документированного исправления.

Интересно, что если собрать разделы 1–7 вместе, то получится почти полный чек-лист для оценки любого RWA, стейблкоина, LST/LRT или мостового актива перед листингом в Aave: ERC20 → Oracle → Access Control → Mint/Burn → Yield Logic → Architecture → Bridges → Security History. Именно на этих пунктах сегодня чаще всего проваливаются новые активы.

8. Зависимости и композируемость (Dependencies and Composability)

Внешние зависимости должны быть задокументированы, поскольку они могут негативно повлиять на актив, даже если сам токен реализован корректно.

К таким зависимостям относятся:

стейкинг-протоколы;
хранилища (vaults);
мосты;
кастодианы;
оракульные системы;
валидаторы;
операторы инфраструктуры;
слои рестейкинга;
механизмы погашения (redemption infrastructure).

Технические требования

Все внешние зависимости должны быть идентифицированы.
Каждая зависимость должна иметь собственную историю аудитов и эксплуатации в продакшене.
Управление зависимостью не должно иметь возможности незаметно для ончейна нарушить работу актива.
Очереди вывода средств и сроки вывода должны быть совместимы с предположениями Aave относительно ликвидаций.
Необходимо раскрыть концентрацию среди:

валидаторов;
операторов;
кастодианов.

Там, где это применимо, должны быть количественно оценены сценарии:

слэшинга;
неплатёжеспособности (insolvency).

Критически важная зависимость со слабой моделью управления или без аудита обычно требует исправления либо приводит к существенным ограничениям на листинг и лимиты экспозиции.

Ожидания от эмитента (Issuer Expectations)

Данный фреймворк охватывает только техническую сторону пригодности актива к листингу.

Предполагается, что в будущем он будет дополнен отдельным нетехническим фреймворком, который будет оценивать:

юридическую структуру эмитента;
раскрытие информации о компании;
регуляторный статус;
операционные процессы;
юридическую природу прав на базовый актив;
иные факторы, важные для DAO при принятии решения о листинге.

Эмитенты должны понимать, что для листинга потребуется соответствовать как техническим, так и операционным требованиям, поскольку оффчейн-структура напрямую влияет на ончейн-риски.

Если часть информации является конфиденциальной, она может быть раскрыта приватно соответствующему риск-провайдеру или сервис-провайдеру.

Однако публичное предложение по управлению всё равно должно содержать:

краткое описание результатов проверки;
итоговую оценку;
описание остаточных рисков,

чтобы DAO могла принимать осознанные решения.

Интеграция в процесс управления (Governance Process Integration)

Фреймворк предлагается встроить в процесс листинга и расширения активов следующим образом.

1. Предварительная проверка (Pre-screening)

Подтверждаются:

классификация AACF/AAcA;
верификация контракта;
наличие аналогичных листингов в Aave;
базовая пригодность актива.

2. Технический обзор (Technical Review)

Проводится оценка актива по всем разделам фреймворка и выявляются существенные технические риски.

3. Координация с риск-провайдерами

Технические выводы сопоставляются с:

параметрами рыночного риска;
лимитами;
конфигурацией оракулов;
условиями листинга.

4. Публикация предложения

В governance-предложение включается стандартизированная таблица результатов проверки.

5. Контроль исправлений (Remediation Tracking)

Документируются:

необходимые исправления;
являются ли они обязательным условием листинга;
либо могут быть выполнены уже после листинга.

6. Регулярное обновление оценки (Ongoing Refresh)

Проверка должна проводиться:

ежегодно для всех активных активов;
немедленно при существенных изменениях.

Под существенными изменениями понимаются:

обновление контрактов;
запуск в новых сетях;
новые или изменённые мостовые маршруты;
изменение держателей привилегированных ролей;
изменение модели безопасности;
изменение лимитов эмиссии;
изменение критических зависимостей;
инциденты безопасности актива или его ключевых компонентов.

Сервис-провайдеры и Aave Labs должны сообщать о таких изменениях DAO по мере их обнаружения.

Эмитенты обязаны уведомлять о них заранее в рамках своих постоянных обязательств.

Главная идея

Фреймворк не должен создавать лишние препятствия для простых и хорошо контролируемых активов.

Его задача - сделать требования более предсказуемыми и выявлять технические проблемы до того, как они превратятся в риск для протокола.

Обращение с выявленными проблемами (Treatment of Findings)

Результаты проверки должны напрямую превращаться в управленческие и риск-менеджмент решения.

В зависимости от серьёзности проблемы последствия могут включать:

снижение Supply Cap;
снижение Borrow Cap;
уменьшение LTV;
запрет использования актива в качестве залога;
дополнительный мониторинг;
обязательные исправления со стороны эмитента;
периодические повторные проверки;
рекомендацию отложить листинг или расширение параметров.

Формальные технические отчёты могут использовать:

качественные рейтинги;
уровни серьёзности (severity labels);
другие формы оценки,

чтобы передавать выводы риск-провайдерам и участникам управления.

Однако такие оценки являются частью конкретного отчёта и не считаются универсальными шкалами, установленными данным ARFC.

Если DAO всё же принимает риск?

Если DAO решает листить актив несмотря на наличие существенных нерешённых проблем, в предложении должно быть прямо указано:

какой остаточный риск остаётся;
почему DAO считает этот риск приемлемым.

Если посмотреть на весь документ целиком, то это фактически попытка Aave превратить листинг активов в стандартизированный due diligence-фреймворк, очень похожий на то, как банки или институциональные кастодианы оценивают новые финансовые инструменты. Особенно это заметно по разделам про:

контроль эмиссии;
апгрейды;
мосты;
оракулы;
оффчейн-зависимости;
раскрытие информации об эмитенте.

Для RWA, стейблкоинов, LST/LRT и кроссчейн-активов такой подход может стать новым де-факто стандартом листинга далеко за пределами самого Aave.

До!

Токеномика. RWA. Товарно-обеспеченные стейблкоины

2026-05-27T06:28:08.229Z

RWA

Перевод

Это вольный перевод: chain.link/article/commodity-backed-stablecoins.

Определение

Товарно-обеспеченный стейблкоин - криптовалюта, привязанная к стоимости физического актива, такого как золото, нефть или недвижимость. Эти токены сочетают стабильность материальных ресурсов с эффективностью, прозрачностью и программируемостью блокчейн-технологий.

Стабильность - необходимое условие для массового внедрения цифровых активов.

Хотя Bitcoin и Ethereum обеспечивают программируемую передачу ценности, их волатильность часто делает их неудобными для повседневных платежей и краткосрочных расчётов. Именно это привело к появлению стейблкоинов - цифровых активов, предназначенных для поддержания стабильной стоимости.

Хотя рынок по-прежнему доминируется фиатно-обеспеченными стейблкоинами, привязанными к доллару США, сектор товарно-обеспеченных стейблкоинов быстро растёт, соединяя традиционные финансы (TradFi) и децентрализованные финансы (DeFi).

Токенизируя физические хранилища ценности - драгоценные металлы, энергетические ресурсы и недвижимость - такие активы дают пользователям прямой доступ к реальным активам (RWA) без логистических сложностей хранения и транспортировки.

Для институциональных инвесторов и участников DeFi они становятся инструментом хеджирования инфляции и диверсифицированным средством обмена.

Однако соединение физического хранилища с цифровым блокчейном требует специальной инфраструктуры для обеспечения прозрачности и доверия.

Что такое товарно-обеспеченные стейблкоины?

Товарно-обеспеченные стейблкоины - цифровые токены, выпускаемые в блокчейне и напрямую зависящие по стоимости от физического актива. В отличие от алгоритмических стейблкоинов, поддерживающих привязку с помощью кода, или фиатных стейблкоинов, привязанных к государственным валютам, товарные токены обеспечены материальными ценностями.

Наиболее распространённым обеспечением являются драгоценные металлы, прежде всего золото, но также используются серебро, нефть, углеродные кредиты и недвижимость.

Ключевая идея заключается в токенизации актива. Каждый токен представляет собой цифровой сертификат собственности на определённую единицу физического товара (например, одну тройскую унцию золота), находящуюся в защищённом и проверяемом хранилище у кастодиана.

Благодаря этому цифровой токен наследует ценовую стабильность базового актива, одновременно получая преимущества блокчейна: скорость транзакций, делимость и глобальную доступность.

Для инвесторов такой подход значительно упрощает доступ к классам активов, которые традиционно требуют крупного капитала, страховки и сложной логистики. Вместо покупки физического золота и организации его хранения пользователь может приобрести долю токена, представляющего это золото, на децентрализованной бирже.

Кроме того, поскольку такие активы существуют ончейн, они могут интегрироваться в DeFi-протоколы для кредитования, заимствования и генерации доходности.

Как работают товарно-обеспеченные стейблкоины?

Механика работы товарно-обеспеченного стейблкоина строится вокруг взаимодействия эмитента, кастодиана и смарт-контракта.

Жизненный цикл обычно начинается с этапа создания (minting). Инвестор вносит фиатную валюту или физический товар доверенному эмитенту. Эмитент приобретает эквивалентное количество товара и размещает его у стороннего кастодиана. После подтверждения наличия актива в хранилище эмитент выпускает эквивалентное количество токенов ончейн и переводит их в цифровой кошелёк пользователя.

Для поддержания привязки к рыночной цене товара система использует арбитраж и право выкупа.

Если цена токена на вторичном рынке падает ниже спотовой цены базового актива, держатели могут обменять токены на физический товар (или его денежный эквивалент). Во время такого выкупа токены сжигаются, уменьшая предложение и подталкивая цену обратно вверх. Если же токен торгуется с премией, пользователи могут купить физический товар, передать его эмитенту для выпуска новых токенов и продать их на рынке с прибылью.

Пользователи должны доверять тому, что физические резервы действительно существуют, не обременены обязательствами и соответствуют объёму токенов в обращении.

Именно поэтому критически важна система проверки данных. Без постоянной связи между оффчейн-хранилищем и ончейн-смарт-контрактом система уязвима к практике частичного резервирования - риск, который современная оракульная инфраструктура стремится минимизировать.

Техническая архитектура

Технической основой любого товарно-обеспеченного стейблкоина является архитектура смарт-контрактов, управляющая выпуском, переводами и погашением токенов.

Эти само-исполняемые контракты прозрачно обеспечивают соблюдение правил системы. В сетях вроде Ethereum они обычно соответствуют стандарту ERC-20, определяющему свойства токена: имя, тикер и делимость. Однако для институциональных активов архитектура значительно сложнее и требует координационного слоя, связывающего различные системы.

Среда выполнения Chainlink Runtime Environment (CRE) выполняет роль такого координационного слоя. CRE соединяет ончейн-смарт-контракты с оффчейн-миром — кастодианами, аудиторами резервов и поставщиками рыночных данных. Используя CRE, разработчики могут создавать процессы, при которых выпуск токена происходит только после получения криптографического подтверждения того, что соответствующий физический актив действительно размещён в хранилище.

Помимо базового выпуска, смарт-контракты часто включают механизмы контроля доступа и комплаенса.

Например, контракт может запрещать перевод токена, если адрес получателя не прошёл процедуру KYC. Для корректной работы такие контракты требуют постоянного потока точных данных. Они используют стандарт данных Chainlink для получения рыночных цен в реальном времени (через Chainlink Data Feeds) и информации о резервах (через Chainlink Proof of Reserve). Это обеспечивает соответствие внутренней логики смарт-контракта реальному состоянию рынка.

Типы стейблкоинов

Чтобы понять уникальность товарно-обеспеченных активов, полезно рассмотреть их в контексте всей экосистемы стейблкоинов. Обычно стейблкоины классифицируются по типу обеспечения.

Фиатно-обеспеченные (Fiat-Collateralized)

Обеспечены фиатной валютой в соотношении 1:1 (например, USD или EUR), размещённой на банковских счетах. На сегодняшний день это самые ликвидные стейблкоины, однако они зависят от централизованной банковской системы.

Крипто-обеспеченные (Crypto-Collateralized)

Обеспечены другими криптовалютами (например, ETH или BTC). Из-за волатильности обеспечения такие позиции обычно имеют избыточное обеспечение. Смарт-контракты автоматически ликвидируют позиции при чрезмерном падении стоимости залога.

Алгоритмические (Algorithmic)

Используют программные алгоритмы для расширения или сокращения предложения токенов в зависимости от рыночного спроса, зачастую без значительного обеспечения. Такие модели несут повышенный риск потери привязки (depeg).

Товарно-обеспеченные (Commodity-Backed)

Привязаны к физическим активам. Они объединяют защиту от инфляции, присущую материальному обеспечению, с прозрачностью блокчейн-технологии.

Примеры товарно-обеспеченных стейблкоинов

Рынок товарно-обеспеченных стейблкоинов достаточно разнообразен, хотя сегодня в нём доминируют драгоценные металлы благодаря их многовековой роли средства сохранения стоимости.

Токенизированное золото

Такие проекты, как Paxos Gold и Tether Gold, являются наиболее известными примерами. В этих моделях каждый токен представляет определённый объём физического золота (например, одну тройскую унцию), хранящегося в профессиональных застрахованных хранилищах.

Важной особенностью качественных золотых токенов является возможность аллокации: держатели часто могут проверить серийные номера конкретных золотых слитков, закреплённых за их токенами.

Токенизированное серебро

Серебро также токенизируется, чтобы предоставить инвесторам более доступный способ хеджирования против колебаний промышленного спроса или обесценивания валюты.

Энергетика и недвижимость

Протоколы всё активнее токенизируют баррели нефти, углеродные кредиты и доли недвижимости. Такие токены позволяют осуществлять дробные инвестиции в рынки, которые традиционно считаются низколиквидными.

Ведущие проекты этого сектора, например Cache Gold, используют сервисы Chainlink для повышения прозрачности резервов. Интеграция оракульных решений позволяет эмитентам доказывать, что цифровое представление актива в блокчейне соответствует физическим резервам в хранилище.

Преимущества и варианты использования

Товарно-обеспеченные стейблкоины открывают несколько важных преимуществ для цифровой экономики.

Хеджирование инфляции

В отличие от фиатно-обеспеченных стейблкоинов, зависящих от денежно-кредитной политики центральных банков, товарные токены обычно сохраняют стоимость в долгосрочной перспективе, отражая динамику базового материального актива.

Композируемость в DeFi

Такие токены могут использоваться как залог в децентрализованных денежных рынках. Например, пользователь может внести токенизированное золото в Aave и занять под него стейблкоины. Это позволяет получать ликвидность из “твёрдых” активов без необходимости продавать базовую позицию.

Глобальная доступность

Физические товары тяжёлые, дорогие в хранении и неудобные для дробления. Токенизация позволяет пользователю владеть, например, золотом или нефтью на сумму всего $10 через обычный криптокошелёк, обходя минимальные пороги входа и расходы на хранение. Это создаёт модель дробного владения ценными активами.

Межсетевое перемещение активов

Благодаря стандарту взаимодействия Chainlink Interoperability Standard, основанному на CCIP, такие активы больше не ограничены одной блокчейн-сетью. Инвесторы могут безопасно перемещать токенизированные товары между различными сетями для доступа к ликвидности или конкретным DeFi-приложениям.

Роль Chainlink

Chainlink является отраслевым стандартом среди оракульных платформ, обеспечивающих работу экосистемы товарно-обеспеченных стейблкоинов. Компания решает так называемую “проблему оракулов” - неспособность блокчейнов самостоятельно получать оффчейн-данные - с помощью набора сервисов, организованных для обеспечения прозрачности.

Наиболее важным сервисом для этого сектора является Chainlink Proof of Reserve. Этот механизм обеспечивает автономную и надёжную проверку оффчейн-резервов.

Для золотого токена система подключается к хранилищу кастодиана (через API или поток данных от стороннего аудитора) и проверяет точный объём золота в резерве. Эти данные публикуются ончейн. Если объём золота в хранилище уменьшается, оракул обновляет данные смарт-контракта, который может активировать функцию Secure Mint и остановить выпуск новых токенов.

Это предотвращает практику частичного резервирования и гарантирует обеспечение каждого токена в соотношении 1:1.

Дополнительно стандарт данных Chainlink предоставляет критически важные ценовые данные. Chainlink Data Feeds передают точные глобальные рыночные цены (например, XAU/USD) ончейн. Это особенно важно для DeFi-протоколов, принимающих такие токены в качестве залога, поскольку им необходимы корректные цены для расчёта коэффициентов loan-to-value.

Использование децентрализованных оракульных сетей Chainlink (DONs) позволяет устранить единые точки отказа.

Критерии выбора и оценки

При выборе товарно-обеспеченного стейблкоина участникам следует учитывать несколько факторов.

Прозрачность резервов

Инвесторам стоит отдавать предпочтение проектам, предоставляющим ончейн-проверку резервов в реальном времени, а не полагающимся только на редкие бумажные аудиты. Chainlink Proof of Reserve считается отраслевым стандартом такой проверки.

Ликвидность

Глубокая ликвидность необходима для эффективного входа и выхода из позиций. Инвесторам следует проверять, торгуется ли токен на крупных биржах и поддерживается ли достаточная глубина рынка.

Кастодиальная и юридическая структура

Физическая безопасность актива имеет первостепенное значение. Необходимо проверять, где именно хранится актив, застраховано ли хранилище и регулируется ли кастодиан. Также должно быть чётко определено юридическое право выкупа токена на физический актив.

Комиссии

Инвесторам следует внимательно анализировать комиссии за выпуск, погашение и хранение токенов. Высокие издержки могут существенно снижать доходность в долгосрочной перспективе.

Меры безопасности и прозрачности

Безопасность в секторе товарно-обеспеченных активов включает как физическую безопасность резервов, так и цифровую безопасность токенов. Физические активы должны храниться в проверяемых и застрахованных хранилищах под управлением регулируемых кастодианов. С цифровой стороны смарт-контракты обязаны проходить аудит у авторитетных компаний по кибербезопасности для предотвращения эксплойтов.

Прозрачность связывает эти два мира. Традиционные бумажные аттестации отражают состояние резервов лишь постфактум и подвержены ошибкам. Индустрия постепенно переходит к криптографически подтверждаемой истине, где ончейн-данные обеспечивают проверяемое доказательство обеспечения. Используя Chainlink Proof of Reserve, эмитенты могут автоматически публиковать данные о резервах ончейн. Это позволяет любому пользователю или dApp в реальном времени проверять коэффициент обеспечения токенов.

Регуляторная среда и комплаенс

По мере роста рынка стейблкоинов он всё сильнее привлекает внимание регуляторов. Такие нормативные рамки, как Markets in Crypto-Assets Regulation (MiCA) в Европейском союзе, устанавливают строгие требования к обеспеченным активами токенам, обязывая эмитентов поддерживать ликвидные резервы и гарантировать право выкупа токенов.

Комплаенс в этой сфере сложен, поскольку затрагивает как законодательство о финансовых ценных бумагах, так и регулирование товарных рынков.

Эмитенты должны соблюдать требования KYC (Know Your Customer) и AML (Anti-Money Laundering). Стандарт комплаенса от Chainlink помогает интегрировать данные идентификации и политики непосредственно в смарт-контракты. Это позволяет автоматизировать проверки соответствия требованиям без потери эффективности блокчейн-расчётов. Для реализации таких механизмов используется Automated Compliance Engine (ACE).

Риски и вызовы

Несмотря на преимущества, товарно-обеспеченные стейблкоины несут ряд рисков.

Риск централизации

В отличие от децентрализованных крипто-обеспеченных стейблкоинов, товарные токены зависят от центральной организации, которая хранит физический актив. Если кастодиан будет скомпрометирован или обанкротится, стоимость токена может резко упасть. Это разновидность контрагентского риска.

Потеря привязки (De-pegging)

Если механизм выкупа перестанет работать или ликвидность исчезнет во время рыночного стресса, цена токена может отклониться от спотовой цены базового товара. Подобные процессы хорошо иллюстрируют ограничения так называемой “трилеммы стейблкоинов.

Регуляторная неопределённость

Изменения государственной политики в отношении цифровых активов или торговли сырьевыми товарами могут повлиять на законность или доступность таких токенов в отдельных юрисдикциях.

Задержка аудита

Для проектов, не использующих автоматизированные решения вроде Chainlink Proof of Reserve, существует временной лаг между фактическим состоянием резервов и опубликованной информацией. Это создаёт окно, в течение которого возможная неплатёжеспособность может оставаться незамеченной.

Будущее и эволюция рынка

Будущее товарно-обеспеченных стейблкоинов тесно связано с токенизацией реальных активов (RWA). По мере того как крупные финансовые организации, такие как BlackRock, SWIFT и международные банки исследуют возможности блокчейн-технологий, ожидается расширение токенизации за пределы золота - в сторону сельскохозяйственной продукции, редкоземельных металлов и углеродных кредитов.

Индустрия движется к концепции “проверяемого интернета” (Verifiable Web), где финансовые продукты будут определяться криптографическими гарантиями.

Chainlink Runtime Environment позволяет координировать сложные мультиактивные продукты между различными сетями. Дополнительно стандарт взаимодействия Chainlink обеспечивает свободное перемещение таких токенов между блокчейнами, формируя единый глобальный слой ликвидности. По мере развития этой инфраструктуры товарно-обеспеченные стейблкоины, вероятно, станут стандартной частью инвестиционных портфелей для пользователей, ищущих ончейн-диверсификацию.

Заключение

Товарно-обеспеченные стейблкоины объединяют стабильность материальных ресурсов с функциональностью блокчейна. Привязывая цифровую стоимость к реальным активам, они предлагают надёжный инструмент для пользователей, избегающих высокой волатильности. Однако их долгосрочный успех напрямую зависит от прозрачности и качества инфраструктуры.

Благодаря внедрению Chainlink Proof of Reserve и стандартов данных Chainlink эмитенты формируют необходимый уровень доверия для переноса рынков капитала ончейн.

Чтобы подробнее узнать о том, как инфраструктура Chainlink поддерживает будущее стейблкоинов и токенизированных активов, авторы рекомендуют обратиться к профильным экспертам.

До!

Web3. Безопасность. Итоговый отчёт о взломе THORChain

2026-05-21T14:34:20.070Z

THORChain. Взлом

Перевод

Это вольный перевод: https://thorchain.org/blog/thorchain-exploit-report-1.

Суть

Эта статья представляет полный анализ и хронологию событий, последовавших за эксплойтом 15 мая 2026 года. В статье объясняется, как развивался инцидент, как сеть координировала ответные меры безопасности через автоматические и ручные механизмы, а также даётся контекст о принципах работы THORChain для читателей, не знакомых с её архитектурой. Расследование первопричины эксплойта всё ещё продолжается.

Краткое резюме

15 мая 2026 года THORChain стала жертвой целенаправленного (векторного) эксплойта, в результате которого из одного (из 6 существующих) хранилищ было выведено около $10.7 млн.

Атакующим оказался недавно добавленный оператор ноды, присоединившийся к сети за два дня до инцидента и использовавший уязвимость в Threshold Signature Scheme GG20.

Автоматические системы проверки платёжеспособности сети сработали в течение нескольких минут, остановив подпись транзакций и торговлю в нескольких сетях без вмешательства человека.

Затем операторы нод быстро скоординировались через Discord, наложив дополнительные ручные паузы и проведя формальные governance-голосования Mimir, которые примерно за два часа после обнаружения проблемы привели всю сеть к контролируемой остановке (торговля, подпись транзакций, наблюдение за цепями и churn-процессы были остановлены).

Оставшиеся пять хранилищ (vaults) не пострадали.

Было отдельно подтверждено, что пул SOL безопасен, поскольку сети на базе EdDSA не подвержены данному классу атак. Расследование продолжается совместно со специализированными организациями.

В качестве немедленной меры предосторожности был выпущен патч v3.18.1 для защиты оставшихся vault-хранилищ на время расследования. Решение о возмещении утраченных средств будет принято сообществом через ADR-028 (Architecture Decision Record #028).

Архитектура и безопасность

Прежде чем рассматривать события 15 мая 2026 года, важно понять защитные механизмы, на которые опирается THORChain для обеспечения безопасности активов.

В этом разделе описаны три взаимосвязанных уровня защиты:

Threshold Signature Scheme GG20, используемая для коллективного контроля ключей vault-хранилищ;
автоматическая система Solvency Checker, отслеживающая балансы vault’ов в реальном времени;
система Halt & Emergency governance, через которую операторы нод могут вручную замораживать активность сети при обнаружении угрозы.

Почему это важно?

Каждый из этих уровней сыграл свою роль во время инцидента 15 мая. Понимание того, как они работают, а также где они сработали успешно или, наоборот, дали сбой, необходимо для понимания механики атаки.

Threshold Signature Scheme - GG20

Vaults (хранилища) THORChain не контролируются одним приватным ключом.

Вместо этого используется GG20 (Gennaro-Goldfeder 2020) - Threshold Signature Scheme (TSS), распределяющая контроль над ключом между несколькими независимыми операторами нод. Ни одна отдельная нода никогда не хранит и не имеет доступа к полному приватному ключу.

Как это работает?

В стандартной церемонии подписи GG20 кворум нод совместно создаёт криптографическую подпись, при этом ни одна из сторон не восстанавливает полный приватный ключ.

Процесс проходит через несколько раундов коммуникации:

Каждая участвующая нода хранит secret key share - фрагмент приватного ключа вольта.
Ноды обмениваются небольшими фрагментами зашифрованной информации на протяжении нескольких раундов протокола.
В конце церемонии переданные значения объединяются для создания валидной подписи.
Полный приватный ключ никогда и нигде не собирается целиком на протяжении процесса.

Почему GG20 использовался?

THORChain давно рассматривала DKLS (Doerner-Kondi-Lee-Shelat) как своё долгосрочное криптографическое решение - более современную и устойчивую TSS-схему.

Однако у сети были уникальные требования, которым стандартные реализации DKLS не соответствовали, например механизм identifiable aborts (возможность точно определить сторону).

Для решения этой задачи в ноябре 2025 года THORChain привлекла Silence Laboratories для разработки кастомной реализации DKLS с поддержкой identifiable aborts, адаптированной под требования сети.

Ориентировочным сроком поставки назывался Q1/Q2 2026 года.

Поэтому GG20 продолжал использоваться в production-среде как временное решение до завершения этой работы.

Автоматическая система проверки платёжеспособности (Automatic Solvency Checker)

Протокол THORChain непрерывно отслеживает платёжеспособность своих хранилищ с помощью автоматической системы обнаружения проблем, созданной для раннего выявления случаев неплатёжеспособности - либо, в идеале, ещё до их возникновения. Система работает в двух различных режимах.

Реактивный режим (Reactive mode)

В реактивном режиме каждая нода независимо и непрерывно сравнивает:

что сеть считает находящимся в vault-е;
и что фактически присутствует в onchain-кошельках для каждой подключённой сети.

Если ожидаемый баланс vault-а превышает фактический onchain-баланс более чем на 1%, нода сообщает о событии неплатёжеспособности (insolvency event) для соответствующей сети.

Если более 66% нод сообщают о неплатёжеспособности в одной и той же сети, торговля для этой сети автоматически останавливается (Halt{Chain}Trading).

Этот процесс полностью автоматизирован.

Одновременно остановка генерирует событие безопасности в канале мониторинга THORSec (THORChain Security).

Почему используется допуск в 1%? THORChain рассчитывает ожидаемые балансы, агрегируя входящие и исходящие транзакции. Для gas-активов (используемых для оплаты комиссий) естественным образом могут возникать небольшие расхождения до ±1% из-за округления и временных задержек. Любое отклонение выше этого порога рассматривается как аномалия.

Проактивный режим (Proactive mode)

В проактивном режиме сеть пытается не обнаружить неплатёжеспособность постфактум, а предотвратить её ещё до возникновения.

Когда нода собирается подписать исходящую транзакцию (txOut), она сначала моделирует влияние этой транзакции на балансы vault-а.

Если симуляция показывает, что выполнение транзакции сделает vault неплатёжеспособным, нода отказывается подписывать транзакцию.

После этого нода автоматически сообщает о попытке возникновения неплатёжеспособности, что запускает тот же механизм остановки и оповещения, что и в реактивном режиме.

Во время инцидента 15 мая система проверки платёжеспособности сработала так, как и была задумана: она обнаружила дисбаланс vault’а в течение нескольких минут и автоматически инициировала chain-level остановки.

Однако, поскольку атакующий уже восстановил полный приватный ключ и подписал транзакции, у проактивного режима не было возможности вмешаться в процесс подписи.

Реактивный режим обнаружил дисбаланс уже постфактум, но средства к этому моменту уже покинули воль.

Halt & Emergency Governance

THORChain включает многоуровневую систему остановки (halt system), позволяющую сети замораживать определённые операции с различной степенью детализации - от остановки подписи транзакций в одной сети до полной паузы всей активности сети.

Эти механизмы управляются через Mimir - onchain-систему параметров THORChain.

Остановки, инициируемые операторами нод

Помимо автоматических остановок, запускаемых системой проверки платёжеспособности, операторы нод могут вручную приостанавливать торговлю при обнаружении подозрительной активности.

Этот механизм специально спроектирован так, чтобы одновременно:

предотвращать злоупотребления со стороны одной ноды;
и избегать задержек координации в критической ситуации.

Как это работает?

Одна нода может остановить торговлю максимум на 720 блоков (примерно 1 час).
Каждая дополнительная нода, требующая остановки, добавляет ещё 720 блоков к активному таймеру паузы.
Любая нода, голосующая за возобновление торговли, уменьшает таймер на 720 блоков.
Каждая нода может воспользоваться этой функцией только один раз за churn-цикл (примерно 3 дня), что предотвращает повторные злоупотребления.

Принцип дизайна

Ни одна отдельная нода не может единолично контролировать сеть в течение длительного времени, однако несколько независимых нод, действующих совместно, способны поддерживать паузу достаточно долго для расследования и реагирования команды.

15 мая примерно 18–20 нод наслаивали паузы друг на друга, создав окно остановки продолжительностью в несколько часов.

Mimir Governance и порог в 3 голоса

Сетевые параметры THORChain управляются через Mimir - набор on-chain-параметров, определяющих поведение протокола. Существует два разных типа Mimir.

Economic Mimirs

Economic Mimirs требуют согласия супербольшинства в ⅔ (67%) активных нод.

Примеры таких параметров:

минимальный размер bond;
минимальная комиссия за своп;
интервал churn-процессов.

Operational Mimirs

Operational Mimirs требуют всего 3 голосов нод для активации.

4 ноды могут отменить параметр;
затем 5 нод могут снова активировать его;
и так далее.

Примеры:

остановка торговли (halt trading);
остановка подписи транзакций (halt signing);
глобальная остановка сети (halt chain global).

Почему используется минимум в 3 голоса?

Минимальный порог в 3 голоса для operational-параметров - осознанный компромисс между безопасностью и скоростью реакции.

Если бы для экстренной остановки сети требовалось супербольшинство, быстро реагировать во время активного эксплойта было бы практически невозможно.

С другой стороны, возможность одной ноды единолично останавливать всю сеть создала бы очевидную поверхность для злоупотреблений.

Поэтому требуется согласие трёх независимых нод:

достаточно быстрое для чрезвычайных ситуаций;
и достаточно устойчивое к попыткам единоличной манипуляции.

Подробная хронология

Этот раздел содержит реконструкцию эксплойта 15 мая 2026 года, начиная с событий за два дня до атаки. Все временные отметки указаны в UTC. Номера блоков относятся к mainnet-реестру THORChain.

Подготовка атаки

1 мая 2026 - предполагаемый атакующий присоединяется к Discord

Свежесозданный Discord-аккаунт Dinosauruss присоединяется к Developer Discord-серверу THORChain.

Dinosauruss начинает задавать множество вопросов о том, как добиться включения своей ноды в churn-процесс сети.

Обычный 3-дневный churn-интервал был задержан по несвязанным причинам, из-за чего Dinosauruss пришлось ждать несколько недель для попадания в активный набор валидаторов.

При этом Dinosauruss, судя по всему, проявлял сильную заинтересованность в том, чтобы его нода была включена как можно скорее.

13 мая 2026 - вредоносная нода входит в сеть

Совершенно новый оператор ноды (n84q) с новым node-адресом (n84q), имеющий около 635,000 RUNE, распределённых между двумя bond-адресами, включается в активный набор валидаторов.

Нода случайным образом назначается в один из пяти вольтов - так же, как и все остальные ноды.

В течение следующих двух дней эта нода участвует в обычных GG20 signing ceremonies, подготавливаясь к проведению эксплойта.

15 мая 2026 - опустошение вольта (ок. $10.7M несанкционированных исходящих транзакций)

После восстановления полного приватного ключа вольта атакующий подписывает и отправляет исходящие транзакции напрямую, полностью обходя GG20 signing ceremony.

Из целевого вольта выводится около $10 млн (первоначально оценка составляла $7.4 млн).

Оставшиеся пять vault-хранилищ не пострадали.

Автоматическая реакция - Solvency Checker

Через несколько минут после опустошения vault-а система проверки платёжеспособности (reactive mode) обнаруживает расхождение более чем на 1% между ожидаемыми и фактическими балансами vault-а в нескольких сетях.

Автоматически запускаются изменения протокола - без какого-либо участия человека.

Нижеописанные действия были автоматически выполнены протоколом для защиты сети и остановки дальнейшей исходящей активности:

Данные переведены автоматически. Оригинал: https://cdn.sanity.io/images/355nlzcp/production/f522bec0017a4c02aa2776bb8d8489ca63e9da41-771x956.png?w=1920&q=80&fit=scale&auto=format

В течение примерно 52 минут после несанкционированных транзакций система проверки платёжеспособности автоматически остановила подпись транзакций и торговлю в сетях ETH, AVAX, BSC, BASE, DOGE и GAIA - без какого-либо вмешательства человека.

Реакция сообщества и ручное вмешательство

15 мая 2026 года, с 09:08 до 09:41 - сообщество поднимает тревогу

Поскольку активность сети не возобновляется, операторы нод и сообщество начинают расследовать проблему.

Один из участников сообщества замечает необычную активность - множественные исходящие транзакции (send transactions) от THORChain Router на Ethereum-адрес без memo - и призывает к немедленной глобальной экстренно (emergency)остановке сети.

Это становится первым инициированным человеком сигналом тревоги в рамках данного инцидента.

Данные переведены автоматически. Оригинал: https://cdn.sanity.io/images/355nlzcp/production/18bcf3445c65e8b37bb605221f00f904cc65b6c8-757x942.png?w=1920&q=80&fit=scale&auto=format

Нода xuuu первой предпринимает действие, инициируя ручную паузу на 720 блоков. Другие ноды начинают быстро наслаивать дополнительные паузы по 720 блоков одна за другой.

Данные переведены автоматически. Оригинал: https://cdn.sanity.io/images/355nlzcp/production/be2bfbd00c33aa85e01d66c7baf275f66d4e69e6-757x902.png?w=1920&q=80&fit=scale&auto=format

Параллельно операторы нод начинают отправлять формальные governance-голоса через Mimir. Порог в 3 голоса активирует официальные изменения параметров сети на глобальном уровне.

Торговля, подпись транзакций, наблюдение за сетями и churn-процессы последовательно останавливаются через скоординированное взаимодействие в Discord и on-chain-governance - всё это произошло примерно в течение одного часа после сигнала тревоги от сообщества.

`HALTTRADING` был активирован в блоке `26183438`

Данные переведены автоматически. Оригинал: https://cdn.sanity.io/images/355nlzcp/production/d96679fc9c0564b0ef84e93d1c001a851f6dc698-756x332.png?w=1920&q=80&fit=scale&auto=format

`HALTTRADING` activated at block `26183439`

Данные переведены автоматически. Оригинал: https://cdn.sanity.io/images/355nlzcp/production/cb05b18cf6d67cf2be1d591255c6796224ab138b-752x776.png?w=1920&q=80&fit=scale&auto=format

`HALTTRADING` активирован в block `26183590`

Данные переведены автоматически. Оригинал: https://cdn.sanity.io/images/355nlzcp/production/504b4c5b341468a70e4a51daea419dd763ab223a-758x406.png?w=1920&q=80&fit=scale&auto=format

`HALTCHURNING` activated at block `26183849`

Churning приостановлен, чтобы не позволить вредоносной ноде покинуть сеть и предотвратить вход в неё дополнительных вредоносных нод.

Данные переведены автоматически. Оригинал: https://cdn.sanity.io/images/355nlzcp/production/0b7dc633a6460478104c3d23e44cf505598d4e3e-762x407.png?w=1920&q=80&fit=scale&auto=format

Официальные сообщения

Ниже приведены объявления, опубликованные командой разработчиков в часы и дни после инцидента.

15 мая 2026, 11:01 - первое официальное публичное заявление

Команда разработчиков подтверждает факт несанкционированных исходящих транзакций из одного хранилища. Размер ущерба оценивается примерно в $7.4 млн.

Первопричина на тот момент ещё не определена. Рассматриваются три возможных вектора атаки:

уязвимость в GG20;
компрометация инфраструктуры;
иные векторы атаки.

Операторов нод просят провести аудит своей инфраструктуры и отправить логи Bifrost через make relay.

15 мая 2026, 19:10 - второе обновление: атакующий идентифицирован, основная теория подтверждена

После полного дня расследования команда публикует развёрнутое обновление. Основные выводы:

вредоносная нода
thor16ucjv3v695mq283me7esh0wdhajjalengcn84q
через on-chain-форензику связана с Ethereum-адресами, получившими украденные средства;
основной рабочей теорией подтверждается эксплойт в реализации GG20 TSS, позволяющий постепенно извлекать key material;
объём потерь пересмотрен до примерно $10.7 млн;
ведётся координация с Outrider Analytics и правоохранительными органами.

Среди обсуждаемых вариантов восстановления:

slashing bond-ов;
использование POL (Protocol Owned Liquidity);
и другие предложения сообщества.

16 мая 2026, 10:26 - предупреждение о мошенничестве

Маркетинговая команда публикует предупреждение для сообщества о фейковых ссылках и мошенниках, выдающих себя за представителей проекта в социальных сетях.

Через крупные медиа распространяются многочисленные мошеннические схемы с airdrop и refund.

Сообществу настоятельно рекомендуется соблюдать максимальную осторожность и использовать только официальные каналы.

18 мая 2026, 15:49 - патч и дорожная карта восстановления

Команды разработчиков и THORSec подтверждают, что уже хорошо понимают механику атаки, однако намеренно не раскрывают технические детали до того, как смогут предупредить другие проекты, использующие ту же криптографию GG20, чтобы те успели защитить свои системы.

Патч v3.18.1 находится на финальной стадии подготовки, и всех операторов нод просят немедленно обновиться после релиза.

Восстановление утраченных средств будет определяться через governance-процесс сообщества посредством ADR-028. Выбранный вариант планируется реализовать в v3.19.

Команда разработчиков склоняется к тому, чтобы в краткосрочной перспективе продолжить использование GG20 для максимально быстрого восстановления стабильности сети, а долгосрочные криптографические решения отложить до полного восстановления сети.

18 мая 2026, 20:49 - подготовка патча и запрос на масштабирование Bifrost вниз

Всех активных валидаторов просят временно уменьшить масштаб своих Bifrost pods в качестве меры предосторожности до завершения подготовки патча.

Команды:

make pull
затем make scale-down (с выбором bifrost)

Это уменьшает поверхность атаки сети во время remediation-периода перед выпуском v3.18.1.

Выводы и дальнейшие шаги

Эксплойт 15 мая выявил уязвимость в реализации GG20 у THORChain.

Автоматические и ручные механизмы реагирования сети сработали согласно дизайну и ограничили ущерб одним хранилищем.

Сейчас предпринимаются следующие шаги:

выпуск v3.18.1 является приоритетом номер один, и все операторы нод должны обновиться в ближайшие дни;
расследование продолжается; полный технический отчёт будет опубликован после сбора всех релевантных деталей;
governance сообщества определит путь восстановления через ADR-028;
после достижения предполагаемого консенсуса ноды проголосуют, а выбранный подход будет реализован в v3.19.

После завершения расследования и финализации плана восстановления будет опубликован дополнительный отчёт.

[Продолжение следует...]

До!

Вводный курс DeFi для всех. Деривативы. Часть II

2026-05-08T08:46:57.799Z

DeFi-курс

Продолжение

Это вторая часть по деривативам. Первую см.: https://teletype.in/@menaskop/defi-2026-17.

Дельта-нейтральные стратегии

Итак, попробуем теперь рассмотреть ряд дельта-нейтральных стратегии и после этого затронем немного сложные структурированные продукты.

Напомню: дельта-нейтральные стратегии в DeFi - стратегии, при которых общая чувствительность портфеля к движению цены актива равна нулю. То есть, даже если цена ETH, BTC или другого актива резко изменится - позиция в целом не приносит ни убытка, ни прибыли от этого движения. Заработок откуда? Он получается от других параметров: фандинга, комиссий, общей доходности, волатильности, etc..

Примеры

Список:

Пример 1: USDT → USDe (выпуск)

Пользователь предоставляет 100 USDT и получает взамен 100 USDe:

Эти 100 USDT отправляются в решение Off-Exchange Settlement (OES): docs.ethena.fi/backing-custody-and-security/overview/off-exchange-settlement-in-detail
OES-провайдер использует эти средства в качестве обеспечения для открытия короткой бессрочной позиции на $100 (short perps) на выбранной бирже
Таким образом, создаётся дельта-нейтральная позиция:

+$100 наличных (USDT)
-$100 короткой позиции
→ Итоговая дельта ≈ 0

Пример 2: USDe → USDT (выкуп)

Пользователь возвращает 100 USDe:

Система закрывает соответствующую короткую позицию (short perp) на $100 (в примере).
Высвобождаются $100 USD из OES.
Пользователь получает обратно свои $100 в USD за вычетом сборов и проскальзывания.

Итог по Ethena

USDe сохраняет свою стабильность за счёт дельта-нейтральных хеджей. Это означает:

Когда пользователь предоставляет стейблкоин (например, USDT), протокол не просто держит его как резерв.
Вместо этого он открывает короткую бессрочную позицию на сумму, равную вкладу пользователя.
Эта позиция движется в противоположную сторону от базового актива: если актив дорожает - позиция убыточна, но актив в резерве дорожает; если актив дешевеет - наоборот.

Таким образом:

Рост цены актива → Потери по короткой позиции, но рост стоимости резерва → Баланс.
Падение цены → Прибыль по короткой позиции, убыток по резерву → Баланс.
Результат: цена USDe остаётся стабильной, даже при волатильности на рынке.

Важно: в отличие от стейблкоинов с избыточным обеспечением (как DAI), здесь используется точечное (1:1) хеджирование, поэтому система более капитало-эффективна, но требует более точного исполнения и управления рисками.

Подробней: incrypted.com/kak-rabotaet-usde-ot-ethena.

Вот несколько кейсов дельта-нейтральных стратегий в DeFi, работавших в разное время. Кратко:

Ethena (USDe) - delta-neutral minting через short perps: Пользователь получает стейблкоин, протокол хеджирует через шорт на фьючерсах (ETH-PERP).
Lyra v2 (Optimism / Arbitrum) - маркет-мейкинг в опционной AMM: LP хеджирует дельту опционов через perps на GMX / Synthetix.
Rage Trade –- delta-neutral vaults c GLP-хеджем: Доход от GLP (в GMX), дельта хедж через perp-short или hedging vault (ETH или BTC).
Polynomial Finance - автоматизированный опционный маркет-мейкинг: Дельта нейтрализуется через perp-платформы в фоновом режиме.
Uniswap v3 - concentrated liquidity c off-chain дельта хеджем: LP размещает лимитный диапазон, дельта хеджируется через perp/spot (с ботом).
Ribbon Finance / Thetanuts - проданные covered calls + хеджирующие позиции: Опционы продаются, а underlying хеджируется частично (или полностью) в perp/spot.
Sommelier + AAVE + Synthetix: AAVE long ETH, Synthetix short ETH - автоматизированная ребалансировка дельты.
UXD Protocol: Стейблкоин с perp-шорт хеджем underlying (напоминает Ethena по логике, но иной по механике).
Silo Finance + Pendle: Fixed yield на Pendle, с дельта хеджем базового актива на Silo perps/spot.
Gearbox leveraged farming: Delta-neutral yield farming: займ под стейбл, long + short LP (e.g., Curve stETH/ETH) через кредитный плечевой пул.

Или вот стратегия weETHC при разных ценах ETH к моменту экспирации. Что видим по ней?

Стабильный доход при боковом рынке (между $1800 и $2200),
Ограниченный убыток при росте выше $2200,
Потеря стоимости при падении ETH, как и при обычном HODL.

Данные 01

Пример №03. Delta-Neutral ETH Basket

Цель здесь та же: получать доход от базовых активов и комиссий, минимизируя рыночный риск (дельта ≈ 0).

Актив

Вес

Описание

weETH (Ethena)

+50%

даёт стейкинг доход, хеджирован pers

stETH

+50%

даёт доход от стейкинга

ETH perp

-100%

короткая позиция через GMX/dYdX/Hyperliquid/etc.

Как это работает?

Покупаешь weETH и stETH на 1000$
Открываешь шорт-позицию по ETH/USDC perp на ту же сумму
Получаешь доход от стейкинга (3–5%)
За счёт хеджа - почти не подвержен колебаниям цены ETH
Риски: funding rate, ликвидации, oracle-расхождение

Реализация:

Ручной контроль (через DeFi frontend + perp DEX)
Автоматически через Derive, Morpho Blue, Prisma Vaults, etc. (увеличить доходность).

Поэтому когда вы читаете мнения навроде такого: “Шорт на $350M от Abraxas Capital. За последнюю неделю хедж-фонд Abraxas Capital приобрёл 242 652 $ETH на сумму $561 млн, что спровоцировало рост цены эфира до $2,7k, я ещё эту новость освещал на стриме и многие думали, что это какой-то инсайдерский фонд. Сейчас уже вскрылось, что это не ставка на рост, а часть стратегии, направленной на извлечение прибыли с перегретого рынка. Известно о двух кошельках фонда Hyper:

Можно посмотреть позиции в разделе "Perps". 9 мая фонд внёс $104,9M на Hyperliquid и открыл шорты на $350M в BTC, ETH и SOL с плечами x5 и x3…

… По одной из версий, почему рынок находится в упадке: то что пришли крупные фонды, которым не интересно зарабатывать на росте активов и верить в технологии будущего, они пришли зарабатывать кеш на не эффективностях, которые даёт рынок. Уже нет таких больших венчурных раундов, как это было раннее, зато такие кейсы показывают, куда реально готовы вкладывать крупные фонды и высасывать средства. Та же ENA, которая зарабатывает на фандингах с шорта эфира, тому пример”, -

То вы должны понимать, что оно в итоге хоть и совпадает стратегически с тем, что деривативы увеличивают кратко- и средне-срочные спекуляции, но по содержанию не верно, т.к. дельта-нейтральные позиции на любую сумму дают не только шорт, но и лонг. К сожалению, даже А. Кронье допускает эту логическую ошибку при анализе.

В чём суть и прелесть дельта-нейтральных стратегий?

Если обобщить всё, что написано выше, то получим, что дельта-нейтральная стратегия - подход к инвестированию и торговле, при котором портфель формируется так, чтобы суммарная чувствительность к колебаниям цены базового актива была близка к нулю.

Иными словами, прибыльность стратегии не зависит от того, растёт рынок или падает.

И как только неофиты читают ТАКОЕ ОПРЕДЕЛЕНИЕ, они сразу думают, что это и есть КНОПКА “БАБЛО”, но это не так, потому что:

Это сложно.
Требует опыта.
Зависит от многих протоколов.
Несёт существенные риски.

И всё же эффект нейтральности достигается. Но за счёт чего?

За счёт одновременного открытия встречных позиций - например, сочетания длинной и короткой позиции на один и тот же актив или на высоко коррелированные активы.

Положительные и отрицательные позиций взаимно компенсируются, устраняя ценовой риск изменения базового актива.

В результате небольшие колебания рынка почти не влияют на стоимость портфеля, а доход формируется из других источников - таких как арбитраж цен, процентные ставки, премии за волатильность или вспомогательные вознаграждения.

Примечание: но всё зависит от того, как и где вы именно это делаете.

Дельта-нейтральные стратегии являются частным случаем более широкого класса рыночно-нейтральных стратегий, которые преследуют ту же цель - устранить влияние общего направления рынка на результат.

Помимо дельта-нейтральности (обычно относящейся к хеджированию деривативов), существуют и другие нейтральные подходы: например, бета-нейтральные стратегии (выравнивание беты портфеля для нейтрализации рыночного тренда) и статистический арбитраж, где прибыль извлекается из относительных дисбалансов без ставки на общий рост/падение рынка.

Важно понимать, что рыночно-нейтральные стратегии позволяют зарабатывать и на росте, и на падении рынка, извлекая доход из разницы в поведении активов, процентных различий или волатильности, вместо прямого спекулирования на цене.

Такие стратегии широко применяются для хеджирования рисков (защиты портфеля от просадок) и для получения стабильного дохода в периоды высокой неопределённости.

В контексте структурных продуктов дельта-нейтральные подходы часто ложатся в основу сложных финансовых инструментов, где комбинация деривативов и базовых активов используется для формирования заданного профиля выплат.

Примеры были приведены выше, но здесь давайте обобщим: скажем, это могут быть опционные стратегии с ограничением убытков/прибыли, продукты с защитой капитала, индексные токены, обеспеченные хеджированными позициями, и т.д.

Такие структурные (структурированные) продукты позволяют инвесторам получать определённый тип дохода (например, фиксированную выплату или долю от волатильности рынка) при минимизации влияния направления (самого) рынка.

Рыночно-нейтральные стратегии берут своё начало, как описано выше, в традиционных финансах (TradFi) задолго до появления криптовалют.

Ещё в 1980-х годах хедж-фонды начали практиковать парный трейдинг и статистический арбитраж – в частности, группа Nunzio Tartaglia в Morgan Stanley прославилась использованием корреляций акций для извлечения прибыли без зависимости от рыночного тренда.

Основной принцип таких стратегий заключался в поиске пары активов с высокой корреляцией и открытии противоположных позиций: перепроданный актив покупается, а перегретый – шортится, формируя сбалансированный бета-нейтральный портфель, доходность которого зависит только от относительного движения цен этих активов, а не от общего движения рынка. Применимо ли это на крипторынке? Да.

Со временем нейтральные стратегии распространились: маркет-мейкеры на опционном рынке регулярно дельта-хеджируют свои ордер-буки, удерживая суммарную дельту около нуля и зарабатывая на спредах и комиссии за ликвидность.

По оценкам, совокупный объём капитала, занятого в TradFi дельта-нейтральных стратегиях, достигал порядка $147 млрд в первом квартале 2022 (данных по нему сводных мало, поэтому примеры даже за 2-3 года - уже хорошо), что подчёркивает, как мне кажется, их значимость в портфельном менеджменте хедж-фондов и банков.

Появление криптовалютных рынков привнесло новые возможности для нейтральных стратегий, сперва на CEXs, а затем и в DEXs.

Ещё на заре крипто-трейдинга арбитражеры извлекали прибыль из расхождений цен между биржами – например, “кимчи-премия” в 2017 году (когда биткоин торговался значительно дороже в Корее, что давало возможность для межбиржевого арбитража). Сейчас же каждый 2-й инфлюенсер учит арбитражу, не понимая механику процесса. Абсолютно.

С развитием деривативов, особенно бессрочных фьючерсов на платформах вроде BitMEX, стали популярны стратегии арбитража финансирования: трейдеры открывали длинную позицию на споте и короткую на фьючерсе (или наоборот) и получали выплаты по ставке фандинга, оставаясь при этом без направленного риска.

Одновременно рос интерес к маржинальному кредитованию криптоактивов – здесь нейтральные стратегии проявились в виде carry trade, когда инвесторы занимали одну монету под низкий процент, чтобы инвестировать в другую под высокий процент, фиксируя разницу.

DeFi-бум 2020-2021 гг. (DeFi Summer) открыл новую страницу в эволюции нейтральных стратегий.

Появление децентрализованных бирж (DEX), лендинговых протоколов и доходного фермерства (yield farming) позволило совмещать несколько протоколов для получения сложного дохода. Но в 2017-2020 гг. это было уделом профи, а вот уже с 2020-го старт был дан для масс.

Пример приведу: пользователи Compound в начале 2020-х зарабатывали токен COMP за активность, и сообразительные фермеры применяли дельта-нейтральный подход: они брали взаймы и одновременно поставляли средства, получая максимальный фарминг-наград, а полученные токены COMP сразу продавали, тем самым хеджируя (ценовой) риск.

Похожий принцип применялся для ликвидити-майнинга на DEX: обеспечивая пул ликвидности волатильной парой, можно было застраховаться от ценового риска, взяв короткую позицию на один из активов. Тогда же зародились первые on-chain опционные протоколы (Opyn) и управляющие “хранилища” (Vaults), как Yearn Finance, которые автоматизировали стратегии доходности. (Насколько сложен такой хедж - рассмотрено выше).

Эти ранние эксперименты проложили путь к современным сложным структурам. Современный крипторынок (2022–2025) продолжил развитие нейтральных подходов, уже в более сложных формах.

В период спада рынка 2022 года (crypto winter) многие инвесторы искали стабильную доходность, и интерес сместился к стратегиям, не зависящим от роста цен.

Так, получили распространение дельта-нейтральные стейблкоины – алгоритмические стейблкоины, полностью обеспеченные хеджированными позициями.

Пример ещё один - UXD Protocol (запущен в 2021), где пользователь мог внести 1 ETH, получить в обмен 1000 UXD, а протокол открывал короткий бессрочный контракт на 1 ETH для хеджирования залога.

Такая конструкция поддерживает привязку к $1 за счёт того, что лонг по споту и шорт по фьючерсу взаимно компенсируют друг друга в долларовых выражениях.

Идея получила поддержку известных фигур (Артур Хейс предлагал схожую концепцию “NakaDollar”) и эволюционировала в новые проекты – например, Ethena, Pika Protocol и др., разрабатывающие “истинно дельта-нейтральные” стейблкоины.

Эти протоколы используют деривативы для хеджирования волатильности залога, стремясь выплачивать держателям стабильную доходность. Так, Ethena планирует выпуск USDe - стейблкоина, который чеканится 1:1 (под) обеспечение в ETH/LST (стейкинговых токенах) с короткими фьючерсами для хеджа.

Как пишут СМИ в таких случаях :): “Подобные проекты уже привлекли интерес инвесторов и бирж, а их появление демонстрирует слияние идей TradFi и DeFi”.

Параллельно развивается тренд RWA (Real World Assets) - токенизация реальных активов и их интеграция в DeFi. Здесь нейтральные стратегии проявляются через доходность от реальных активов, не коррелирующих (напрямую) с крипторынком.

Например, MakerDAO стал инвестировать часть резервов DAI в казначейские облигации, генерируя процент для поддержки DAI Savings Rate - по сути, приносит в DeFi внешнюю безрисковую доходность, независимую от колебаний криптовалют. (См. сейчас SKY).

Такие доходы можно рассматривать как рыночно-нейтральные относительно криптоактивов. В совокупности, эволюция от традиционных хедж-фондов к современным DAO иллюстрирует, как концепция рыночной нейтральности адаптирована и расширена в крипто-экосистеме.

Поэтому попробуем теперь это всё классифицировать.

Классификация стратегий

Рыночно-нейтральные стратегии в экосистемах могут принимать разные формы.

Парный трейдинг (Pairs Trading)

Парный трейдинг - классическая рыночно-нейтральная стратегия, основанная на статистической корреляции двух активов. Идея состоит в том, чтобы найти пару высоко коррелированных инструментов, у которых возникло ценовое расхождение, и занять взаимно противоположные позиции: один актив купить (лонг), другой продать (шорт) на эквивалентную сумму.

Отсюда все эти новости про корреляции BTC и: золота, NASDAQ, нефти и др. в разное время.

Со временем ожидается возврат цен к историческому соотношению, и прибыль формируется за счёт схождения спреда. При этом общий эффект рынка нейтрализован – портфель настроен так, чтобы быть бета-нейтральным (рыночный риск устранён). Примечание: точнее - так думают трейдеры, т.к. корреляции на Web-рынках - вещь весьма условная.

Приведу пример. В TradFi парный трейдинг применялся на акциях (например, две нефтяные компании: если одна ощутимо перепродана относительно другой, инвестор покупает её и шортит вторую, ожидая обратной коррекции цен).

В криптовалютах парный трейдинг также возможен: например, пара BTC/ETH – исторически их цены коррелировали. Трейдер может занять длинную позицию в BTC и короткую в ETH (или наоборот) равными долями, если считает, что одно из отклонений в паре временно и развернётся.

Таким образом, доход зависит только от относительного движения BTC против ETH, а не от общего тренда рынка. В случае правильного выбора пар и момента такая стратегия извлекает прибыль из восстановления исторических пропорций цен.

Сейчас помимо BTC/ETH популярна, скажем, SOL/ETH. (И др.).

Важно отметить, что парный трейдинг требует статистического анализа и контроля рисков: необходимо убедиться, что корреляция историческая не распалась по фундаментальным причинам. Можно ли это реализовать с нужной точностью в криптомире? Не уверен.

В DeFi прямых инструментов для парного трейдинга меньше, чем в TradFi, но появляются платформы, где можно взять синтетические позиции на несколько активов. Либо можно использовать производные: например, через опционы или фьючерсы на оба актива выстраивать нейтральную конструкцию. (См. об этом выше).

Мне же как DAO-аналитику парный трейдинг интересен как способ управления трежери (казной) – можно ведь удерживать экспозицию к отрасли (например, DeFi-токены против ETH) без риска просадки всей корзины, хеджируя рыночный фактор.

Арбитражные стратегии (фандинг, межбиржевой, спот-фьючерс)

Арбитраж превратили в скам. Но не о скаме пойдёт речь, а о сути.

Поиск безрисковой или низко рискованной прибыли за счёт ценовых неэффективностей и есть ведь арбитраж.

В контексте дельта-нейтральных подходов особенно популярны следующие виды арбитража:

Арбитраж ставок фандинга (Funding Rate arbitrage). Бессрочные фьючерсы (perpetual swaps) имеют механизм периодических выплат между лонгами и шортами (funding rate), стремящийся уравнять цену фьючерса со спотовой.

Если ставка фандинга положительная и высокая на какой-то бирже (лонги платят шортам), нейтральная стратегия такова: купить актив на спотовом рынке и одновременно продать (шорт) эквивалентный фьючерс на той площадке с высоким фандингом.

В этом случае рост/падение цены актива не влияет на общий результат (лонг и шорт компенсируют друг друга), а трейдер получает выплату по ставке фандинга за удержание позиции.

Обратно, если фандинг отрицательный (шорты платят лонгам), выгодно занять противоположную нейтральную позицию (продать спот и открыть лонг на фьючерсе) и собирать выплаты.

Такой арбитраж широко использовался на деривативных биржах: например, во время бычьего рынка 2021 г. ставки финансирования на многие альткоины были высокими, и фонды занимались cash-and-carry арбитражем, зарабатывая двузначные годовые процентные доходы без направленного риска.

Сейчас в DeFi есть инструменты для автоматизации этого процесса – калькуляторы и боты, отслеживающие фандинг, а также протоколы, упрощающие выполнение спот–шорт конструкции. Но советую всегда начинать с ручного поиска и только потом переходить к автоматизации.

Межбиржевой арбитраж. Это простейший вид: когда один и тот же актив торгуется по разным ценам на разных площадках.

Арбитражник (или, как правильней говорить, арбитражёр) покупает там, где дешевле, и одновременно продаёт там, где дороже, фиксируя практически безрисковую прибыль, пока цены не сравняются.

В крипто с глобальным 24/7 рынком ценовые дисбалансы сглаживаются быстро, но всё же случаются – особенно между DEX и CEX или на малоэффективных рынках.

Необходимость быстроты исполнения и учёт комиссий критичны. В DeFi межбиржевой (межпротокольный - в широком смысле) арбитраж часто выполняют арбитражные боты, зарабатывающие на разнице цен AMM-пулов или DEX vs CEX.

Такие стратегии технически сложны (требуют быстрого доступа к мемпулу, траты на газ), но концептуально нейтральны: позиция по активу сразу закрывается противоположной позицией на другом рынке, устраняя ценовой риск.

DAO могут косвенно участвовать, например, предоставляя капитал арбитражным фондам или маркет-мейкерам, поэтому это целый вектор для бизнеса.

Спотово-фьючерсный арбитраж (cash-and-carry). Близкий к арбитражу фандинга, но классически это про базис между ценой фьючерса с экспирацией и спотом.

Если фьючерс на определённую дату торгуется с премией к споту (обычно на бычьем рынке фьючерс > спот), стратегия: купить актив на споте и одновременно продать соответствующий фьючерс.

К моменту экспирации цены сойдутся, и арбитражёр получит прибыль, равную разнице цен (премии) на момент открытия, фактически как процентный доход.

Эта стратегия фиксирует доходность, аналогичную процентной ставке, и не зависит от направления движения цены базового актива.

Скажем, в криптосфере в 2017 и 2021 годах базис на фьючерсы BTC достигал двузначных процентов годовых, что привлекало множество игроков в стратегию “лонг спот + шорт фьючерс”.

На медвежьем рынке, наоборот, фьючерсы могут быть со скидкой (backwardation) – тогда работает обратная позиция (шорт спот + лонг фьючерс).

В DeFi доступны бессрочные фьючерсы, но также появляются квази-фьючерсные протоколы и продукты, которые можно использовать схожим образом. Например, платформа Derive запускала “Basis Trade Vaults” - автоматизированные хранилища, выполняющие классический спотово-фьючерсный трейд на BTC/ETH и выпускающие токены, представляющие эту стратегию.

Пользователь кладёт в такой vault актив (например, ETH), смарт-контракт берёт взаймы стейблкоины против залога, покупает ещё ETH и открывает шорт perp на весь объём – получается дельта-нейтральная конструкция, приносящая доход из финансирования и стекинга, но без продажи базового актива.

Это делает арбитраж доступным даже для непрофессионалов, токенизируя его в виде простого инструмента. Но порождает рынки посредника.

Стейблкоины и кривые доходности

В категорию рыночно-нейтральных стратегий часто включают “стейблкоиновые” (простите за это слово) стратегии и подходы, связанные с кривой доходностей (interest rate curve).

Под этим подразумеваются способы получения дохода на рынке без экспозиции к волатильности цен, главным образом за счёт процентных ставок и фиксированных доходностей.

Доходность на стейблкоинах. Если портфель состоит только из стабильных валют, номинированных, скажем, в USD (USDT, USDC, DAI и т.п.), то отсутствует риск изменения их курса (за исключением риска депега).

Потому размещение стейблкоинов под проценты считается рыночно-нейтральной стратегией относительно криптовалют.

Сюда относится лендинг стейблкоинов - предоставление ликвидности в протоколы типа Aave, Compound для получения процентной ставки от заёмщиков.

Доходность формируется из спроса на кредиты и не зависит от направления рынка: даже если рынок падает, заёмщики продолжают платить проценты.

Однако ставки могут меняться в зависимости от рыночных условий (в бычий период спрос на кредит высок, ставки растут до двухзначных, в спокойные периоды падают до 2-4%).

Можно комбинировать несколько платформ (например, занять под 3% на одном протоколе и инвестировать под 5% на другом), осуществляя процентный арбитраж.

Кроме того, существуют фиксированные ставки: протоколы вроде Pendle, Notional Finance, YFI позволили получить фиксированный процент на стейблкоин на определённый срок, по сути формируя кривую процентных ставок в DeFi.

Например, если 1-летняя фиксированная ставка на DAI выше, чем плавающая, арбитражёр может занять плавающую и инвестировать в фиксированную, зафиксировав спред как прибыль.

Такие стратегии более сложны, но также нейтральны к ценам, оперируя только ставками.

AMM и пулы стабильных монет. Ещё одна нейтральная по рынку возможность - предоставлять ликвидность в пулы, состоящие из стабильных или схожих по стоимости активов.

Классический пример – Curve 3pool (DAI/USDC/USDT): провайдер ликвидности вкладывает набор стейблкоинов и за это получает комиссионный доход от трейдеров, обменивающих эти монеты.

Поскольку все активы в пуле привязаны к одному номиналу ($1), IL минимальны, а позиция не подвергается волатильности рынка крипто.

Доход формируется из комиссии AMM и доп. вознаграждений CRV, что фактически является Yield Farming без ценового риска.

Curve долго время здесь был эталоном: доходность на стейблах была как базовая “безрисковая” ставка DeFi. Однако риски здесь есть и были: как технические (контрактные), так и риси отвязки стейблкоина.

Стратегии с LST (Liquid Staking Tokens). Это скорее про кривую доходностей в контексте ставок. LST (например, stETH, rETH – токены, представляющие застейканный эфир) дают постоянный staking-доход (~4-5% годовых в ETH), но сами по себе двигаются в цене примерно как ETH.

Чтобы сделать такую позицию нейтральной, применяется хеджирование: взять ликвидный стейкинг и “закоротить” (встать в шорт-позицию на) базовый актив.

Например, стратегия hedged staking: положить DAI в протокол, взять в долг ETH, обменять его на DAI (шорт ETH), а свой ETH (или купить stETH) застейкать.

Тогда падение цены ETH приведёт к прибыли на шорте и компенсирует просадку стоимости stETH, а рост цены - наоборот, убыток на шорте компенсируется ростом stETH.

При этом вы получаете staking-доход от stETH, и небольшую доходность от лендинга, оставаясь в сумме практически в USD. Такая конструкция нейтральна к ценам ETH, а её доходность ~ staking APR минус проценты по займу.

В итоге получаем “безрисковый” доход в размере нескольких процентов годовых, фактически конвертируя доходность PoS-выплат в фиксированный процент. Эти стратегии стали популярны после запуска Ethereum 2.0: некоторые платформы и фонды предлагали клиентам delta-neutral staking как сервис.

Токенизированные облигации и RWA. Под “кривой доходности” можно понимать и классическую процентную кривую, которую начинают переносить on-chain.

Проекты RWA выпускают токены, обеспеченные казначейскими облигациями, коммерческими бумагами, кредитами.

Например, Ondo Finance предлагал OUSG - токен, дающий ок. 4-5% годовых, обеспеченный казначейскими бондами.

Данные 02

Такой токен не привязан к крипторынку и несёт только процентный (и кредитный) риск реальных активов. Размещение капитала в подобных инструментах – стратегия, независимая от рынка крипто (по крайней мере, от его волатильности), но приносящая умеренный фиксированный доход.

В сочетании с деривативами можно строить гибридные стратегии: например, брать под залог RWA-токен дешёвый займ и инвестировать его в DeFi-пулы с более высоким процентом – своего рода межрыночный процентный арбитраж.

Это направление только развивается, но перспективно, т.к. сочетает стабильность TradFi-доходов с доступностью DeFi.

Опционы и структурные продукты (Ribbon и др.)

Опционные стратегии - одни из наиболее известных дельта-нейтральных подходов, пришедших из традиционного рынка деривативов. Используя комбинации опционов и базового актива, можно конструировать структуры с заданным профилем риска/дохода, многие из которых в начальный момент дельта-нейтральны.

Например, стреддл или стренгл (покупка одновременно call и put-опциона с одним и тем же страйком и одной датой экспирации.) - классическая нейтральная позиция, чувствительная не к направлению, а к волатильности рынка.

Если волатильность реализуется выше ожидаемой - стратегия приносит прибыль, при спокойном рынке - убыток.

Поэтому всегда важно понимать:

Что?
Где?
Когда?

Вы хеджируете: цену, волатильность, доходность, etc.

Также популярны ковер-коллы (продажа колла против держания актива) или покрытые путы - они не полностью нейтральны по дельте, но считаются условно нейтральными структурными продуктами, где инвестор получает премию (доход) за продажу опционов, жертвуя частью потенциальной прибыли или принимая на себя ограниченный риск.

В криптовалютах развитие DeFi-опционов началось с протокола Opyn (2020), предоставившего инфраструктуру для создания и торговли опционными контрактами на Ethereum. Так считают многие, хотя тут есть тоже о чём подискутировать, особенно - вне экосистемы Эфира. И всё же - оставим место под практику.

На основе Опина в 2021 появились автоматизированные опционные стратегии.

Проект Ribbon Finance стал одним из первых, кто предложил пользователям упакованные в смарт-контракт стратегии типа “covered call”: вкладчики депонируют, скажем, ETH, а алгоритм каждую неделю продаёт out-of-the-money колл-опционы на этот ETH и собирает премию. Е

сли цена ETH остаётся ниже страйка, опцион экспирируется worthless, и премия остается доходом для депозиторов; если же цена сильно вырастет и опцион исполнится, стратегия отдаст соответствующий ETH по страйку (упущенная прибыль – плата за хедж).

В среднем в спокойном рынке такие Theta-vaults генерировали двузначные APR, превращая волатильность в доход. Ribbon и подобные DeFi Options Vaults (DOVs) сделали сложные стратегии доступными “в один клик”.

Другие проекты, например Friktion, запустили линейку различных структурных продуктов: от продаж волатильности (коллы/путы) до диапазонных стратегий.

Friktion предлагал институционального уровня инструменты для экосистемы, позволяя получать доходы даже в медвежьем рынке через опционные премии.

И, опять же, как написали бы СМИ: “хотя Friktion в 2023 закрылась ввиду рыночных условий, она проложила путь для новых протоколов”.

Помимо продаж опционов, существуют производные на волатильность: например, Opyn разработал продукт Squeeth - бессрочный инструмент на квадрат цены ETH (эффективно - опцион с бесконечным сроком), позволяющий занимать позиции на волатильность.

Другие платформы (Dopex, Lyra, GMX с добавлением опционы и др.) экспериментируют с уникальными структурными выплатами. До сих пор :).

Все эти продукты можно отнести к сложным структурным продуктам DeFi.

Их общая черта – использование деривативов (опционов, фьючерсов) и базовых активов для генерации дохода, часто в обмен на ограничение потенциальной прибыли.

Для DeFi-щика это выглядит как “стратегия с заранее известным доходом и риском”. Например, продавая волатильность, можно зарабатывать стабильную премию, пока рынок спокоен, но принять на себя риск редкого сильного движения.

С точки зрения дельты такие стратегии часто стартуют нейтрально или близко к тому, но имеют ненулевые греки (гамма, вега), так что требуют понимания риска.

Для DAO и фондов опционные структурные продукты привлекательны тем, что позволяют монетизировать волатильность портфеля.

Например, DAO, держащее крупные резервы ETH, может еженедельно продавать колл-опционы на часть резервов (на классических рынках это была бы “стрижка купонов”), генерируя доход в стабильных монетах для операций – по сути, превратить холд актива в квази-облигацию.

Аналогично, венчурные инвесторы могут использовать опционные стратегии для хеджирования: купить путы для защиты от обвала рынка или создать коллар (продать колл, купить пут) для ограниченной снизу/сверху доходности.

В DeFi появились площадки, где такие комплексные стратегии предлагаются “из коробки”. Ribbon Finance, StakeDAO, Friktion – примеры того, как сложные стратегии упаковываются в vault, куда пользователи просто депонируют активы и получают доход. Это снижает порог входа и способствует более широкому принятию структурных продуктов.

Vault-сервисы и автоматизированные хранилища

Сложность многих нейтральных стратегий в том, что они требуют одновременно работать на нескольких рынках (спот, фьючерс, опционы, кредитование) и регулярно ребалансировать позиции.

Это затруднительно для рядового пользователя DeFi. Поэтому одно из важных направлений – автоматизация стратегий через “vault” сервисы. (И хотя я к ним отношусь настороженно - не использовать на сегодня - крайне странно).

Vault в контексте DeFi - смарт-контракт, реализующий определённую стратегию управления активами.

Пользователь вкладывает средства, а контракт использует их по заданному алгоритму: например, размещает в лендинге, берёт займ, проводит свопы, открывает деривативные позиции, фармит награды и т.п.

В результате инвестор получает долю в итоговом портфеле, не управляя им вручную. Первопроходцем vault-концепции был Yearn Finance (автоматическое перетекание ликвидности между фермами для максимального APY). Теперь же появились vaults второго поколения, специализирующиеся на нейтральных и структурных стратегиях.

Пример – упомянутый проект Derive. Он предлагает Basis Trade Vaults, превращающие классический спот-фьючерс арбитраж (Basis trade) в управляемый контракт.

Новшество Derive – выпуск токенов bAssets (bBTC, bETH), которые представляют собой долю в дельта-нейтральной стратегии (лонг спотовый BTC/ETH + шорт perp + получение финансирования и стейкинг-ревардов).

Эти b-токены – полноценные ERC-20, с ростом стоимости за счёт накопления дохода, и их можно использовать далее в DeFi (закладывать, торговать и т.д.).

Таким образом, Derive “упаковал” хедж-фондовую стратегию в простой токен: пользователь получает комбинированную доходность (ставка фандинга + PoS-доход) без риска по базовому активу и без усилий по поддержанию хеджа.

Похожие идеи реализует, например, Rage Trade – они создали delta-neutral vault для GLP (индексного пула на GMX): vault удерживает токен GLP (который зарабатывает торговые комиссии и вознаграждения ~20% APR) и одновременно шортит его основные компоненты (ETH, BTC) через Aave, тем самым убирая ценовой риск.

В итоге обеспечивается стабильная доходность от комиссий с нейтральной позицией; пользователи могут вкладываться в такой vault согласно своему рисковому профилю (Rage разбил его на “Risk-On” и “Risk-Off” трanches).

Другой аспект – аналитические и агрегаторные сервисы, помогающие инвесторам находить и реализовывать нейтральные стратегии.

Протокол Gyroscope создал пул ликвидности с внутренними механизмами арбитража и хеджирования, стимулируя пользователей просто депонировать средства, пока под капотом работают нейтральные торговые стратегии.

Также DeFiLlama представила в своё время удобные дашборды для delta-neutral стратегий. Один из них агрегирует стратегии типа “Lend-Borrow-Farm” – например, одалживание стейблкоина, заём другого актива и фарминг на нём, с фильтрами по блокчейнам и протоколам.

Другой дашборд на DeFiLlama - Long-Short Strategies - собирает готовые примеры, как можно получить доходность с помощью торговых нейтральных позиций.

Но всё это пока не стабильно и не широко.

Эти инструменты дают пошаговые инструкции, показывают расчёт доходности и рисков для каждой стратегии, упрощая жизнь DAO-аналитикам и инвесторам.

Индексы

Стоит упомянуть и индексные продукты, связанные с нейтральными стратегиями. Появляются токены, которые сами по себе представляют индекс или корзину нейтральных стратегий.

Например, в 2025 году запущен токен USSI - позиционируется как “delta-neutral index”, обеспечивающий стабильную доходность посредством пассивных диверсифицированных стратегий SSI Protocol.

По сути, это аналог фонда, который внутри использует рыночно-нейтральные тактики, а инвестор держит один токен, стоимость которого постепенно растёт.

Другой вектор - индексы волатильности: существуют проекты, создающие индекс волатильности крипторынка (например, Crypto Volatility Index, Volmex). Они позволяют получить экспозицию на волатильность рынка (или хеджироваться от неё) без направления, что тоже вписывается в тему нейтральных стратегий.

Пока эти решения нишевые, но со временем мы можем увидеть целые линейки индексов, которые комбинируют различные нейтральные стратегии (арбитражные, опционные, процентные) для выдачи определённого профиля дохода.

Для VC это возможность вложиться сразу в инфраструктуру нейтральных доходов, а для DAO – инструмент для диверсификации того же трежери.

Доп. примеры

Рассмотрим ещё несколько примеров, как описанные стратегии применяются на практике сегодня, а также их роль в смежных областях ReFi (Regenerative Finance) и работе с реальными активами (RWA).

Во многих популярных DeFi протоколах дельта-нейтральные тактики лежат в основе доходных продуктов. Ранее рассказал (коротко) про GMX/GLP: протокол GMX на Arbitrum, который как раз имеет индексный пул GLP (состоит из BTC, ETH, стейблкоинов и др.), доход для LP идет от комиссий трейдеров и реальных выплат (esGMX).

Однако GLP подвержен риску изменения цен BTC и ETH. Решение – delta-neutral GLP стратегии: пользователи или хранилища хеджируют позиции GLP через шорт соответствующих активов, чтобы убрать направленную экспозицию и оставить только “реальный” доход (fees + эмиссия).

Протокол Rage Trade создал для этого специальный двух-траншевый vault: Risk-On транш берёт на себя риск IL и не полностью хеджирует, а Risk-Off транш получает устойчивую доходность от хеджированного GLP.

Это наглядный пример, как пул ликвидности + хедж дают институционального качества продукт на DeFi.

Другой пример – хедж для фарминга ликвидности. По факту многие yield-фермеры осознают, что держа волатильные токены в пуле, они рискуют просадкой.

Решение – открывать шорт на один из токенов. Например, обеспечивая пул ETH/USDC на Uniswap, можно одновременно взять в долг или через perp зашортить ETH, эквивалентно своей доле, тем самым обезопасив себя от падения цены ETH. (Но, как показал выше, на практике это не так-то и просто). В этой позиции вы продолжаете зарабатывать комиссии пула, нейтрализуя направление (правда, остаётся риск несинхронного изменения цены + IL - но по крайней мере линейный риск ETH/USD может быть снят).

Некоторые продвинутые стратегии, такие как “Delta-Hedged Liquidity Provision”, известны также как “Buffalo” spread, автоматизируют ребалансировку такого хеджа при изменении цены, чтобы LP-позиция оставалась около нуля по дельте.

Это позволяет получать доход от пулов даже в волатильном рынке, не ставя на рост токенов. Подобные методики обсуждаются в комьюнити (напр., в статьях на LinkedIn и блогах), хотя требуют активного менеджмента и учёта комиссий.

Ещё подход - через LST: “Leveraged Staking + Hedge”. По сути, пользователь накапливает больше stETH через заем средств и одновременно short-ит ETH.

Например, Resolv - протокол, выпускающий стейблкоин USR под полностью захедженный ETH - описывает, что их позиции остаются дельта-нейтральными даже при движениях ETH на +200% или -90%, т.к. при каждом mint/burn они корректируют фьючерсный хедж.

Они намеренно не берут лишнего плеча, чтобы избежать ликвидаций, и тем самым выдают пользователям стабильный стейблкоин с доходностью (финансирование + staking) без волатильности.

Этот пример показывает, как децентрализованные стейбл-проекты воплощают нейтральные стратегии, но пока долгосрочность подобных механик у меня лично вызывает сомнения, т.к. рисков у сложных конструкций хватает. Но это не значит, что они не работают.

Кроме того, токенизированные стратегии как Derive’s bTokens или другие индексные токены (USSI) - уже практические реалии.

Их можно брать и использовать как блоки: например, bETH (hedged ETH vault token) можно положить в протокол Pendle, продавая будущую доходность за фиксированный процент, или использовать как залог где-нибудь ещё.

Таким образом, создаются “LEGO” сложных стратегий, где один нейтральный продукт вкладывается в другой для еще более продвинутых схем.

Что касается ReFi (восстановительное финансирование в буквальном смысле) – это направление, фокусирующееся на финансовых продуктах, которые приносят позитивный социальный или экологический эффект (например, токенизация углеродных кредитов, финансирование устойчивых проектов через блокчейн).

На первый взгляд, дельта-нейтральные стратегии далеки от ReFi, поскольку последние больше про целевое использование средств.

Однако, стабильная доходность - то, что ценится ReFi-проектами, ведь им нужны прогнозируемые кэш-флоу для финансирования инициатив (например, выплаты на экологические проекты).

В этом смысле интеграция нейтральных стратегий может выступать двигателем устойчивого финансирования: доход от market-neutral вложений DAO направляет на благие цели, не рискуя основным капиталом.

Например, рассмотрим некое “климатическое” DAO, которое держит казначейство в DAI.

Чтобы финансировать ежеквартально посадку деревьев, DAO может вложить часть казны в дельта-нейтральный vault, генерирующий 5-10% годовых, и получать пассивный доход, независимо от рынка, направляя его на экологические цели.

Это лучше, чем просто держать DAI без дела, и надёжнее, чем инвестировать в волатильные токены, которые могут обесцениться.

Таким образом, нейтральные доходы становятся источником ReFi-устойчивости. Некоторые ReFi-протоколы уже об этом думают: Toucan, KlimaDAO и другие, работающие с углеродными кредитами, рассматривают, как обеспечить стабильность своих резервов.

В части RWA (реальные активы) нейтральные стратегии играют непосредственную роль связки с DeFi.

Многие токенизированные активы - это долговые инструменты (облигации, кредиты), дающие фиксированный доход.

Например, USD0 от проекта Usual - стейблкоин, обеспеченный токенизированными казначейскими облигациями США и сделками РЕПО, с генерируемой от них доходностью.

Этот стейблкоин не зависит от крипторынка и приносит держателям проценты, фактически выступая крипто-аналогом фонда денежного рынка.

Он сам по себе нейтрален к крипто-волатильности, а риски лежат в сфере традиционных финансов (процентный риск, кредит контрагентов).

Другие примеры - Maple Finance и Goldfinch: они позволяют давать кредиты реальным компаниям, возврат которых не коррелирует с ценой BTC или ETH.

Однако отмечу, что эти стратегии нельзя назвать полностью безрисковыми: есть кредитный риск, риск дефолтов. Тем не менее, с точки зрения крипто-экспозиции, они нейтральны – им всё равно, бычий или медвежий рынок, главное, чтобы заёмщики платили.

Если внимательно всмотреться в бездну DeFi, то можно увидеть синергию RWA и дельта-нейтральных схем в появлении гибридных протоколов.

Скажем, Angle Protocol экспериментировал с тем, чтобы часть резервов стейблкоина agEUR инвестировать в delta-neutral стратегии, а часть – в облигации, чтобы выплачивать держателям agEUR доход.

Liquity V2 (эволюция протокола Liquity) рассматривали добавление доходов на LUSD через RWA-инвестиции.

Таким образом, нейтральные стратегии становятся связующим звеном TradeFi, CeFi & DeFi: протоколы DeFi начинают работать как традиционные фонды - хеджируют волатильность и перераспределяют реальную процентную ставку в токенизированную форму.

Не стоит забывать вот о чём: для венчурных инвесторов сектор RWA+DeFi особенно интересен, т.к. он привлекает более консервативный капитал. И это перспективно.

Институционалы, привыкшие к облигациям, видят знакомые 5% доходности, но с DeFi-привкусом (токенизированные, 24/7 торги, глобальная доступность). Если риски (контракты, регуляции) будут адресованы, можно ожидать приток институционального капитала в такие продукты.

А это, в свою очередь, повысит ликвидность и эффективность - арбитражёры выровняют лишнюю доходность, и дельта-нейтральные доходы станут более “облигационными” по величине, но и более надёжными.

Ещё один важный практический аспект - индексирование нейтральных стратегий. Уже упоминал токен USSI как delta-neutral index.

Идея индексного продукта - объединить несколько стратегий или источников дохода, чтобы снизить специфические риски и предоставить инвесторам единый сбалансированный инструмент.

Например, гипотетический индекс мог бы включать: долю доходов от фандинг-арбитража, долю от стейкинг-хеджа, долю от опционных стратегий.

Если одна из составляющих временно просела (скажем, волатильность упала и опционные стратегии дали меньше прибыли), другая (например, процентные доходы) могут это компенсировать.

Для пользователя индекс выступает как фонды смешанного арбитража, привлекая более широкий круг инвесторов, не готовых выбирать отдельные стратегии.

В 2024-2025 появились и волатильностные токены - по аналогии с VIX в TradFi:

Данные 03

Например, платформа CVI.finance выпустила индекс CVI, измеряющий 30-дневную implied volatility крипторынка, и позволила открывать на него позиции.

Такие инструменты сами по себе могут быть встроены в нейтральные стратегии: опционный дилер может, например, хеджировать портфель опционов токеном волатильности.

Или инвестфонд может дериватив на волатильность добавить в портфель как страховку от чёрного лебедя (типичная tail-risk hedging стратегия). Всё это расширяет палитру нейтральных продуктов.

Отдельно стоит упомянуть индексы DeFi-сегмента. Индексные токены типа DPI (DeFi Pulse Index) или многие продукты IndexCoop – скорее бета-продукты (следят за рынком), а не нейтральные.

Но есть идеи делать индексы, которые ребалансируются по принципу рыночной нейтральности.

Например, индекс, который лонгует топ DeFi-токены и шортит эквивалентную сумму ETH - таким образом, он показывает относительную эффективность DeFi-сектора к базовому рынку.

Для инвестора это ставка на “альфу” DeFi над эфиром, без экспозиции к самому эфиру. Такой индекс мог бы заинтересовать венчурных игроков: по сути, это маркет-нейтральный DeFi фонд в токенизированной форме.

Перспективы

По факту на 2025-й год мы имеем: институциональное принятие, интеграцию с CeFi, роль L2 DeFi и включение новых стандартов. Поэтому всё описанное - весьма и весьма радужно выглдяит.

Перспективы развития дельта-нейтральных стратегий в крипто-экосистеме выглядят весьма многообещающе, особенно с учётом нескольких параллельных трендов:

Институциональное принятие (institutional adoption)

Крупные игроки традиционных финансов проявляют растущий интерес к DeFi, но при этом они, как правило, не готовы сразу брать на себя экстремальную волатильность криптоактивов.

Рыночно-нейтральные продукты – идеальный “мост” для институционалов. Видим, как большие фонды и биржи инвестируют в проекты вроде Ethena (поддержка от ведущих CEX), или как традиционные финансовые фирмы запускают крипто-хедж-фонды нейтральной стратегии.

Например, появлялись сообщения, что и Jump Trading, и Alameda (до её краха) активно занимались арбитражем и маркет-мейкингом, фактически принося ликвидность и нейтрализуя риски.

В 2024 некоторые банки экспериментировали с DeFi-платформами для предоставления ликвидности под RWA-пулы, где тоже применяли хеджирование.

Для индустрии это означает более глубокую ликвидность и эффективность: с приходом профи-арбитражеров спреды сокращаются, ставки финансирования быстрее выравниваются, а возможности для простого заработка “на глазах” могут снизиться.

Однако и риск системный уменьшается: чем больше нейтральных игроков, тем менее волатильны рынки (в теории).

Институциональное участие также несёт вливание капитала – например, если пенсионные фонды сочтут приемлемым держать часть активов в токенизированных доходных стейблкоинах под 5%, это огромный рынок. Конечно, это потребует соответствия регуляциям (KYC, прозрачность, кастодиальное хранение), о чём ниже. И это уже риски децентрализации.

Интеграция с CeFi. Граница между CeFi и DeFi постепенно размывается. Видим, опять же, примеры, когда DeFi-протоколы используют CeFi-инфраструктуру для своих целей.

Так, Ethena, чтобы добиться глубокого хеджа, планирует хеджировать часть позиций на централизованных биржах из-за большей ликвидности, хоть это и уменьшает децентрализацию.

Resolv уже заявил, что пока ликвидность perps в основном на CEX, им приходится интегрироваться с ними, но через институциональных кастодианов и распределение рисков.

Это пример CeDeFi модели, когда децентрализованный протокол опирается на централизованных партнёров для исполнения нейтральной стратегии.

Обратная ситуация: CeFi-платформы предлагают продукты, вдохновлённые DeFi. Binance, Okx и др. запустили Dual Investment и другие структурные продукты, где пользователи по сути продают опцион (получая доход, но соглашаются купить / продать по определённой цене), или предлагают фиксированный доход с условием.

Эти продукты – по сути обёртки дельта-нейтральных стратегий (биржа сама хеджирует рынок и отдаёт пользователю фиксированный процент минус свою маржу).

В будущем вероятны коллаборации: крупные CEX могут поставлять ликвидность DeFi-вольтам или даже листить токены вроде bBTC/USDR на своих платформах, делая их более доступными.

Слияние CeFi и DeFi в области нейтральных доходов может привести к появлению стандартов “прозрачных хедж-фондов”: представьте, что BlackRock запустит токен, представляющий его маркет-нейтральный фонд, торгуемый на блокчейне – для этого вполне есть предпосылки.

Роль L2 (Layer 2) & NON-EVM

Многие нейтральные стратегии требуют частых транзакций (ребалансировка хеджей, сбор наград, реинвестирование), что на L1 (например, Ethereum) было бы дорого и медленно.

L2-сети типа Arbitrum, Optimism, zkSync, etc. сильно расширили возможности: на L2 газ дешевле в десятки раз, поэтому смарт-контракты-вольты могут выполнять сложные последовательности операций экономически эффективно.

Не случайно, практически все новые стратегии появляются на L2: GMX и Rage (Arbitrum), Vaultka (Arbitrum), новые опционные протоколы – многие выбрали L2. Или NON-EVM: Solana, Sui, etc.

Кроме того, L2 дают возможность более высокой скорости, что полезно для высокочастотных арбитражей.

В перспективе, когда запустятся доверенные исполнители (MEV-устойчивые аукционы), нейтральные стратегии смогут выполняться атомарно с минимальным MEV-риск, что важно для арбитража.

Есть и кроссчейн-возможности: пример – кто-то может взять кредит в одной сети, перевести актив в другую сеть, там использовать его в стратегии, и всё это с мгновенным ребалансом через кросс-чейн мосты.

Таким образом, L2 и кроссчейн инфраструктура делают нейтральные стратегии более доступными и разнообразными. Также появляются специализированные appchain решения – например, отдельный L2/L3, оптимизированный под перпетуалы или под опционные DOVs, что может дать ещё более низкие комиссии и высокую оптимизацию под конкретные стратегии.

Новые стандарты и инновации

Технические стандарты, такие как ERC-4626 (Tokenized Vault Standard), упрощают интеграцию стратегических vault-ов с остальной экосистемой.

Если каждый vault выпускает токен депозита по единому стандарту, то, скажем, Yearn-вольт, Derive-вольт и любой другой можно легко подключить к любому протоколу как обычный ERC-20.

Это облегчает создание сложных составных продуктов – например, можно представить Yearn-вольт, который сам инвестирует в Derive bTokens и автоматически перераспределяет между ними средства в зависимости от ставок.

И снова вспомним СМИ: “Такие стандартизованные деньги LEGO ускорят инновации”. (Это не совсем так: а иногда - далеко не так).

Кроме того, в отрасли формируются методологии оценки рисков нейтральных стратегий. Появляются новые метрики и stress-test подходы (например, расчет VaR для нейтрального портфеля, оценка кредитного риска протоколов).

Это может стать основой для рейтингов и страхования. Если инвестор видит, что стратегия имеет рейтинг риска BBB, он может принять решение, как если бы это были облигации. Доступность страхования (через Nexus Mutual или аналогичные) тоже повысит доверие: страховщики, понимая, что стратегия нейтральна, могут предлагать более дешёвое покрытие.

Наконец, ожидается большее внимание регуляторов – и, возможно, появление стандартов комплаенса.

Например, если протокол выпускает стейблкоин, обеспеченный деривативами, регулятор может потребовать раскрытия информации, аудита резервов, стресс-тестирования.

Возможно, появятся лицензированные on-chain фонды, работающие по правилам (аналог ETF, но на смарт-контракте). Регуляторная определённость может дать зелёный свет большему числу участников.

Подводя итог, перспективы таковы: нейтральные стратегии станут более массовыми, проще в использовании и более интегрированными в общий ландшафт децентрализованных финансов.

DAO смогут профессионально управлять казной, держа часть в нейтральных продуктах для стабильного финансирования операций. VC будут продолжать финансировать стартапы, которые автоматизируют и токенизируют всё новые типы стратегий (мы видели волатильность, ставки, теперь, возможно, придёт черёд более экзотических – арбитраж между разными L1 экосистемами, нейтральные NFT-стратегии и т.д.). А пользователи, в конечном счёте, получат более устойчивые способы заработать в крипте без азартной игры на курсе. Это сделает DeFi привлекательнее для консервативных инвесторов, постепенно стирая грань с традиционными финансами.

По крайне мере - это возможно…

Риски и вопросы регулирования

Несмотря на все преимущества, дельта-нейтральные и структурные стратегии не являются безрисковыми - они просто перекладывают риск из плоскости ценового движения в другие плоскости.

Необходимо осознавать следующие категории рисков…

Риск модели и исполнения

Предположение о нейтральности держится на моделях корреляции или на эффективности хеджа. Если корреляции рушатся (парный трейдинг перестаёт работать, активы больше не конвергируют) - стратегия понесёт убытки.

Если хедж несовершенен (например, опционы или фьючерсы имеют базисный риск по отношению к базовому активу, или несоответствие по ликвидности) - портфель может получить просадку при резких движениях.

Даже дельта-нейтральный опционный портфель может пострадать от внезапного всплеска волатильности (если он short gamma) или от медленного дрейфа цены (если стратегия рассчитана на mean-reversion).

Также автоматические стратегии зависят от своевременного исполнения – сбой оракулов, проскальзывание или задержки транзакций могут вывести позицию из баланса и привести к убыткам.

Риск ликвидности и ликвидации

Большинство нейтральных стратегий в DeFi используют заемные средства (плечо) – будь то для шорта, для лонга доп. активов или для выпуска стейблкоина.

Это значит, что резкое движение рынка может вызвать угрозу ликвидации.

Например, стратегия hedged staking: при росте цены ETH, шорт-позиция начинает генерировать убытки; если collateral недостаточен или не успевает пополняться, позицию ликвидируют, после чего стратегия перестаёт быть нейтральной и может понести существенный урон.

Разработчики Resolv в своё время отметили, что хотя у них только часть активов на бирже как маржа, они работают над механизмами auto-top-up, иначе внезапное движение цены может “моментально рек” позицию.

Аналогично, vault, который не успел ребалансировать, может попасть в спираль принудительной ликвидации.

Риск ликвидности касается и рынка: нейтральная стратегия часто предполагает, что вы в любой момент сможете перевернуть позу или закрыть ее. В условиях низкой ликвидности (например, DeFi-деривативы с низким TVL) это не гарантировано – попытка выйти может двинуть рынок против вас.

Контрагентский риск и технический риск

DeFi-протоколы – это код, который может содержать уязвимости. Smart contract risk всегда присутствует: взлом или баг в vault может привести к полной потере средств, независимо от того, какая там стратегия внутри.

Рыночно-нейтральность не спасёт от хакера. Кроме того, если стратегия опирается на централизованные площадки, возникает риск контрагента.

Крах FTX в 2022 показал, что хранить маржу на CEX рискованно – биржа может обанкротиться вместе с вашими хеджами.

Resolv, например, выделяет это отдельно и внедряет меры: хранить коллатерал вне биржи, диверсифицировать по площадкам, лимитировать экспозицию к каждой.

Но полностью убрать этот риск сложно, особенно если большая часть ликвидности деривативов всё ещё на CeFi. Также есть риск оракула – если стратегия завязана на ценовом фиде (например, для триггера ребаланса), манипуляция оракулом может привести к неправильным действиям.

Риск доходности

Многие нейтральные стратегии дают относительно скромные доходы (в сравнении с потенциальной прибылью от просто HODL во время bull-run).

Это та самая “жертва” – отказываемся от X потенциала роста, чтобы иметь стабильные y%. Но и этот y% не гарантирован: он зависит от рыночных условий.

Например, арбитраж финансирования может давать 20% годовых в период перегрева рынка, но может упасть до ~0%, когда рынок в равновесии (или если множество участников выровняли спред).

Доход от опционных стратегий резко снижается, когда волатильность на минимуме. Процентные ставки по стейблкоинам плавают.

Риск реинвестиции тоже есть: стратегия может требовать переключения между источниками дохода, если один иссяк.

Таким образом, инвестор нейтральной стратегии рискует недополучить ожидаемый доход, особенно если не мониторит изменения рынка. В случае индексных или пуловых продуктов это приводит к тому, что их доходность со временем может падать (и цена токена расти медленнее прогнозов).

Регуляторные риски

Поскольку сложные продукты часто имитируют традиционные финансовые инструменты, они неизбежно привлекут внимание регуляторов. Уже сейчас опционные и доходные продукты в США, например, могут рассматриваться как ценные бумаги.

Ribbon Finance, по некоторым данным, ограничивал доступ для американцев, опасаясь претензий (премия за опцион – это инвестиционный доход, может попасть под определение security).

Стейблкоины, обеспеченные деривативами, могут вызвать вопросы: не являются ли они фондами денежного рынка по сути?

Комиссия SEC или аналогичные органы могут потребовать регистрации таких продуктов, раскрытия рисков пользователям на уровне проспекта эмиссии. DAO, управляющие чужими средствами в нейтральных стратегиях, рискуют подпасть под определение инвестиционного фонда или даже несанкционированного ETF.

Особенно остро вопрос, если протокол обещает или подразумевает фиксацию доходности – это красный флаг для регуляторов (помним историю с BlockFi, Celsius – хотя это CeFi, но предлагали “гарантированный” доход и привлекли внимание SEC).

В сфере RWA – юридические вопросы ещё сложнее: токенизация казначейских облигаций или кредитов требует соблюдения законов о ценных бумагах, о банковской деятельности.

Проекты, связывающие DeFi с реальными активами, стараются получить лицензии (например, некоторые RWA-эмитенты регистрируются в SEC как инвестфонды).

Если этого не сделать, могут последовать запреты, штрафы – вплоть до требования вернуть средства инвесторам. Регуляторика также затрагивает KYC/AML: институционалы не пойдут в продукты, где неясно, кто контрагент.

Возможно, появится разделение на “whitelisted” vaults (только для KYC-юзеров, с прозрачностью) и общедоступные (с риском в серой зоне). Это, безусловно, повлияет на ландшафт – часть нейтральных стратегий может уйти “в тень” или в приватные DAO, если давление усилится.

Репутационный риск

Для DAO, управляющей казной, провал нейтральной стратегии может быть даже хуже, чем просадка рынка - т.к. нейтральные стратегии часто воспринимаются как безопасные.

Если, скажем, казначейский комитет DAO уверил сообщество, что положил деньги в “low-risk yield” vault, а тот вдруг потерял 30% из-за экстренного события - доверие будет подорвано.

Классический пример, который приводил выше и который является “эталоном” в TradFi - фонд Long-Term Capital Management (LTCM) в 1998 году: он оперировал рыночно-нейтральными арбитражами, но чрезмерное плечо и экстремальное событие привело к коллапсу фонда, едва не обрушив мировые рынки.

В крипто-масштабе риски локальнее, но аналогии возможны. Поэтому важно прозрачно информировать стейкхолдеров о рисках, иметь планы на случай чрезвычайных ситуаций (например, экстренно вывести хедж с CEX при признаках несостоятельности биржи, как предлагал Resolv).

До!

Вводный курс DeFi для всех. Деривативы. Часть I

2026-05-07T07:36:20.146Z

DeFi

Обычно, когда говорят про DeFi-деривативы, то говорят про фьючерсы, опционы, в "лучшем" случае про что-то ещё. Но на деле почти весь ДеФи-рынок - это деривативы.

И состоит он из 2-х примитивов:

Прото-примитив: стейкинг;
Мета-примитив: индекс.

Первый - блокирует ликвидность. Второй - даёт ей новое дыхание (разблокирует). Зная это простое правило - можно очень многое делать и делать куда более безопасно, чем принято сегодня.

Мы с коллегами опысывали довольно много стратегий на этот счёт, поэтому не буду повторять, а укажу их ссылками:

Фарминг (часть первая);
Фарминг (часть вторая).

Но это всё можно собрать, что называется "на коленке" с помощью AI - быстро и легко. Вот мой пример, сделанный нарочито небрежно, но зато за всего 30 минут: https://ludo-nine-gold.vercel.app/:

Пример выборки

Пояснения по нему даю на расширенном курсе, но здесь укажу ряд важных моментов:

Нет проблемы с помощью DeFiLlama найти стратегии на стейблы: https://defillama.com/yields?attribute=stablecoins&minApy=5&maxApy=40&minTvl=500000
Или с её же помощью - дельта-нейтральные истории: https://defillama.com/yields/strategy?lend=eth

Проблема, на мой взгляд, заключается в том, КАК именно вы оцениваете риск того или иного проекта, протокола или приложения.

Поэтому предлагаю этот аспект не обходить стороной, а начать с него именно...

Деривативы. От истории к практике

По рынку деривативов у меня есть 3 важных заявления:

Это рынки не для всех. Не все могут поднимать более 100 кг. Не все могут бегать ультра-марафоны. Не все становятся миллиардерами. Не все покоряют Северный или Южный полюсу и т.д. Рынки деривативов - экстремальные и то, что в DeFi ими занялись новички - случайность: да, всё открыто, но это не значит, что всё всем доступно.
Попробовать деривативные методики стоит, но чаще всего от них стоит отказаться. По крайне мере до момента, когда разберётесь с фармингом и др. простыми деривативными механиками. И это отличает этот и др. курс от множества других, где деривативы - обычные инструменты для всех. В любом случае даже внутри деривативных рынков есть градация и с ней тоже стоит работать осторожно.
Наконец, важно понимать, что деривативы - это работа не только с экономикой, но и технологией, поэтому здесь нельзя воспринимать движения вне времени, даже если речь идёт о Perps, т.е. контрактах бессрочных. Проще говоря, вы должны иметь хотя бы минимальную стратегию.

Итак, первое, что нужно понимать. Это виды деривативов:

По сроку: срочные и бессрочные;
По триаде ПОО (права, обязанность, ответственность): наделяющие правами или обязанностями;
По уровню сложности: нулевого, первого, второго и т.д. порядка (до 10-12 вполне реально получить);
По технологии представления: ERC-20, ERC-721, LP-lock (ve), etc.;
По сети: EVN & NON-EVM;
Прочие: и их - не мало.

Не буду повторять то, что все и так знают:

Да, есть фьючерсы - производный финансовый инструмент (договор) на бирже купли-продажи базового актива, при заключении которого стороны (продавец и покупатель) договариваются только о цене и сроке поставки. Фьючерсы бывают разных видов.
Да, есть опционы - договор, по которому потенциальный покупатель или потенциальный продавец базового актива получает право, но не обязательство совершить покупку или продажу данного актива по заранее оговорённой цене или по нефиксированной цене, но вычисляемой по заранее оговорённой формуле, в определённый договором момент в будущем или на протяжении определённого отрезка времени при условии наступления оговорённого события или без такового; количество платежей и периодичность тоже могут устанавливаться условиями договора.
Да, есть perps-ы - фьючерсные контракты, которые не имеют даты истечения срока действия (хотя сейчас рынок их расширен).

Но! Повторюсь, т.к. это важно! Деривативные рынки в DeFi куда шире:

LP - это дериватив;
Staking LP - это дериватив;
Ваш Vote и голосование по gauge или взятка - это дериватив;
Farming-поинты - это дериватив;
Airdrop-поинты - это дериватив;
LP-залог - это дериватив;
ETH-залог нулевого порядка - это тоже дериватив…

Рестейкинг-механики - пример деривативов 3-5-7 порядков! (Как это читается не в 2025-ом, а в 2026-ом, когда стало известно про взлом rsETH?). Поэтому когда говорим о деривативах, то подразумеваем весь спектр производных инструментов, а не только фьючерсы, опционы и тем более их подвид - perps.

История развития деривативов

Она полезна по одной причине: кто знает прошлое - тот может управлять будущим, а деривативы нужны только для одного: чтобы потери прошлого и риски будущего захеджировать в настоящем.

Сводка по истории следующая:

1750 до н.э.: кодекс Хаммурапи предусматривал письменные контракты на поставку товаров в будущем по фиксированной цене.
VII–VI вв. до н. э.: философ Фалес из Милета заранее арендовал оливковые прессы и затем перепродал это право с прибылью.
1630–1640-е: "тюльпаномания" в Голландии -первые известные фьючерсные и опционные сделки на конкретные товары (луковицы тюльпанов).
1730: в Японии основана биржа риса Додзима - первая организованная площадка для торговли фьючерсами.
1848: создана Чикагская товарная биржа (CBOT), ставшая образцом для последующих бирж фьючерсов; к 1865 году здесь появились стандартизированные фьючерсные контракты (первым таким контрактом был фьючерс на кукурузу).
1850–1870-е: в США появились другие биржи и шло расширение ассортимента товарных фьючерсов - хлопок, какао, сахар и т.д..

Эти события заложили фундамент современных рынков деривативов и стандартизацию контрактов.

То есть когда вам говорят, что “крипта - скам: сплошные спекуляции”, - вы должны чётко знать и понимать, что деривативные рынки были всегда и они всегда превышали товарные рынки, т.к. (банально) на одну тонну кукурузы может быть не один, а сразу 10, а то и 10 000 покупателей.

Фьючерсы и опционы: развитие и экспансия

С конца XIX - начала XX вв. торговля фьючерсами вышла за пределы сельхозтоваров. В США и Европе развивались биржи золота, металлов, энергоносителей и др. 1970-е: появились фьючерсы на финансовые инструменты, фондовые индексы и ипотечные бумаги.

Параллельно рос рынок опционов. Уже в 1820-х годах на Лондонской бирже появились опционы на акции, но до 1960-х они торговались в основном внебиржевым способом.

Настоящий прорыв произошел в 1973 г.: в США начала работу Чикагская биржа опционов (CBOE), положив начало централизованной биржевой торговле опционами.

В том же году появилась формула Блэка–Шоулза, значительно упрощающая оценку опционов. Собственно, на крипторынках она также и используется.

С конца XX века фьючерсы и опционы охватили все основные активы - от валют и сырья до акций и индексов. Фьючерсные контракты и опционные листинги стали мейнстримом как для хеджирования рисков, так и для спекуляций институциональных и розничных игроков.

Свопы и кредитные деривативы

Первоначально свопы возникли в начале 1980-х как сделки "под ключ": 1981 г. считается годом первой формальной валютной сделки swap-ами между IBM и Всемирным банком.

Эта транзакция позволяла банку и корпорации обмениваться обязательствами по займам в разных валютах для обхода валютных ограничений. Впоследствии свопы стали широко использоваться для хеджирования процентных и валютных рисков.

Появление кредитно-дефолтных свопов (CDS) относится к 1994 году: команда J.P. Morgan под руководством Блайт Мастерс заключила первую сделку CDS с участием Европейского банка реконструкции.

С тех пор CDS получили распространение как инструмент передачи кредитного риска. К середине 2000-х объём рынка CDS достиг сотен триллионов долларов.

Однако к 2008 году такие контракты оказались одним из факторов надувания ипотечного пузыря и разрастания кризиса: CDS на ипотечные обязательства были названы в числе основных причин кризиса 2007–2008 гг.

После этого регуляторы ввели требования централизованного клиринга и раскрытия по стандартным CDS.

Регулирование и институционализация

С развитием деривативов росло и регулирование. В США 1974 году принят закон о товарных фьючерсах (CEA), учреждена Комиссия по торгам товарными фьючерсами (CFTC). Ключевые шаги регулирования включают:

2000: принята Commodity Futures Modernization Act (CFMA), которая легализовала OTC-свопы и во многом вывела их из-под жесткого надзора. Закон фактически запрещал SEC/CFTC регулировать рынок свопов, развязав рынок деривативов на волю участников.
2010: закон Dodd–Frank (США), раздел VII – признал необходимость регулирования внебиржевых деривативов. Введены обязательные требования клиринга, отчетности и ограничений на «голые» CDS. CFTC и SEC разделили надзор за свопами (CFTC) и security-based swap (SEC).
2012: в Евросоюзе вступил в силу регламент EMIR – аналог Dodd–Frank для ЕС, тоже обязывающий клиринг и раскрытие информации по OTC-деривативам.

Параллельно выросла роль саморегулируемых организаций и бирж.

Так, 2007 году CME и CBOT объединились в CME Group - крупнейшую в мире группу деривативных бирж. Регуляторные требования усилились: появились международные стандарты учёта рисков (IFRS 9), были повышены требования по обеспечению сделок (маржинальное кредитование) и т.д.

В результате биржевые торговые площадки (CME, Eurex, ICE и др.) стали центром ликвидности и рискового менеджмента для крупных институтов.

Perps - эра криптовалют

Отдельный сегмент деривативов – perpetual futures – возник в криптосфере. Эти фьючерсы не имеют срока истечения и удерживаются бесконечно.

Благодаря такому формату трейдеры могут занимать позиции без ролловеров (т.е. без закрытия текущей позиции с одновременным открытием такой же позиции в прежнем направлении).

Механизм perpetual, впервые описанный академически Шиллером в 1992 г., был практически реализован в криптомире: уже в 2019 г. BitMEX внедрил бессрочный swap на биткоин.

Ключевая особенность perpetual - механизм периодических выплат (funding rate), выравнивающий цену контракта со спотом.

Если фьючерс торгуется выше спота, держатели длинных позиций платят коротким, и наоборот. Это обеспечивает параллельное движение цен. В сочетании с очень высоким плечом (до 100×) и круглосуточной торговлей 24/7 perpetual-фьючерсы стали популярны у криптотрейдеров.

Основные причины их популярности:

Нет даты экспирации: позицию можно держать неограниченно.
Funding rate: механизм с регулярными выплатами, поддерживающий паритет с базовым активом.
Высокий леверидж и торги 24/7: торговля криптовалютами не требует перерыва, что усиливает привлекательность бесконечных контрактов.

Ведущие CEXs крипто-деривативов - Binance, Huobi, Bybit, OKEx, BitMEX и др. Но есть DEXs: HyperLiquid, DyDx, Lyra (Derive), Synthetix, Kiloex, etc.

Так, по данным CoinMarketCap, крупнейшими криптовалютными биржами деривативов были Binance, Huobi Global, ByBit, OKEx и BitMEX. В 2017–2018 гг. появились также фьючерсы на биткоин на традиционных площадках (CME, CBOE), что открыло рынок для институциональных инвесторов.

В 2020-х, думаю, вы и сами всё знаете из новостей :).

Сейчас же видим миграцию на perpDEXs. И это уже что-то...

Кризисы и деривативы

Рынок деривативов неоднократно подвергался сильным встряскам:

1987: "чёрный понедельник" - обвал мировых рынков, усиленный программной торговлей и стратегией "страхования портфеля" с помощью фьючерсов. Много о нём написано у Н. Талеба.
1998: крах хедж-фонда LTCM, связанный с чрезмерным плечом и большим портфелем своп-контрактов, показал опасность непрозрачных OTC-рисков.
2008: ипотечный кризис - пузырь деривативов на рынке CDO/CDS лопнул, что спровоцировало глобальную рецессию. Ответом стали Dodd–Frank, EMIR и усиленный надзор.
2020: пандемия COVID-19 вызвала рекордную волатильность; контракт WTI на нефть в апреле 2020 года впервые упал в отрицательную зону, продемонстрировав уязвимость клиринговых систем.
2022: крипто-зима (обвалы биткоина, крах FTX) привела к значительным потерям на крипто-дериватах и росту требований по рискам.

Каждый кризис подчеркивал и потенциальную пользу, и риски деривативов: они могут сглаживать валютные и процентные шоки, но при неконтролируемом леверидже становиться источником системного риска.

В итоге регуляторы постоянно ужесточают требования к ликвидности, маржам и прозрачности сделок, а институты учатся надежнее хеджировать свои портфели с помощью деривативов.

Но настоящий кризис крипто-деривативов нас ждёт впереди: наибольшая вероятность (начала) с 2026 по 2030 гг. (Этот тезис записан в начале 2025-го: если были на курсе - можете верифицировать).

Основные деривативные стратегии и ошибки

Перечень:

Увеличение дохода;
Страхование рисков;
Сложные:

Дельта-нейтральные;
Прочие сложные стратегии.

Примеры. Фарминг-деривативы - доход. Страхование - займ ETH -> пул USD. Дельта-нейтральные: stETH (long-HODL) + eth (short).

Базовые ошибки

Их довольно много, поэтому перечислю несколько значимых.

Ошибка №01. Считать, что рынок деривативов доступен каждому

Нет, это не так. С этого мы начали. Мы же понимаем, что (почти) каждый из нас может бегать и прыгать, но разве каждый от этого становится участником Олимпиады или хотя бы международных соревнований? Нет.

Деривативы - это профессиональный спорт во всех смыслах:

Они требуют хорошей физической и моральной формы;
Выносливости;
Понимания стратегии и тактики поведения;
Длительной подготовки;
Правильного восприятия.

Да, рынки деривативов благодаря как раз Crypto-perps стали доступны всем и каждому, но это не значит, что каждый на них способен торговать. Нет. Даже фарминг, в отличие от стандартных стратегий (стейкинга, LP, лендинга) и тот не для всех доступен по умолчанию.

Поэтому лучшее, что вы можете сделать - это изучить 1-2 стратегии и двигаться дальше по желанию и возможностям.

Ошибка №02. Строить стратегии следования

На деривативных рынках, а не спотовых, это фактически бесполезно. Почему? Потому что вам нужно знать, и это - как минимум:

Что хеджирует тот, за кем вы следуете?
Какой у него есть свободный капитал?
Какая точка входа/выхода?
И др. моменты.

Но даже из перечисленных трёх вы можете едва ли можете с нужной точностью выяснить ответ на один вопрос (третий). С остальными возникнут проблемы:

Вам могут сказать, что хеджируют спот BTC, но покупка его была у трейдера по $1k и бог знает когда по времени, а у вас по $79k. Есть ли разница в этом случае? Думаю, да.
Или это может быть обёртка tBTC, а вы используете wBTC и на ней произойдёт Depeg и у вас никакой хедж не случится.
Премии - это вообще отдельный момент, т.к. на них влияют разные факторы и для дельта-нейтральных позиций они крайне важны.
Можно и вовсе брать позицию с плечом, которая будет невыгодна для вас именно.

Приведу пример, который проделал как эксперимент уже во время курса (7-8 мая). Давайте сравним две позиции. Первый скрин:

Данные 01

И второй:

Данные 02

Как из этих позиций выгодней: та, где Прибыли и Убытки (PnL) 34% или 285% (в итоге - более 1500%)? Ответ: та, где 34% прибыль. Почему?

Потому что точка входа была значительно раньше и по меньшей цене, что ещё важнее;
Потому что сумма входа там больше;
Потому что часть прибыли уже фиксировалась и она может покрыть возможные убытки от просадок.

Вы можете возразить, что это слишком примитивные примеры, т.к. давно есть онлайн-следование и копи-трейдинг работает и все инструменты есть. Да, но они не отвечают на все вопросы выше, а лишь на часть, а значит - у вас будет всегда неполнота данных. Всегда.

Приведу пример из более простой механики:

Данные 03

Казалось бы, что проще: заложил эфир, получил кредит под него и пошёл торговать.

Но на практике у инфлюенсера есть поток средств, который он получает (и в данном чате это обсуждалось, хотя вопрос поднимался не раз) в крипто-активах, а у вас такого потока может и не быть.

Более того, чаще это фиатный поток и в моменте он может быть дважды убыточен (кросс-курс к USD, курс падающего при этом ETH).

Конечно, давно существуют схемы защиты от манипуляций на подобных рынках, которые звучат почти как заповеди:

Не бери маржи много - бери в меру;
Ставь стоп-лоссы свои на места свои;
Не фокусируйся на ряби происходящего;
Диверсифицируй портфель свой;
Используй ончейн-анализ чаще…

Но на деле это не так просто. И кейс с манипуляциями HYPE это доказал: фактически кит просто переложил свои убытки - на других участников, хотя все всё видели и понимали.

Напомню суть (коротко):

Открытие крупной короткой позиции: Трейдер открыл шорт на токен JELLY на сумму около $8 млн.
Искусственное повышение цены: Затем он начал скупать JELLY на других платформах, что привело к росту цены токена.
Принудительная ликвидация: Из-за роста цены и отсутствия достаточного обеспечения позиция была ликвидирована, и HLP (HyperLiquid-Providers) взяли на себя убытки.
Получение прибыли: В результате манипуляции трейдер получил прибыль, оцениваемую в $6.26 млн, и продолжал удерживать около 10% от общего объёма токена.

Должного впечатления этот экономический взлом системы (как и технический Bybit) не произвёл на публику, потому что площадка перестраховалась:

Делистинг токена: После выявления подозрительной активности Hyperliquid провёл голосование среди валидаторов, в результате которого было принято решение о делистинге токена. Вроде, звучит верно: но будут ли всегда так делать и со всеми токенами? Очевидно: нет.
Компенсация пользователям: Hyper Foundation пообещал автоматически компенсировать убытки всем пользователям, кроме тех, чьи адреса были помечены как участвующие в манипуляции. Опять же: возможно ли это на постоянной основе? Нет.

Кроме того, возникают и следующие аспекты:

Вопросы децентрализации: Действия Hyperliquid вызвали вопросы о степени децентрализации платформы, поскольку вмешательство валидаторов и изменение оракульной цены могут противоречить принципам DeFi. И это важно: ведь вы можете в любой момент оказаться не на той стороне.
Сравнение с FTX: Некоторые участники сообщества сравнили ситуацию с крахом биржи FTX, указывая на потенциальные риски централизованного управления в децентрализованных платформах.

И это лишь единичный и далеко не исключительный случай. Поэтому стратегии следования работают ровно до того момента, когда вы сами становитесь жертвой…

Ошибка №03. Использовать сложные деривативы

К сложным деривативам относится:

Farming с более чем 2 элементами;
Looping автоматический;
Взятые плечи на фьючерсы/опционы/etc.;
Структурные продукты;
Деривативы из программируемых ассетов;
Деривативы AI-агентов;
Прочие.

Суть в том, чтобы сначала, например, торговать на фьючерсах, затем, на фьючерсах с частичным обеспечением, затем хеджировать через базовый актив и/или простую обёртку (stETH) и лишь после этого переходить к сложным деривативам.

Концентрированная ликвидность и дельта‑нейтральные стратегии

Uniswap v3 и ей подобные AMMs позволяет провайдерам ликвидности сосредотачивать капитал в выбранных ценовых диапазонах вместо всего интервала от 0 до ∞. Это прекрасно описано в разделе SwapS нашего курса.

Это повышает эффективность использования капитала и комиссионные доходы, но создает новые риски.

При резком движении цены за пределы диапазона LP-позиция «выходит из диапазона» и становится односторонней – вся ликвидность оказывается в одном активе (и перестаёт приносить комиссии).

В терминах деривативных рынков такая LP‑позиция эквивалентна продаже опционного стрэддла: она имеет и Δ (чувствительность к цене), и Γ (изгиб чувствительности). Напомню:

Данные 04

Например, как отмечается в аналитике, "LPs are selling straddle options" - продажа опционов на оба актива. То есть, опять же: поставщики ликвидности (LP) в AMM-протоколах (например, Uniswap v3) ведут себя финансово так же, как если бы они продавали стрэддл-опционы. (Об этом, кстати, в блоге есть целый цикл).

Это означает, что LP получает прибыль при низкой волатильности (цена движется чуть-чуть), но терпит убытки при сильных движениях в любую сторону (импермантентный убыток).

Капитализация такой позиции может меняться более волатильно, чем базового актива. Поэтому для снижения рисков часто применяют дельта‑нейтральное хеджирование LP:

Изменение состава LP при движении цены. По мере роста цены LP постепенно продаёт базовый токен в пользу второго, пока вся позиция не окажется в стейблкоине (или наоборот). Например, при выходе цены выше верхней границы LP содержит только USDC; ниже нижней – только ETH. Хедж-позиции необходимо учитывать этот сценарий (если LP стал всецело ETH, ранее открытый шорт ETH может оказаться уже перекрытым, и наоборот). Это вызывает повышенные риски подобных дельта-нейтральных позиций.
Комиссии против риска. Основная мотивация LP – сбор комиссий. Дельта‑нейтральный хедж снижает риск, но может уменьшить общий доход. Недаром в ряде исследований подчёркивается, что «справедливая» ставка финансирования power-perpetuals примерно равна LVR LP (ожидаемому доходу от LP). Иначе говоря, хедж‑ставки “отбирают” примерно те же доходы, что и диапазонные LP-позиции, сводя чистую прибыль практически к нулю при длинном горизонте.
Частота ребалансировки. Концентрированные LP требуют регулярной коррекции диапазона. Параллельно придётся и хедж-позицию перестраивать, иначе дельта-нейтральность уйдёт. Как показано в примере Parallel Finance, одно ребалансирование LP и хеджа стоит порядка 1,480,000 газа (≈0.055 ETH или ~$100 на Ethereum). На дорогом эфире это делает частые корректировки невыгодными. Однако на быстрых L2 (Arbitrum) стоимость газа в десятки раз ниже, что облегчает активное хеджирование.

Давайте сравним:

Обычный perpetual: линейная зависимость, 1 к 1 с движением цены.
Power-perp (ETH²): нелинейная (квадратичная) экспозиция, которая гораздо сильнее реагирует на рост и падение. График масштабирован (делён на 10⁴), иначе был бы слишком крутой.
Колл-опцион: доход только при цене выше страйка (2000), с ограниченным риском.

Power-perp даёт экспозицию, похожую на опцион, но без премии и экспирации (в данном случае), а значит, может использоваться для волатильных стратегий в DeFi (и во вне).

См. график:

Данные 05

Использование деривативов для хеджирования LP

Для хеджирования LP-позиций обычно используют бессрочные фьючерсные контракты (perpetual futures) и иные производные. Главная идея – открыть противоположную (по Δ) позицию, чтобы суммарная дельта стала близка к нулю.

Простые perps: В таких случаях хедж дельты получают, беря шорт (или дополнительный лонг) по базовому активу. Например, если LP содержит больше ETH, берут короткую позицию на ETH-фьючерс, эквивалентную дельте LP. После этого позиция перестаёт радикально реагировать на малые движения цены (но остаётся чувствительной к большим). Подобный подход называют «динамическим» или «линейным» хеджем: на каждый момент вычисляют текущую дельту LP и открывают такой же лонг/шорт в вечных фьючерсах. Звучит это просто, но на практике без автоматизации мало что даёт.
Power-perpetuals (или Squeeth-методика): Чтобы нейтрализовать и гамму, используют “power-perps” – контракты с выплатой не линейно от цены, а, например, от квадрата цены (ETH²). Такая идея приведена в исследованиях Atis: в подобных случаях комбинируют короткую линейную позицию и длинную по квадратичному perp, приближаясь к «обратной» кривой LP. Буквально это звучит так: «стартуют с относительно крупного шорта по волатильному активу, а затем добавляют меньшую долю power-perps», – в сумме получается компенсация невыпуклости LP. Формально можно взять LP (x0 ETH + y0 USDC), затем открыть long ETH² и short ETH-фьючерс в нужном соотношении: результат – Δ=0 и Γ≈0 в точке входа. В практическом примере full-range, скажем, WETH/USDC («50/50» по стоимости) может оказаться достаточно сделать 50% шорт по ETH и 12.5% лонг по ETH² (Squeeth). Чем уже диапазон LP, тем больше требуется Squeeth: для CL-позиции 66.7–200 USDC были получены коэффициенты ≈–0.615 (short) и +0.525 (long ETH²), например.
Опционы: Теоретически LP ведёт себя как «продажа стрэддла», поэтому для хеджирования можно купить опционные стратегии (путы/коллы). К примеру, покупка путов защитит от сильного падения, коллов – ограничит убытки при взлёте. Недостаток очевиден - опционные премии и срок экспирации. При небольшом числе LP-позиций на одних парах можно искать опционы на биржах типа Deribit или в DeFi (Deri, Hegic). Однако на практике при множестве пар подобрать набор опционов сложно и дорого. Особенно для стратегии глубинной диверсификации. Поэтому опционные стратегии лучше выстраивать отдельно и изолированно.
Кредитное плечо и займы: Практически это тоже форма хеджа: можно взять займ (или выпустить в кредитной форме) того актива, который нужен для сбалансирования. Но займы требуют обеспечения (маржи) и связаны с процентами, поэтому здесь всё сводится к риск-менеджменту по ним (и ликвидациям соответственно).

Каждый инструмент имеет свои особенности:

Стандартные perps просты и ликвидны, но дают только линейную (дельта‑нейтральную) компенсацию;
Power-perps же (Squeeth/ETH²) позволяют учесть гамму, но их рынок мал и финансирование высоко;
Опционы точны, но дороги и с фиксированным сроком;
Ручная ребалансировка (dynamic hedging) даёт гибкость, но требует затрат газа и времени.

Например, расчёты Parallel показали, что каждое ребалансирование LP+хеджа обходится в ~$100 на Ethereum, что может свести на нет выгоду от хеджа. Даже если убрать L1-комиссии и/или принять их за условный $0 на L2 (что ошибочно), всё равно останется проблема ребалансировки.

Попробую раскрыть на примерах.

Конкретные схемы и численные примеры

Пример 1 (линейный хедж): Full-range LP WETH/USDC. Пусть LP изначально содержит 6779 USDC и 1.448 ETH (цена 4360 USDC). Расчёт дельты дал Δ≈1.448 (то есть LP ведёт себя, как если бы он хранил дополнительно 1.448 ETH).

Чтобы нейтрализовать дельту, мы открываем short-позицию 1.448 ETH (фьючерс/etc.). В сумме портфель: LP + «‑1.448 ETH фьючерс» – близок к дельта‑нейтральному (благоприятен при прогнозируемых движениях, теряет при больших волатильностях).

Пример 2 (power-perp хедж): Полный 50/50 LP WETH/USDC. Как отмечено выше: оптимальным кажется вариант принять короткую позицию на 50% стоимости LP по ETH и длинную на 12.5% по ETH² (Squeeth). Точнее, если LP оценить в 100%, то шорт по ETH = –50%, лонг по ETH² = +12.5%. Это компенсировало бы основную нелинейность (LP). Но где на практике это можно сделать с достаточной ликвидностью?

Пример 3 (CL-позиция): Здесь, чем уже диапазон, тем больше «второго порядка» нужно для компенсации негативной гаммы, потому что:

Данные 06

То есть поскольку CL-позиция — это LP-позиция, ограниченная по диапазону цен, то мы фактически должны поставить на один возможный вектор и захеджировать его. Если же ставим на оба, то приходится использовать квадратичный подход, который на сегодня реализован мало где.

Не стоит забывать и про сценарии выхода из диапазона: если цена выходит за границу LP, позиция становится полностью в одном активе. При этом прежний хедж может вести себя иначе: например, если LP «выбит» вверх и стал весь в USDC, то шорт по ETH окажется без покрытия (и портфель становится net-shorted по ETH). Если же LP полностью в ETH (выбит вниз), то короткая позиция по ETH фактически покрывается удерживаемым ETH.

При успешном хедже на входе обычно рекомендуют закрывать или уменьшать хедж при выходе за границы, поскольку LP утрачивает риск изменения цены (и перестаёт приносить комиссии). Но опять же, на практике это означает не дельта-нейтральную позицию, а сложный структурированный продукт.

Плюсы и минусы подходов к хеджу, выбор размера

Нет хеджа (пассивный LP):

Базовый плюс в том, что нет затрат на деривативы и комиссий, максимальное участие в доходе от сборов.
Минус же тоже очевиден: весь риск волатильности, максимальные непостоянные потери.

Шорт/лонг базового актива (линейный хедж):

Плюсы: простота, ликвидность контрактов, часто достаточен для базовой защиты.
Минусы: компенсирует только дельту, оставляет гамму (потери от больших движений). В условиях боковика даёт профит (через сборы) при малой волатильности, но проигрывает при мощных трендах.

Power-perp (Squeeth и др.):

Плюсы: Позволяет компенсировать как дельту, так и гамму (приближает нелинейную форму выплаты LP).
Минусы: Мало платформ и низкая ликвидность (главный поставщик — Squeeth от Opyn был когда-то), высокие ставки финансирования (≈ LVR LP), сложность управления.

Опционные стратегии:

Плюсы: Позволяют точно сконструировать payoff (например, долгосрочный стрэддл).
Минусы: Высокая премия и ограничение сроком, можно получить убыток при внезапном сильном движении (особенно если опционы истекли).

Динамическое ребалансирование: + Гибкость (можно менять размер хеджа в зависимости от цены), повышение точности хеджа. – Постоянные транзакционные издержки (газ, проскальзывания) и торговые комиссии.

Рекомендации по размеру: Оптимальный «размер хеджа» часто берут равным текущей дельте LP. Например, в full-range LP пропорции близки 50% short по ETH (см. пример Alice). Для узких диапазонов нужен больший хедж (примеры: ~61.5% vs 50%). Считается, что при подходе к ребалансировке «идеальный» хедж равен той величине, при которой суммарная дельта равна нулю. Однако при сильных движениях это меняется – возможны пере- или недохеджи. В целом выбор зависит от риск-аппетита и ожидаемой волатильности: при низкой волатильности можно минимально хеджировать и полагаться на доходы от комиссий, при высоких рисках – сильнее шортить. Как пишет Atis, «шорт базового актива защищает от падения, а лонг – от роста», то есть если ожидается падение, разумно взять дополнительный шорт, а если рост – можно уменьшить хедж или перенаправить стратегию.

Рассмотрим график:

Данные 07

На графике по сути показан профиль прибыли (payoff) концентрированной LP-позиции (CL-позиции) в Uniswap v3:

Внутри диапазона ($1800–$2200) — максимум дохода в центре, постепенно снижается к краям.
За пределами диапазона — прибыль обнуляется, ликвидность не используется, позиция "зависает".
Этот график иллюстрирует невыпуклость (вогнутую форму), свойственную LP.

Именно такую форму можно сбалансировать или хеджировать, добавив позицию с выпуклой экспозицией — например, power-perpetual или опцион. Можно сравнить:

Данные 08

Из графика видно:

CL-позицию: максимальный доход в центре диапазона, падение к краям.
Power-perpetual (ETH²): выпуклый, усиливающийся профиль при движении цены.
Суммарный профиль: линия сглажена, края теперь не провальные, а компенсированы за счёт роста power-perp.

Эта иллюстрация и есть компенсация невыпуклости LP: получаем комиссии в центре и защищаем себя от сильных движений за счёт дериватива с положительной гаммой.

Добавим опцион:

Данные 09

Здесь:

CL-позиция — даёт доход в центре, но теряет прибыль при выходе цены за диапазон.
Call-опцион — начинает приносить прибыль только после $2200, компенсируя потери в рост.
Комбинация — защищает от «провала» вправо (вверх по цене), создавая асимметрично выпуклый профиль.

Но опять же - данный подход нельзя назвать универсальным.

Платформы и инструменты для практики

Для реализации описанных стратегий использовать можно разные DEX и площадки (в том числе те, кот. доступны в архиве):

Uniswap v3 (Ethereum, Arbitrum, Optimism и др.) – собственно AMM для создания LP-позиций с концентрированной ликвидностью. Через UI или смарт-контракты Uniswap можно открывать/модифицировать диапазоны LP. Это раздел SwapS на курсе DeFi-2025.
GMX (Arbitrum, etc.) – децентрализованная биржа спотовых и бессрочных фьючерсов. Предоставляет торговлю ETH, BTC и др. с кредитным плечом через пул GLP. Подходит для коротких/длинных позиций по базовым активам LP, обеспечивает ликвидность.
Perpetual Protocol (perp.com) – протокол фьючерсов с vAMM (на Arbitrum/Optimism). Позволяет торговать многими парами с кросс-маржином и низкими проскальзываниями. Но больше рекомендую как примеры шаблонов.
Deri Protocol (Arbitrum, etc.) – DEX для perps и power-perp. Поддерживает нестандартные фьючерсы, включая ETH^n. В академии Deri описаны методики хеджа IL именно через power-perp.
Opyn (Squeeth) – специфический продукт для power-перпетуалов на Ethereum/Arbitrum. Squeeth даёт выплату по квадрату цены ETH, часто используется для хеджирования гаммы LP. В 2024 закрыт, но для рассмотрения кейсов подходит.
Drift (Solana) – лидер среди Solana DEX для вечных фьючерсов. Предлагает кросс-маржин, высокоскоростной AMM + JIT-аукционы и книгу ордеров. Подходит для крупных или маржинальных операций.
Dolomite (Arbitrum) – протокол маржинальной торговли (лонги/шорты). Пользователи могут брать займы под залог других токенов и торговать с плечом. Это альтернативная площадка для шортов/лонгов, хотя не специализирована на фьючерсах. Сейчас многие стратегии не доступны, но для паттернов подходят в описательной части: app.dolomite.io/strategies.
Panoptic...

Понятно, что есть HYPE, DYDX, DERIVE, но их упоминание уже было, поэтому повторяться не буду.

CEXs и DEXs: Помимо вышеперечисленных децентрализованных, можно использовать и ЦЕХ: Bybit, Binance, dYdX (полностью on-chain на Ethereum), а также опционные площадки (Deribit, Hegic, Thales) для покупки опционов на нужные активы. Каждый инструмент имеет свои лимиты ликвидности, скорости исполнения и проскальзывания.

Но крайне НЕ рекомендую CEXs из-за их политики.

[Продолжение следует...]

До!

Взлом rsETH от Kelp DAO. Часть III. Позиция Kelp DAO. Перевод

2026-04-30T07:28:19.357Z

Взлом rsETH

Перевод

Ниже представлен вольный: https://x.com/KelpDAO/status/2046332070277091807 и мой краткий комментарий.

Коротко

18 апреля rsETH был выведен (drained) из bridging-адаптера rsETH с помощью поддельного кросс-чейн сообщения. Мы хотим обеспечить пользователям и партнёрам полное понимание ситуации, пока продолжается расширенный постмортем-инцидента.

Что произошло?

Две RPC-нода, размещённые компанией LayerZero, были скомпрометированы. Одновременно была проведена DDoS-атака на третий RPC-нод. Это была атака на инфраструктуру LayerZero.

Собственные системы Kelp не участвовали ни в построении, ни в эксплуатации этой инфраструктуры.

Реакция Kelp помогла сдержать ситуацию

Kelp обнаружил аномалию, приостановил все соответствующие контракты в сети Ethereum (mainnet) и L2, занёс в чёрный список все кошельки, связанные с эксплуататором, и привлёк SEAL-911.

Последующая попытка злоумышленника - с использованием ложно верифицированного (фантомного) пакета для атаки ещё примерно на 40 000 rsETH (ок. $95 млн) - была полностью предотвращена благодаря этим мерам.

О конфигурации DVN

Конфигурация DVN 1-of-1 - настройка, задокументированная в документации LayerZero и используемая по умолчанию для новых развёртываний OFT.

Kelp использует инфраструктуру LayerZero с января 2024 года и поддерживает открытый канал связи с командой LayerZero. Вопрос конфигурации DVN поднимался во время расширения Kelp на L2, и на тот момент было подтверждено, что настройки по умолчанию являются корректными.

Формирование общей и точной картины произошедшего - основа для совместной выработки правильных исправлений.

Дальнейшие шаги

Приоритет Kelp - пользователи и предотвращение распространения последствий (contagion) по DeFi. Мы работаем со всеми партнёрами экосистемы, чтобы проанализировать влияние, мобилизовать поддержку и рассмотреть все возможные меры по смягчению последствий.

Параллельно мы оцениваем следующие шаги - включая возможное возобновление работы протокола, оценку ущерба и дальнейший план действий — и взаимодействуем с Aave, LayerZero и другими ключевыми участниками экосистемы.

(Доп. данные по отмене в сети Арбитрум: https://x.com/lookonchain/status/2046438391030706479/photo/2).

Продолжение следует...

До!

Взлом rsETH от Kelp DAO. Часть II. Позиция AAVE. Перевод

2026-04-29T06:55:37.198Z

rsETH взлом

Перевод

Ниже представлен перевод и короткие мои комментарии по документу: https://x.com/aave/status/2048958367658332413... Ниже представлен план технической реализации восстановления обеспечения rsETH от DeFi United.

Общее описание

Коалиция DeFi United представила технический план по восстановлению обеспечения rsETH после инцидента 18 апреля. План охватывает полный цикл:

восстановление backing-а;
очистка позиций;
возврат рынка к нормальной работе.

Предыстория инцидента

18 апреля 2026 года был атакован мост rsETH (маршрут Unichain → Ethereum):

был подтверждён поддельный inbound-пакет;
при этом burn на стороне Unichain не произошёл;
в результате было выпущено 116,500 rsETH на Ethereum.

Дальше:

часть пошла как collateral в Aave V3 (Ethereum);
часть - в Arbitrum → Aave Arbitrum;
остальное - распределено по другим площадкам.

Сейчас:

ок. 107,000 rsETH находятся в активных позициях (Aave + Compound);
контролируются примерно 7 адресами атакующего.

Цель восстановления

Восстановить обеспечение rsETH
Закрыть позиции и вернуть collateral (~107k rsETH)

1. Восстановление обеспечения (Backing)

Цель - вернуть соответствие курсу: 1 rsETH ≈ 1.07 ETH.

Как это делается:

DeFi United привлекла необходимый ETH;
ETH будет депонирован в bridge lockbox (контракт: RSETH_OFTAdapter).

Механика:

ETH → конвертация в rsETH (по траншам);
rsETH → перевод в lockbox;
мост снова становится fully backed.

Дополнительно: LayerZero Labs и Kelp внедрили новые меры безопасности!

2. Очистка позиций и возврат collateral

Параллельно запускается процесс:

ликвидация 8 позиций на:

Aave Ethereum;
Aave Arbitrum.

Цель:

вернуть ок. 13,000 ETH из Aave;
суммарно примерно 16,776 ETH (включая Compound).

Техническая схема:

Временная корректировка oracle цены rsETH;
Контролируемая ликвидация позиций;
Формирование временного дефицита;
Перевод rsETH collateral в multisig DeFi United;
Восстановление oracle цены.

rsETH → redeem через Kelp → ETH;
ETH → покрытие дефицита.

Все изменения параметров:

временные;
после завершения - полностью откатываются.

3. Восстановление нормальной работы

Финальный этап:

разморозка:

rsETH;
ETH;

восстановление LTV;
возвращение стандартной конфигурации рынков.

Сети:

Ethereum Core;
Arbitrum;
Base;
Mantle;
Linea.

Риски и ограничения

Требуются governance-апрувы;
Возможное вмешательство атакующего;
Остаточные риски в bridge-инфраструктуре;
Восстановление идёт траншами, не сразу.

Ключевой вывод

Это не просто “залить ликвидность”, а многошаговый recovery loop: ETH → rsETH → lockbox → ликвидации → redeem → ETH → закрытие дефицита.

Продолжение следует...

P.S. Дополнения от 30.04.26

Взлом rsETH от Kelp DAO. Часть I. Позиция Layer Zero: перевод и комментарий

2026-04-22T04:37:01.667Z

rsETH хак

Перевод

Это вольный перевод: x.com/LayerZero_Core/status/2046081551574983137, который снабжён (в основном - в конце) моими комментариями.

Заявление об инциденте KelpDAO

18 апреля 2026 года KelpDAO подвергся эксплоиту примерно на $290 млн.

Предварительный анализ указывает на высокотехнологичного государственного атакующего, вероятно группу Lazarus Group (конкретно - TraderTraitor).

Инцидент был локализован исключительно в конфигурации rsETH, и его причиной стала архитектура с одним DVN (single-DVN setup).

Никакого заражения (contagion) других активов или приложений нет.

Механика атаки

Целью атаки стало:

отравление (poisoning) downstream RPC-инфраструктуры
используемой DVN от LayerZero Labs

В результате:

DVN начал принимать поддельные cross-chain сообщения
атакующий смог минтить фейковые rsETH

После инцидента:

все скомпрометированные RPC-ноды (были) отключены
инфраструктура заменена
DVN снова работает в нормальном режиме

Контекст: архитектура безопасности LayerZero

LayerZero использует модульную безопасность:

DVN (Decentralized Verifier Networks) - независимые валидаторы сообщений;
Каждое приложение само выбирает конфигурацию безопасности.

Важно! Нет "дефолтной" безопасности и всё зависит от настройки интегратора!

Что LayerZero рекомендует?

использовать multi-DVN setup
обеспечивать:

diversity (разные провайдеры)
redundancy (избыточность)

Нельзя при этом полагаться на один DVN → это single point of failure!

Почему произошёл эксплойт?

Конкретно у KelpDAO:

конфигурация: 1-of-1 DVN
единственный валидатор: LayerZero Labs

Последствия:

не было второго валидатора
никто не проверил поддельное сообщение
система доверяла одному источнику → он был скомпрометирован

Итог: поддельные cross-chain сообщения прошли как валидные

Почему нет contagion?

Во-первых, проблема была не в протоколе LayerZero, а в конкретной настройке rsETH!

Другие приложения:

используют multi-DVN;
имеют redundancy;
защищены от такого сценария.

[Прим. Menaskop: резонный вопрос о том, почему вообще позволили выставить 1-к-1, конечно же, не задан].

Данные 01

Так что произошло именно?

18 апреля 2026 года DVN от LayerZero Labs стал целью высокотехнологичной атаки, вероятно связанной с Lazarus Group (конкретно — TraderTraitor).

Атака была специально разработана для: манипуляции / отравления downstream RPC-инфраструктуры, которую DVN использует для проверки транзакций.

Важно:

это не был эксплойт протокола
не был взлом DVN
не было компрометацией ключей

Как именно прошла атака?

Атакующий:

Получил доступ к списку RPC-нód, используемых DVN
Скомпрометировал 2 RPC-ноды

они были независимыми
работали в разных кластерах
не были напрямую связаны

Подменил бинарники на нодах (op-geth)

Почему DVN не взломали напрямую?

Из-за принципа least privilege: атакующий не смог получить доступ к самим DVN-инстансам, (зато) использовал RPC как точку входа (pivot).

Ключевая техника: RPC spoofing

Атакующий запустил вредоносную ноду, которая:

отправляла поддельные данные DVN
но при этом:

всем другим IP (включая мониторинг)
возвращала реальные (честные) данные

То есть: DVN → получает фейк: все остальные → видят “правду”. Это позволило:

обойти системы мониторинга
скрыть аномалии

Payload атаки

Использовался кастомный payload, который:

формировал поддельное сообщение
минимизировал сигналы тревоги
был специально заточен под DVN

Анти-детекция

Атака была очень продуманной:

скрытие от observability-инфраструктуры
избирательная подмена данных
самоуничтожение:

отключение RPC
удаление бинарников
очистка логов и конфигов

Но (и) этого было недостаточно! DVN использует:

trust-minimized модель
несколько RPC (внутренние + внешние)

Поэтому просто подмены RPC было недостаточно!

Финальный шаг: DDoS

Атакующий провёл DDoS на не-скомпрометированные RPC

В результате:

система переключилась (failover)
на скомпрометированные RPC

И только после этого поддельное сообщение прошло!

Коротко (суть атаки)

Компрометация части RPC
RPC spoofing (фейк только для DVN)
DDoS остальных RPC
Failover → poisoned RPC
DVN принимает фейковое сообщение

Данные 02

DDoS-атака на внешние RPC-ноды.

Данные 03

Попытка обращения к внешним RPC во время атаки

Внутренняя попытка обращения к внешним RPC в момент атаки

В результате этой манипуляции DVN, управляемый LayerZero Labs, подтвердил транзакции, которые на самом деле не происходили.

Проверка через RPC - фундаментальное ограничение всех оффчейн-сервисов, включая:

мосты (bridges)
биржи
и другие инфраструктурные решения

Мы делимся этими выводами, чтобы индустрия могла лучше понять и адаптироваться к новым типам атак.

Безопасность LayerZero Labs

Мы хотим подчеркнуть, через какую среду пришлось пройти атаке:

полная система Endpoint Detection and Response (EDR) на каждом устройстве
контроль доступа на уровне приложений
полностью изолированные среды
полное логирование систем
выделенная внутренняя команда безопасности
внешние security-подрядчики
финальная стадия аудита/сертификации SOC2

Инфраструктура DVN:

использует комбинацию:

собственных RPC-нód
внешних RPC-провайдеров

чтобы ни один провайдер не был точкой отказа

Дополнительно:

строгий контроль устройств
политики доступа по принципу least privilege
многоуровневая аутентификация
регулярные проверки доступа

Дальнейшие действия (Path Forward)

DVN от LayerZero Labs уже работает в штатном режиме
приложения с multi-DVN конфигурацией могут безопасно продолжать работу

Важно:

все проекты с конфигурацией 1/1 DVN получают рекомендации:

перейти на multi-DVN с избыточностью

DVN LayerZero Labs:

не будет подписывать или подтверждать сообщения
для приложений с конфигурацией 1/1

Расследование и меры

LayerZero Labs взаимодействует с правоохранительными органами по всему миру и помогает:

отслеживать средства
совместно с партнёрами и Seal911

Ключевая позиция

Протокол LayerZero:

работал корректно
уязвимостей не обнаружено

Главный архитектурный вывод

Если бы система была:

единым (монолитным) решением
или
системой с общей безопасностью

Заражение (contagion) могло бы быть масштабным, но благодаря: модульной безопасности LayerZero получилось:

атака изолирована на одно приложение
0 заражения всей системы
ни один другой OFT или OApp не пострадал

Итог

LayerZero подтверждает приверженность:

безопасности
целостности экосистемы

и будет публиковать обновления по мере развития расследования.

Доп. комментарии Menaskop

Конечно, разгильдяйство на $200M++ невозможно, но... оно случилось. И случилось оно потому, что одна сторона позволила,а другая - приняла безумные условия.

Т.е. мы не можем сказать, что Layer Zero не виновны, как и Kelp DAO. Но это лишь 1-я часть - итоги полные будут в конце, а пока всё и

До!

DeFi. Morpho - идеальный лендинг, а AAVE плох? За-против. Часть II. rsETH-кейс

2026-04-21T11:25:33.352Z

Morhpo и другие молодцы...

Для тех, кто прочёл первую часть

Если вы изучили её и подумали, что атаки экономического типа - это “нечто несерьёзное”, как написал мне один подписчик, то спешу вас огорчить:

Важное видео.

Как видите, видео вышло 6 лет назад, но каждая из описанных атак всё ещё актуально.

Мой дисклеймер, которому почти 6 лет

Второй дисклеймер тоже оформлен видео, кот. также почти 6 лет:

И ещё одно...

Собственно, из него вы поймёте, почему модель любых обёрток - деривативная и страдают всегда не верхнии, а нижние слои (ETH в данном случае).

Итак что там с Kelp?

… утро воскресенья 19.04.26 для многих было не добрым: Kelp DAO через Zero Layer взломали. Пострадали при этом больше всех… участники DAO AAVE. И всё - “полилось”:

Ethereum - никому не нужен;
AAVE - отстой;
Layer Zero - тормоза…

Но это всё сопли и вопли. Давайте разберёмся конкретно. И точно.

Смин называют это не иначе как кризисом и делают акцент на том, что “пострадали все”. Но что помимо этого важно?

№01. Время решает всё

За последние годы хакеры научились “отмывать” средства за 2-3 минуты, поэтому время стало критически важным аспектом любой атаки (да и было, просто значимость его и значение - усилились ещё).

Поэтому время реакции Kelp DAO в 46 минут - до невозможности много.

Что до AAVE, то у них, “начиная с 18:52 UTC, Guardian немедленно инициировал заморозку рынков rsETH и wrsETH во всех (типах) развёртывания, где присутствует этот актив”.

Собственно, один из участников форума верно написал: “Главная проблема: Guardian работает в человеческом времени; атакующие действуют со скоростью мемпула. Вывод: ручное вмешательство больше не подходит для протокола такого масштаба”.

И здесь нужно для себя решить непростой вопрос:

Вы за эгоистичное решение для каждого протокола, т.е. сохранил свои деньги - и хорошо;
Или же вы за решение именно для протокола: заморожены депозиты, но всех, чтобы все в итоге или не пострадали, или пострадали ограниченно.

Ответы на эти вопросы не такие простые, как кажутся. Но давайте тоже по порядку.

№02. Риски, на которые (почти) все забили

Здесь мы с вами получили ситуацию, где все риски, которые прописываются в дисклеймерах, отработали “на ура” (правда, кричать было некому: разве что хакерам):

Риск рестейкинга: arxiv.org/pdf/2604.03274 - очевидный и затронутый мной более 100 раз за 3+ года, т.к. я - большой противник обёрток для новичков. Но не противник обёрток вообще - это очень разные подходы!
Риск смарт-контрактов: Layer Zero - огромный проект, но потому его дыры сразу становятся чёрными дырами ликвидности - и поэтому: я - большой противник позиции, что мы уже имеем готовую DeFi-инфраструктуру - надо “лишь собирать проекты из кирпичиков Lego”. Это чушь и ложь.
Риск человеческого фактора: более $6B было выведено за последнее время из AAVE, т.к. сначала пошли те, кто понял, потом те, кто точно не понял, затем те, кто поддались FUD, а дальше - те, кто стал переживать за цепную реакцию (колесо не фортуны, но смерти).

Поэтому оценка рисков - это не написать слово “DYOR”, а объяснить, когда, как и почему они возникают.

№03. Что не учтено? Почти

Многое. Перечислю несколько очевидных тезисов, на которые мало кто обратил внимание:

AAVE зарабатывает $100M в месяц (порой - больше, часто - меньше) как протокол именно и поэтому 2 месяца работы протокола в ноль - это ещё не кризис. Понятно, что казна AAVE - это совсем другой аспект, но ведь поэтому, собственно, это и разные феномены.
AAVE заморозили активы, чтобы разобраться в ситуации и выстроить алгоритм возврата средств, а не с бухты барахты: и процесс заморозки записан в постулатах ДАО и применялся не раз. И на момент выхода статьи - уже есть заявление внятное от них (чего не скажешь про Kelp и даже про LZ).
AAVE - всё ещё самый крупный лендинговый протокол, но они лишились своей тех. команды и испытали за последний квартал множество форс-мажоров, включая уход и риск-менеджера, поэтому по оценке CPD они уже не tier-1.

И теперь вообще нет лендинговых не кастодиальных протоколов tier-1-формаа. Совсем. Это, пожалуй, главный для меня вывод

Umbrella - не просто так создание

Уже давал ссылку, поэтому здесь скажу вернее: это решение изначально было создано для защиты, но сейчас AAVE не хочет его применять, т.к. риск того, что больше к нему никто не вернётся - возрастёт колоссально.

Суть атаки

Суть атаки описывать 1001-м способом я не буду, но дам вам документы, которые тщательно изучил сам (и только потом скормил ИИ, чтобы сравнить свои и его выводы):

AAVE-обсуждение: governance.aave.com/t/rseth-incident-2026-04-18/24481
Layer Zero отчёт (будет перевод в блоге): x.com/LayerZero_Core/status/2046081551574983137
Базовый твит LZ: x.com/LayerZero_Core/status/2046081551574983137
Базовый твит Стани: x.com/StaniKulechov/status/2045595382986559987
Базовый пост Kelp: x.com/KelpDAO/status/2045595819035046148
Базовый пост AAVE: x.com/aave/status/2045593585966252377
Разбор: defiprime.com/kelpdao-rseth-exploit

Ончейн можете сами всё проверить:

0x5d3919F12bCc35c26Eee5F8226A9bee90c257Ccc
0xBb6A6006Eb71205e977eCeb19FCaD1C8d631C787
0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF
0xeBA786C9517a4823A5cFD9c72e4E80BF8168129B
0xCBb24A6B4DAfaAA1a759A2F413eA0eB6AE1455CC
0x8d11AeAC74267DD5C56D371bf4AE1AFA174C2d49

Супер-коротко:

Из-за подписи 1-к-1 (я отказываюсь это комментировать);
Были напечатаны rsETH “из воздуха”;
И они породили проблемный (плохой) долг в AAVE (не только там, но там - больше всего).

Виноваты прежде всего LZ на мой взгляд (и не только на мой): проект с такими инвестициями и ТАКОЙ капитализацией НЕ имеет право так устанавливать политику DVN. Перекладывание же ответственности на хакеров из Северной Кореи - устоявшийся шаблон, но он тоже не в пользу LZ.

Если точнее: “Группа Lazarus не воспользовалась уязвимостью протокола LayerZero. Вместо этого они нацелились на инфраструктуру RPC, которую LayerZero DVN использовал для проверки транзакций. Злоумышленники скомпрометировали два независимых RPC-узла, заменили их бинарные данные на вредоносные версии и спроектировали эти узлы так, чтобы они показывали поддельные транзакции исключительно DVN, одновременно передавая точные данные всем остальным наблюдателям, включая собственные системы мониторинга LayerZero”.

AAVE vs. Morpho? Нет: AAVE + Morpho

Цитата 00

Сразу же пошли рукоплескания в сторону Morpho, Euler и других “конкурентов” AAVE. Благо - не долго…

Я согласен с теми, кто работает с Морфо, но равно я согласен с теми, кто работает с AAVE: это и есть децентрализация и осознанный выбор.

Но проблема не в том, что на Euler совсем недавно из-за депега USR были недоступны выводы, а Morpho за последние 3 года переживал немало собственных, векторных атак. Но обо всём по порядку.

Баги и фичи Морфо

Они описаны мной в 1-й статье - не буду повторяться. Но сейчас должно стать очевидно следующее:

Технически изолированные рынки выглядят более защищёнными;
Экономически и социально (организационно) - не факт.

Поэтому мой подход прост: не просто не класть все яйца в 1 корзину, но и иметь помимо куриных, перепелиных и т.п. яиц - овощи (которые сложно разбить, но они могут сгнить), фрукты и т.д. И здесь опять подход про 70/30 - 25/4 - и далее по списку.

Баги и фичи Euler

Собственно, дело не в токене, который упал от ATH на 90%+, а именно в архитектуре: простой и доступный лупинг показал себя хорошо на стадии, когда всё хорошо, когда же возникают проблемы у хранилищ - они возникают и во всех стратегиях. Resolv - это лишь один, но весьма яркий пример.

Баги и фичи Fluid

Здесь просто оставлю ссылками:

Суть в том, что подход протокола имеет свои изъяны и недостатки.

Модель швейцарского сыра

Почему мы её не применяем после CPD-анализа? Думаю, потому, что она кажется сложной, но суть-то примитивна: дыра каждого протокола - перекрывается достоинством другого и наоборот. Чем больше протоколов (хотя их и должно быть ограниченное количество, скажем, 3- 5-10) - тем выше вероятность перекрыть почти любые риски и форс-мажоры.

Давайте вернёмся к нашему примеру…

Сравнение ситуации по AAVE и Morpho на rsETH взломе

Таким образом, если бы у Morpho было больше ликвидности, а у AAVE меньше (это важно: пока есть выбор - всегда будет слишком много “но”), то взлом бы пошёл по пути совершенно иному: ведь, вспомните, депег у Resolv вызвал проблемы аж у 15 хранилищ, а хак rsETH - лишь у 2.

Но случилось так как случилось и надо исходить из этих, “сырых”, данных, а не просто гипотез “из головы”, поэтому:

Да, изолированные рынки Morpho выглядят привлекательно, но они решают проблему технических, но не экономических атак;
Да, Morpho задели всего на $1M, а не на $177M, но и ликвидность не сопоставима (см. ниже);
Да, AAVE описали проблему, но не решили.

Но давайте попробуем теперь расширить эту ситуацию в целом на рынок? Смотрите, какие тезисы я собрал из чатов… Т.е. попробуем посмотреть на картинку в формате “от общего к частному”: где общее - это Web 3.0 в целом, а частное - это как раз всё вокруг кейса rsETH + AAVE.

Рестейкинг не нужен

Цитата 01

Т.е., вроде бы, всё логично? Но давайте посмотрим на это же с другой стороны. Возьмём для примера… кошельки: они-то уж точно востребованы на рынке. Да, но:

Кошельки нулевого поколения, навроде Bitcoin.Core, монетизировать, мягко скажем, трудно, поэтому монетизация у Trust Wallet, Metamask, etc. идёт не тем, что вы платно ставите что-то, а через свопы, выпуск карт, комиссии с ОТС-обменов и т.д.
Конкуренция среди кошельков огромная, но лишь некоторые достигают десятков миллионов реальных пользователей, а тем более - постоянных, поэтому фактически борьба идёт не столько за старых, сколько и за новых пользователей тоже;
Наконец, кошельки сначала ушли в специализацию: Metamask - для EVM, Phantom - для Solana, Tron, etc., Electrum - для Bitcoin, а потом выяснилось, что побеждает процесс интеграции.

Поэтому всё, что происходит на рынке (ликвидного) рестейкинга - это нормальный процесс для Web 3.0 & Web3, т.к. эта сфера “живая” и главное - развивающееся: ни моделей монетизации здесь нет 100% верифицированных, ни моделей привлечения клиентов - ничего шаблонного здесь нет.

Означает ли это, что все в рестейкинге выживут? Конечно нет! Более того - как раз без пивотов не выживет никто. Абсолютно.

(w/etc.)ETH никому не нужен?

Цитата 02

Таких сообщений по чатам - огромное число. Но весь секрет прост: как раз Биткоин никто сейчас НЕ использует (да и многие др. сети, включая убийц эфира), поэтому и новостей с ним никаких ровным счётом нет. HODL - круто, но Ласло Ханич доказал: без функций денег (займ, платёж и проч.) биткоин - гиковская игрушка и не более.

При этом второй тейк такого же рода - про обёртки:

Цитата 03

Проблема в том, что в DeFi используются и обёртки bitcoin тоже и по ним риск ЕЩЁ больше, чем по ETH: они почти все - кастодиальные, у них всегда есть проблема корректировки по 2-м чейнам и в целом питать иллюзий не стоит в этой области. HODL bitcoin vs. HODL ETH ничего не даёт. DeFi BTC vs. DeFi ETH при прочих равных будет… в пользу ETH. Или вы уверены в другом? Пишите - обсудим…

DeFi никому не нужны?

Прямое заявление звучит так: “DeFi мертво”. Но вот вам скриншот из одного из чатов про децентрализованные финансы: схожие реакции - повсюду.

Цитата 04.00

Или ещё:

Цитата 04.01

Или ещё:

Цитата 04.02

Для начала - слово статистике:

Данные с Incrypted и Memento Res.

Взломов - просто огромное число и они не на 5 коп., а на миллиарды долларов уже (суммарно). Но так ли это плохо?

Вспомните взлом Bybit, кот. обвинили во всём всё тех же северокорейских хакеров и ничего не сделали в итоге (кроме дампа рынка, естественно, - это они умеют хорошо: лучше них - только Binance), а заодно и Safe.

Что сделали Safe? Ввели все доп. защиты, кот. раньше я и др. продвинутые пользователи использовали в ручном режиме в автоматические проверки и… стали лучше!

Да, не все выживают после взломов: по статистике - до ⅔ проектов закрываются. Но, значит, у них не хватило сил, внимания, терпения, а главное - компетенций. Как бы обидно не было.

Аналогично - про каждого из нас: где и что потеряно - наши фейлы, но без них опыт реальный невозможен. Идеальный - да, но он есть только у блогеров, кот. рассказывают, что они делали БЫ, но не сделали в итоге.

Почему снова столько FUD?

Первый и очевидный мой ответ - это необразованность. Пример:

Цитата 05

Т.е. человек УЖЕ участвует в пулах (и наверняка - под займ всё это брал в AAVE), но не может разобраться в простых шагах, как связаны и связаны ли его ETH в пуле и в AAVE-депозите (или не в его).

Второй очевидный ответ - это спекуляции: рынок опционов (см. ниже) это подтверждает. Ниже был другой скрин, но сегодня попался пост ещё “лучше”:

Цитата 06

И поэтому третий ответ - это отсутствие нужного соотношения навыков. Да, именно так: все кинулись обучать ИИ-модели, хотя не всему научились сами: AI-то обучится, но вот сможете ли понять его вы именно?

Что помогает мне?

Сначала - коротко:

Аппроксимация;
Диверсификация;
Классификация (4К, CPD, etc.);
Верификация;
Мобилизация.

Теперь - подробней. Про каждый пункт.

Аппроксимация

Если смотрели мои бесплатные курсы по Web 3.0 безопасности, DeFi и т.д. (в общей сложности - каждый год их проводим с командой DAO Synergis от 1 до 5 шт. уже 10-й год подряд), то знаете, что всегда я - большой сторонник упрощения, или, как называю это ещё, примитивизации.

Почему?

Собственно, как раз рассматриваемый случай даёт подсказку: НЕ можем оценить всех рисков, поэтому задача сделать модель устойчивой к ЛЮБЫМ рискам. А для этого надо:

Знать общий набор элементов;
Осознавать базовые риски по каждому из них;
Видеть фундаментальные риски по связям;
Не просто проводить DYOR, а (в)вести реальный риск-менеджмент.

До последнего шага по моим ощущениям, которые базируются на опыте и аналитике различных ресурсов, до последнего шага доходит едва ли 1%. Но примитивизация позволяет это, внимание, сделать каждому!

Диверсификация

В частности, надо мной часто потешаются, когда говорю, что на каждую сделку надо выделять 1-3% (при умеренном риске), т.е. с условного $1M внутри DeFi (а не вообще) - это $10k примерно. Или чуть больше - если хотите пощекотать нервы.

В итоге сейчас у меня застряло в AAVE 7 эфиров (на момент выхода статьи - уже нет, т.к. ликвидные рынки обмена нашлись), но это тот риск, который 100% смогу покрыть (тем более что видится мне, что проблема не протокола, а сугубо техническая, но всегда оставляю такие вещи на разбор):

Доходом из DeFi;
Кубышкой с “холода”.

И по этой причине никогда не доверяю AAVE, Morpho, Euler, etc. полностью: распределяю активы между ними в разных пропорциях. И система CPD здесь №01 защита, но, что важно, не единственная.

Для большинства же диверсификация - это купить биток, эфир, завернуть их в 3-4 обёртки и использовать “по назначению”. Нет, так не работает: 70/30, 25%/4, 1% на сделку, распределение по сетям, протоколам и приложениям - всё это уровни диверсификации. И “чейновые” разделения - в том числе.

Коротко: диверсификация - всегда про “сделать”, а не “сказать”. Другой вопрос, что КАК и ЧТО делать - описано выше.

Классификация

Без своих методик (4К, CPD, etc.) давно бы потерял и то, что заработал; и то, что скопил; и то, что сэкономил; и то, что приумножил. Поэтому множество статей по разделению чейнов, крипто-активов и т.д. - не просто теоретические упражнения, а подготовка к жёсткой практике. Это сложно на каждом шаге, но как система это работает точно и сильно проще, чем думают о ней многие.

Собственно, про риск рестейкинга - как раз материалов у меня хватало: но кто их читал до этого взлома?). Думаю, что и после взломов читать не будут.

Верификация

Когда уже всё узнал, всё понял и сделал, надо пройтись 2-й раз (а потом и 3-й) и проверить: без постоянных правок, полученных путём каждодневной практики ни одна теория работать не будет.

Слышали про “динамическое хеджирование” на рынке опционов? Здесь всё то же самое: весь рынок DeFi (для меня) - это в основном рынок деривативов: и речь не про perp DEXs только, а про то, что rsETH, скажем, - это дериватив: даже если вы этого НЕ понимаете.

Поэтому не верю в DeFi формата: “положил и забыл”. Забыл разве что забрать свои же деньги, потому что их вывели за тебя…

Мобилизация

Данные

И да, в DeFi важно действовать обдуманно, но быстро, т.е. мобильно: понял, что волатильность нас ждёт по ETH? Так сделай стрэддл/стрэнгл и верни себя хотя бы часть (возможных) потерь.

И это возможно только в 1-ом случае: если стратегия продумана, а не стратегии выбраны.

Жадность - главный индикатор

Да, именно так: я сам работал с Kelp DAO и не 1 месяц, но после их дропа - вышел из проекта, т.к. они начали жадничать: зачем мне 5% в обёртке эфира, если я могу куда быстрее получить в более надёжных и ликвидных 4%?

Но логика толпы работает иначе. И вот к чему я пришёл на сегодня…

Мои тезисы, озвученные ранее

Вы рискуете ради 10%, пусть даже 15% годовых и это риск на новых протоколах (даже 10 лет - это не срок для IT: да, именно так).
Вы проходите всё от и до по рестейкингу: в нативной сети Эфира? Не думаю, т.е. вопрос общий таков: “Вы проходите весь путь тестово и в нужных чейнах и сетях до основной работы с ними или нет?”. Большинство отвечает нет.
Инфраструктура не готова: это тезис, за который я “борюсь” последние месяцев 6-9: VCs всех убедили в обратном, но чем это обернулось?

Поэтому я для многих выгляжу как дотошный дурак, но на самом деле мы сейчас в эпоху, когда миром правят дураки, а не трикстеры, а трикстер - это тот, кто стремится к чистому p2p, понимая, что входить в этот процесс можно лишь постепенно - итеративно, если хотите.

И отсюда, как ни странно, получаем следующие выводы…

Взлом rsETH, остановка AAVE и проблема экономических атак: как это связано?

Ещё раз напомню вам про видео: я его смотрел в прошлый раз весьма внимательно и читал доп. статью по выступлению. Зачем? Затем, чтобы потом пойти и проработать т.н. экзогенные риски для всех протоколов, с которыми работал. И копился эта теперь велика. Приведу лишь ряд примеров:

Атаки по токену: Aragon и его трежери;
Атаки по финансам: HYPE и манипуляции с активами;
Депеги обёрток: wBTC, (etc.)ETH, etc.;
И многое другое.

Поэтому от рестейкинга я не ушёл, но за эти 3+ года выбрал то, с чем работаю, как и когда (об этом, возможно, будет отдельный материал).

Вторая история - это… ИИ: он усиливает атаки социального типа и экономического, а не технического. И значит нам нужно понять:

Мы жертвуем капитало-эффективностью - как в Морфо;
Или же мы жертвует p2p-подхом - как в ДАО слое AAVE?

Вот вам цитата известного DeFi-щика (Егорова): “Неизолированное кредитование, как в Aave, очень рискованно (хотя оно и самое капиталоэффективное). Aave v4 с моделью hub-and-spoke, вероятно, менее рискован. Morpho тоже. А кредитование на Curve, как и Silo, вероятно, самое изолированное → самое безопасное в этом отношении”.

Читается круто? И нужно переходить на Curve? Нет, потому что у этой ссистемы было своих проблем - ворох:

Взлом DNS (адреса сайта, попросту говоря);
Взлом моста;
Взлом на $61M;
И др.

Поэтому мой подход: “НЕ доверяй, НО проверяй”. Звучит абсурдно? Но это единственное, что работает. Большинство же полагается на… авторитет. И TVL - а это тоже авторитет, выраженный через цифры, т.е. большинство выстраивает систему на неком доверии, но важно раз и навсегда осознать, что важно управление без- и вне-доверительное.

Отсюда получаем, что другая цитата, которая пересекается с предыдущим моим постом и звучит так:”Протоколы кредитования более рискованны для размещения средств, чем DEX-ы. Пул USDC/USDT на Curve имеет экспозицию только к двум активам в пуле, а Aave имеет экспозицию ко всем добавленным туда активам”, - на самом деле о том, что и здесь умолчали о всех рисках, подсвечивая лишь ОЧЕВИДНЫЕ положительные аспекты одной отдельно взятой схемы.

Но, как вы уже поняли выше, экзогенный риски - не пирожки с капустой: они, риски эти, всегда горячие, а не только в моменте, когда их вытащили из печки, т.е. когда кто-то донёс их до рынка: пусть и через взлом!

Не верите? Тогда сравните случаи Wazirx, Radian, Bybit, а потом вспомните, что ДО взлома моста ZL на rsETH был взлом похожий с DOT…

Или вот вам ещё пример из того же блога, что цитирую: “Вчера я заметил несколько необычных обменов в пулах на Curve, связанных с Yield Basis. Сначала я очень заволновался (всегда стоит разобраться, когда видишь что-то странное), но оказалось, что причина в том что кто-то обменял 50 млн USDT на AAVE стоимостью 36 тысяч долларов (да-да, именно так!)...”. Это то, что описывал в 1-й части: ещё пару лет назад подобное в целом было невозможно на AAVE, а сейчас - да: и не важно, что кейс всего один, т.к. $50M - это бюджет целого малого города и много где. А суть атаки - экзогенные риски.

Или вот ещё: Атакующий (или группа) использовал собственные средства, чтобы намеренно понести убытки в размере около $3 млн, но при этом заставил казну Hyperliquidity Provider (HLP) — пул ликвидности, обеспечивающий торговлю — понести убытки, превышающие $5 млн.

Price manipulation через thin liquidity (JELLY / XPL / low-cap токены)”. Всё легально, но экзогенные риски снова в деле. И в целом внутри Liquidity vault drain (HLP attack) они есть, были и будут - как бы именовать этот слой и хранилище не/ни стали.

Поэтому вот в какие ловушки вы можете попасть, если будете протоколы оценивать лишь внутри, а не снаружи; или в статике, а не в динамике:

Иллюзия безопасности (главная ловушка): куча аудитов, большой TVL и т.п. - это про внутренние риски, а не внешние: скажем, в Morpho - то, что “заразить” можно НЕ весь протокол - не делает защищённой Вашу позицию именно: ломается рынок - появляется этот риск (ломку частично описал в прошлый раз: будет ли подробный анализ сверх-того - посмотрим по реакции);
Риск оракула снаружи всегда выше риска оракула внутри: USR-риск - об этом, но об этом же и rsETH-риск: ведь оракулом здесь выступал LZ, если вы правильно оцениваете кроссчейн-мостование;
Ликвидность рынка - это ВСЕГДА внешний фактор: об этом нам говорит “кочующая” (“прыгающая”) ликвидность на Blast, ZkSync, etc.; об этом же свидетельствуют 6-8 млрд. выведенных средств в AAVE “сегодня”; об этом же твердит и сам “обмен” не обеспеченных rsETH;
Reflexivity / death spiral внутри рынка: если вы пришли к ситуации, что collateral падает, ликвидации приводят продаже collateral (через цикл), цена падает ещё, а это вызывает новые ликвидации, то будьте уверены, что вы рискуете не только как кредитор, но и как заёмщик. И это - тоже ВНЕШНИЙ риск;
Риск параметров (LLTV, liquidation bonus и др.): LLTV может быть слишком агрессивным на p2p-рынках? Может. Liquidation bonus может быть слишком маленький? Да (и это беда для ликвидаторов). А слишком большим? Да. И, вроде, это системный риск внутри конкретного рынка, но он же одновременно и внешний.
Риск куратора (underrated) - для протокола, такого как Morpho, ВНУТРЕННИЙ риск, но куратор выбирает collateral / debt и настраивает параметры, а это уже риск ВНЕШНИЙ. Будет ли лежать под капотом плохая экспертиза, конфликт интересов, желание разогнать доходность/etc. - не важно.
А как на счёт риска состава активов (pair risk)? Скажем, wstETH / USDC → нормально? Вроде, да. А rsETH / ETH? Тоже до поры до времени - да. А если это exotic / exotic → то как?... Но может ли этот “экзотический фрукт” (читай - ассет) лежать в обеспечении крутого актива? 100%: посмотрите на то, как менялся коллатерал DAI (предшественника даже не рассматриваем) и USDs: у последнего RWA-деривативов - пруд пруди. И это внутренний риск SKY, но для Morpho - уже внешний: info.skyeco.com/collateral:

Статистика

8. Плохой долг (bad debt) не спасается протоколом: в отличие от Aave у перечисленных выше протоколов часто нет общего пула безопасности и убытки остаются внутри конкретного рынка, поэтому так внутренний риск снова мигрирует во внешний и обратно.

9. Freeze risk (как с sETH): когда что-то идёт не так: рынок могут заморозить? В общем случае - нет, поэтому для тех, кто идёт туда через vault этот риск становится внешним, а не внутренним. При этом добавление в collateral, ликвидации и т.п. всё ещё будут внутренними рисками. И вот вам слоёный пирог, кот. никто не захочет есть: некому.

10. Про риск “тихих” рынков и вовсе молчу: низкая активность, редкие обновления цен и “малость” ликвидаторов - это путь к успеху, но отнюдь не рынка: никто не приходит ликвидировать, но зато потом происходит резкий “gap liquidation”.

Поэтому есть ещё 1 вопрос, на кот. надо точно дать ответ себе. И это - заморозка…

Заморозка чего-либо - это благо или зло?

Для начала - список:

Базовый принцип: freeze невозможен. Вообще. Никогда. Если вы в “чистом” p2p, если не делегировали ДАО ничего и т.д. У тех же Морфо в официальном FAQ прямо сказано: “Протокол non-custodial и immutable - не может замораживать средства пользователей”. И дополнительно: “... кураторы не контролируют активы пользователей… пользователи всегда могут взаимодействовать с контрактом сами (withdraw/repay и т.д.)”. Отсюда - несомненный плюс: никакой admin-freeze-как-в-CEX невозможен ни для заёмщиков, ни для депозиторов. В принципе. Это хорошо или плохо? Не верный вопрос: верный - где здесь внешние, а где внутреннии риски.
Но есть “псевдо-заморозка” через архитектуру: скажем, у Морфо-подобных протоколов есть, как минимум, 3 механизма, которые выглядят как freeze для заёмщика. С 2-х сторон (займ/возврат займа):

Нехватка ликвидности (самый частый кейс): часто из рыночных условий вытекает, что вся ликвидность занята - withdraw невозможен, пока ликвидность не вернётся. Для заёмщика это означает:нельзя рефинансироваться и нельзя закрыть позицию через vault (если нет ликвидности). Это не действие куратора напрямую? Да, но куратор управляет аллокацией ликвидности - может косвенно создать этот эффект, поэтому внутренний риск становится внешним: и наоборот - смотря на какой позиции вы оказались (в какой роли).
Изменение стратегии Vault (куратором): куратор может: менять allocation (reallocate); “удалять” рынки (updateWithdrawQueue); менять caps / параметры. Что это даёт? Эффект, где ликвидность уходит с рынка, новые займы невозможны, refinancing ломается. Ситуация в целом схожа с 1-м случаем, но со своими нюансами. А ведь есть ещё акцент на “forced removal… emergency process”: поэтому это не отключение рынка, но его “блокирование”.
Наконец, не стоит забывать, что часто в подобных протоколах есть риск timelock + pending changes: изменения куратора идут через timelock и они публикуются заранее (onchain), но формально это означает, что есть время выйти у одних, зато, если не вышел, то условия меняются. Это оправданный и минимальный риск, но он есть.

Что реально может произойти с заёмщиком? Коротко:

Soft freeze (ликвидность ушла и рынок неактивен)
Forced liquidation trap (кураторы оставили рынок с плохим oracle и/или не обновили параметры в нужное время: цена неверная, HF падает и ликвидаторы забирают позицию);
Exit liquidity removed: убрали рынок из withdraw queue и вывели ликвидность. Результат? “Зависание” в рынке без ликвидности и ликвидация с гэпом.

Итоги

Пока все обсуждают то, что написали AAVE, Kelp, LayerZero и др. в твиттере, я хочу обратить ваше внимание на КУДА БОЛЕЕ интересные и ВАЖНЫЕ аспекты произошедшего взлома. Мы ведь по сути получили 2 разные модели:

Одна модель про то, что эгоистичный интерес пытаются снизить, размазав ответственность внутри ДАО и протокола (AAVE);
Вторая же модель говорит: нет, это не верно - каждый - сам кузнец своего счастья и дохода (Morpho и подобные).

И выбор кажется очевидным, но… ЛИШЬ В ОДНОЙ конкретной ситуации с rsETH, а не вообще.

Это тот случай, когда люди неверно трактуют выводы: из неполной индукции никогда и ничего 100%-го в доказательствах не вытекает. Никогда.

Поэтому я остаюсь верен принципам, описанным выше, и для меня диверсификация - это не про “иметь 100 обёрток одного типа” и не про то, чтобы “обладать 100 разными токенами”, а про хеджирование риска за счёт верного распределения по чейнам, активам, стратегиям и т.д.

Подходит для вас это или нет? Я не знаю, но свою позицию описал.

На этом всё и

До!

DeFi. Morpho - идеальный лендинг, а AAVE плох? За-против. Часть I.

2026-04-20T05:59:20.202Z

Morpho

Дисклеймер

Не собираюсь дискредитировать Morpho, AAVE или др. протоколы: сам использую каждый из них и фактически с момента основания этих протоколов и приложений, вокруг них построенных.

Моя задача показать, что изолированные пулы имеют свои недостатки как для кредиторов (тех, кто даёт деньги), так и для заёмщиков (тех, кто берёт деньги). И не более. И риски эти разные, потому что архитектура у протоколов - тоже разная.

Методология

За основу взял 3 простых способа приведения доказательств (пруфов) к тезисам:

Уже случившиеся взломы;
Не применявшиеся, но кем-то найденные уязвимости;
Теоретические “пробои”, обозначенные в документах прямо или косвенно.

Собственно, поэтому в статье, как всегда, много ссылок.

Аллегория

Поскольку нужно простое объяснение ряда сложных вещей, буду использовать следующие аналогии:

AAVE - это, как правило, огромный торговый центр, где можно купить всё: от хлеба до духов Dior;
Morpho - это тоже здание рынка, но где, например, продают только фрукты (правильней сказать даже - только яблоки, но это совсем уж футуристичный сценарий, т.к. потом добавим, что они ещё и одного сорта и т.п., поэтому остановимся на фруктовом рынке).

Собственно, входы в эти рынки-здания могут быть разные:

Платные - через вольты с кураторами;
Бесплатные - чистые p2p.

Опять же - условно. Но суть том, что чем больше платных входов будет у Morpho - тем более не защищённым будет бесплатный вход, где будет всё больше очередей и давки. Это не очевидно сейчас по простой причине: пока ТЦ и крытые специализированные рынки есть вместе и ТЦ превалируют. В обратной ситуации крипторынок попросту не был.

Но мы попробуем на эту тему порассуждать: не абстрактно, а вполне конкретно, исходя из прошлого опыта и тех тезисов, что заложены в тех. документации протоколов.

TL;DR

Списком - тезисы:

Данная статья появилась из довольно простого вопроса: "Подскажите, какие дыры вы видите в Morpho, для заёмщиков?". Оказалось, что свои ответы мне нужно развернуть, чтобы они обрели нужные детали;
Для меня выбор “1 протокола, что правит всеми”, - нарушение децентрализации само по себе;
AAVE v. 3 со всеми риск-менеджерами и разработчиками был хорош, но не AAVE v.4 и не то, что происходит сейчас внутри проекта: проект не стал плох, но стал куда опаснее;
При этом Morpho не превратился после взлома rsETH в идеальный протокол: он просто менее ликвиден, чем AAVE: $26B против $6B до взлома, но главное - это ликвидность по обёртке;
Атаки на AAVE сдерживаются 3-мя слоями: 1) протокол; 2) ДАО; 3) команда; на Morpho по сути слои независимы и поэтому модель швейцарского сыра не применима: всегда 1 слой защищает нас, тогда как дыры могут быть общими (это парадокс, но факт);
Морфо, наконец, уже подвергался атакам/взломам и о них - речь ниже.
Главное понять, в чём Морфо хорош (и лучше ААВЕ), а в чём - нет.

Теперь в деталях.

Базовый ответ на все вопросы - 42

Трилемма безопасности

Любой проект строится на 3х столпах:

Техническая безопасность;
Социальная (она же - организационная);
Экономическая.

Мой тезис базовый таков: чем больше развиты 2 аспекта - тем больше же страдает и 3-й. Скажем, у AAVE технология отстала от современных лендинговых протоколов, зато социальный аспект (ДАО + команды) ушёл далеко вперёд, как и экономический (не только пресловутый TVL, но и он тоже же).

Поэтому там, где атаки раньше шли только на 1 вектор - технический, сейчас всё больше раскрываются другие: скажем, взломы Drift, Bybit, rsETH, Ronin, Orbit Chain и подобные - это всё взломы больше социальные, чем технические, но часто и экономические тоже.

Поэтому лендинги навроде Morpho, кот. выводят на уровень технологии ряд экономических защит поступают также, как это делали в The DAO: превращают баг в фичу, но никто не сказал, что инверсия в этом случае невозможно.

Отсюда простой вывод: AAVE сейчас сидит с заморозкой из-за "пуловой" архитекутуры лендинга, а Morpho щеголяет тем, что лишь 2 вольта из 500 с rsETH оказались не удел.

Но на деле, как мне кажется, всё куда глубже: технологическая защита - лишь усиливает атаки экономического типа (социальные мы рассматривать не будем, т.к. они во всех протоколах примерно равные).

Общие риски

Перечислю ниже то, на что обращает внимание сам Морфо, а также на ряд очевидных аспектов в целом по DeFi: без них начать было бы не правильно.

Риск ликвидации

Сразу скажу, что ошибочно думать, что этого риска здесь нет. Есть. Ликвидации устроены иначе, чем в классическом AAVE-подходе, но они есть.

В частности, если коэффициент кредитования (LTV - Loan-to-Value) превышает установленный лимит рынка (LLTV - Liquidation Loan-to-Value), залог заёмщика может быть принудительно продан для погашения долга. Поэтому утверждение, с которого началась эта статья, о том, что у заёмщиков на Morpho рисков нет, не верно. Есть. Просто они выставлены иначе, чем на AAVE.

Рыночная волатильность

В связи с тем, что Morpho работает с крипто-активами, резкое снижение стоимости залоговых активов может привести к тому, что LTV станет выше критического уровня, что вызовет ликвидацию.

Можно это отнести к первому риску, но проблема в том, что помимо волатильности свою роль, как будет показано ниже, могут сыграть оракулы. И другие факторы тоже.

Уязвимости смарт-контрактов

Хотя Morpho проходил (и не раз) аудит безопасности, существует риск ошибок/взломов, что может привести к потере средств. Очевидно? Но этот риск далеко не нулевой. Опять же ниже - примеры.

Проблема в том, что пользователи очевидно считают следующую связку логичной: раз рынки изолированные, то взломать их массово невозможно, но это, безусловно не так, поскольку, во-первых, системы автоматизации взломов работают всё лучше, а, во-вторых, вам не нужно ломать сами рынки - достаточно найти элементы, которые с ними постоянно взаимодействуют. И таких элементов несколько.

Риск изоляции рынков (Morpho Blue)

В отличие от протоколов, где “рынки” - это фактически “пулы”, Morpho Blue создаёт изолированные рынки, что увеличивает прозрачность, но требует от заёмщика самостоятельной оценки рисков конкретной пары активов.

Поэтому с одной стороны, если вы внесли wBTC и взяли USDc - то никуда больше эта ликвидность не уйдёт, с другой стороны, как именно устроена ликвидность этого рынка, - большой вопрос.

Процентные ставки

Ставки по займам могут меняться в зависимости от спроса и предложения на конкретном рынке, что влияет на стоимость обслуживания долга. Опять же: изолированность здесь может сыграть дурную шутку.

Но это всё - очевидно.

Permissionless

М. Егоров: “Permissionless-инфраструктура требует экстраординарных усилий, чтобы быть безопасной, - и мы эти усилия прилагаем!”.

Когда за основу взята подобная механика - она всегда выглядит интересной и правильной (по крайне мере, я - её ярый сторонник: при верном использовании).

Проблема заключается в том, что вы даёте супер-узлам за возможности: скажем, в ETH была почти ⅓ нод, которые не проводили транзакции по каким-то соображениям, хотя это противоречит логике самого Эфира и его консенсуса.

Так вот в отличие от лендингов предыдущих поколений, навроде как раз ААВЕ, где ДАО протокола голосует за каждый актив (или LTV, etc.) Morpho Blue работает без разрешений.

Казалось бы: круто! Да, но есть нюансы…

Во-первых, нужно понимать, что Morpho поддерживает резервный механизм: если прямое P2P-сопоставление невозможно или участник выходит из сделки, ликвидность автоматически возвращается в базовые хранилища Morpho Blue или сторонние протоколы. Это гарантирует доступность ликвидности даже при отсутствии P2P-сделок. Но это же в итоге служит бутылочным (узким) горлышком для рынков, т.к. роль кураторов и их вольтов возрастает с каждым годом, а не понижается.

Поэтому в случаях как с rsETH, когда каждая последующая продажа приводит к снижению стоимости в итоге мы можем получить такой рынок, который покинули все vault-строители, оставив все риски на ритейле. Звучит неправдоподобно? Да, пока речь не идёт о сотнях миллионов.

Для минимизации рисков "... пользователям рекомендуется внимательно следить за коэффициентом обеспечения и выбирать активы с меньшей волатильностью". Вот только многие ли это делают на самом деле? Судя по анализу чатов после USR-депега - нет. (Об этом - ниже).

Снижение же ликвидности для хранилищ - норма на Морфо и сейчас: пример.

Но давайте не буду голословным, а рассмотрю риски курирования на конкретном инциденте, который, к тому же, произошёл не так давно. Но сначала придётся рассмотреть архитектуру Morpho, чтобы всё было открыто.

Vaults

Чтобы не сбиться с пути - надо всегда следовать официальному документу. Так и поступим: understanding-morpho-vaults-aggregating-amplifying-liquidity-for-lenders - взято прямо с офсайта.

Первое, что нужно знать (и поймёте это из раздела “Кураторы” ниже), что “со временем (мы считаем), что Morpho Vaults станут стандартным решением для кредитования”. Т.е. нет секрета в том, что Morpho нацелены на глобальный рынок и выход на него именно с изолированными рынками. Отсюда важный вывод следующий: в перспективе количество пользователей, вольтов, активов и т.д. будет прирастать.

Далее - самое интересное…

Что такое для лендинговых протоколов ликвидность? По сути - это объём активов, доступных пользователям для немедленного вывода или заимствования. Она рассчитывается как:

Liquidity = totalSupply × (1 − utilizationRate)

Например, рынок с депозитами на $1000 и уровнем утилизации 90% имеет ликвидность $100.

Данные из Морфо-документов. 01

Кредитование в изолированные рынки через Morpho Vault решает проблему фрагментации ликвидности.

Диаграмма ниже показывает, как ликвидность из каждого рынка агрегируется, в результате чего пользователи получают такой же профиль ликвидности, как в мульти-ассетном лендинговом пуле - несмотря на то, что базовые рынки остаются изолированными. (Это и есть главная фича Морфо).

Данные из Морфо-документов. 02

И дальше - ещё одна ключевая идея: “с Morpho Vaults профиль ликвидности для кредиторов становится даже лучше, чем в классическом лендинговом пуле. Это происходит потому, что ликвидность из каждого vault’а агрегируется в Morpho и, следовательно, становится общей для всех, кто кредитует в одни и те же рынки”.

Диаграмма ниже показывает, как ликвидность увеличивается при появлении второго Morpho Vault:

Данные из Морфо-документов. 03

Разберём по шагам, что нарисовано выше:

Vault #2 дополнительно вносит $500 в рынок #5.
Общий объём средств в рынке #5 увеличивается с $200 до $700 ($630 занято + $70 ликвидно).
Ликвидность в рынке #5 возрастает с $20 до $70.

Теперь ключевой момент:

Доступная ликвидность в Vault #1 увеличивается на 50% - с $100 до $150, потому что Vault #2 добавил средства в рынок #5.
Доступная ликвидность в Vault #2 составляет $80, а не $60 - то есть на 33% выше, чем было бы, если бы только Vault #1 поставлял ликвидность в рынок #5.

Что это значит? Этот эффект называется усиление ликвидности (liquidity amplification) - он возникает, когда несколько вольтов делят (между собой) ликвидность одних и тех же рынков. Преимущества усиливаются с ростом числа вольтов:

больше ликвидности;
выше эффективность;
лучше масштабируемость.

До этого момента мы рассматривали, как ликвидность может агрегироваться, разделяться и усиливаться для кредиторов. Но это только половина картины.

И теперь - процитирую то, что для меня есть фактор Х: “скоро будет представлена новая функция, которая позволит делить ликвидность между изолированными рынками уже для заёмщиков”. На самом деле эта фраза означает одно: пока заёмщики думают, что изолированные рынки безопасны для них, Морфо понимает, что безопасны изолированные рынки в первую очередь, как ни странно, для кредиторов, а для заёмщиков они… удобны.

Для каждого вольта при этом есть 4 базовые роли:

Владелец (Owner);
Куратор (Curator);
Аллокатор (Allocator);
Хранитель (Guardian).

Мы изучим с вами кураторов в целом.

Кураторы

Поскольку многие вещи, рассмотренные в статье, ещё не случились или случились лишь как “белый хак”, то приходится много отсылок делать на документацию, чтобы это были не голословные заявления, но вполне состоятельные векторы атак.

Итак, возьмём вот этот кусок: morpho.org/blog/curators-explained: "кураторы НЕ контролируют средства пользователей”. Очевидно? Да. Но есть и “но”: в случае Morpho Vaults это по сути портфели из переобеспеченных кредитных позиций. Это позволяет пользователям:

депонировать средства в одном месте;
получать доход в один клик;
делегировать управление рисками и построение портфеля куратору.

Важно, чтобы быть объективным, в Morpho Vaults кураторы работают НЕ кастодиально:

никогда не получают контроль над средствами пользователей;
но настраивают стратегию вольта программно;

Пользователи:

могут в любой момент внести или вывести средства;
не зависят от третьих лиц;
сохраняют полный контроль над активами.

Проблема в том, что уже в этом утверждении есть скрытая формальная ложь и я продемонстрирую её на примере ниже: куратору достаточно просто записать параметр “заполненности” vult и вы уже не сможете внести средства через это “вместилище”: если представить рынок как здание, то на рынок вы всё ещё попадёте (сможете попасть), но дверь конкретная будет закрыта.

Оценить кураторов сами Морфо предлагают по 4-м критериям, каждый из которых содержит множество тезисов:

История (трекинг);
Прозрачность и методология;
Коммуникация;
Конфликты интересов.

Если 2 первых ещё могут быть более-менее объективны, то 2 последних - нет: сегодня вам отвечают за 5 секунд в твиттере, а завтра все соц. сети удалены. Или вы таких историй в Web3 не знаете? Я лично вспомню сотню-другую. Аналогично про конфликт интересов: Alameda умудрялась ворочить десятками миллиардов, но полная связка с FTX обнаружилась лишь в суде.

Поэтому de jure - технически - (это ОЧЕНЬ ВАЖНО) всё круто: открытый код, простые условия и огромный выбор, но de facto: множество кураторов со сложной схемой активов под управлением, влияние их ликвидности на все пересекающиеся рынки и манипуляциями параметрами, кот. должны быть всего лишь техническими аспектами, а на деле играют роль точек входа/выхода.

Сохраняя точность - процитирую ещё один отчёт:

“Чтобы понять, как потери были усилены, необходимо разобраться, как работает Morpho. Протокол построен по логике изолированных рынков:

каждый рынок - уникальная пара:

один актив как залог (collateral);
один актив для заимствования.

Такая изоляция - важное свойство безопасности, предотвращающее распространение рисков по всему протоколу. Над этими рынками находятся вольты, управляемые кураторами:

они распределяют капитал между рынками;
оптимизируют доходность депозиторов.

В нормальных условиях - это устойчивая архитектура. В кризисных - она скрывает малоизвестную уязвимость, которую атакующий идеально понял и использовал”.

Но самое забавное (и страшное) не в этом. “Около 02:20 UTC, как только кураторы узнали об эксплойте Resolv: почти все сделали одно и то же:

установили supply caps = 0 для рынков USR;
тем самым заблокировали приток нового капитала”.

Что здесь забавного? В официальной документации Morpho (Vaults V1): в версиях 1.0 и 1.1 описана подобная уязвимость. И, если используется оракул с ценой значительно выше рыночной (как с USR), то можно и нужно:

увеличить количество долей (shares) вольта через механизм “donation”;
тем самым переложить убытки на вольт (депозиторов).

Вольты не захотели пойти этим путём. Но если вольт не несёт убытки, то кто их несёт? Давайте глянем на схему:

Примитивная схема

Да, всего 2 на самом деле истории на этих рынках (в силу опять же - их примитивности в архитектуре). Поэтому гипотеза здесь простая:

Чем более популярными будут рынки Морфо;
Тем более автоматизированными буду вольты;
И тем более ручным - остальной рынок;
В итоге те средства защиты, кот. есть у пользователя в ДАО-протоколах навроде AAVE, будут наследоваться VAULTs, но не кредиторами/заёмщиками рынка вне Vaults;
Т.е. общие рынки без вольтов станут "тонкими".

Ещё раз: в документах прямо сказано: “Supply caps на нуле не предотвращают убытки”, - но на деле это никого не остановило. И это был не 1-2 куратора, а целых 15! И под управлением у них помимо Морфо ещё были активы.

Получается, что у кураторов очень большие полномочия (они же - функции):

анализ рынков;
выбор экспозиции;
настройка риск-параметров;
отслеживание аномалий;
защита капитала при отклонении условий от ожидаемых.

Всё это может быть сделано на уровне ДАО и, как видите, ошибки возможны и там, и там. Так в чём же разница? Скажу в конце, а пока - давайте пройдём дальше. В отчёте выше хорошо систематизирована ответственность кураторов. Давайте коротко опишу и её.

1. Ответственность за выбор (Selection)

Аллокация капитала - форма неявной валидации. Это требует анализа:

не только экономической модели;
но и операционных зависимостей:

архитектуры ролей;
управления ключами;
ончейн-лимитов (caps);
механизмов паузы;
дизайна оракулов;
сценариев компрометации админ-ролей.

На сегодняшний день, как видно из начальной заморозки 2-х вольтов по srETH, этого никто в полной мере не делает.

2. Ответственность за мониторинг (Monitoring)

Рынки должны:

не просто считаться приемлемыми в момент времени t;
а постоянно отслеживаться;

Сигналы риска:

депег стейблкоина;
аномальный рост активности;
расхождение между ценой оракула и рынком;
прочее.

Всё это должно немедленно останавливать аллокацию (термин с точки зрения общеприменительной Web3-практики не совсем верный, т.к. уже имеет устойчивое значение, но в целом используется участниками как калька с английского, поэтому будем понимать под ним в данном контексте процесс распределения ресурсов - средств / активов).

3. Ответственность за вмешательство (Intervention)

Куратор должен уметь:

быстро сокращать экспозицию;
или хотя бы блокировать приток нового капитала.

Иначе он:

не управляет риском;
а пассивно его усиливает.

И технически изолированность рынков здесь может иметь обратный эффект, т.к. на одних и тех же рынках разным кураторам нужно в одинаковых условиях применять одинаковые решения, но без координации.

4. Ответственность за консистентность (Consistency)

Становится всё сложнее:

публично говорить о риск-менеджменте;
и при этом использовать системы, которые не адаптируются при возникновении риска.

Как было написано в отчёте: "По мере взросления DeFi такая несогласованность станет неприемлемой".

В итоге мы получаем с вами картину, где у кураторов функционал заморозки ввода и конфигурация параметров вывода есть, а вот у обычных пользователей - нет. И фактически вы имеете общие рынки с разными вводными: то самое здание рынка (см. выше) всё ещё одно, но за один вход вы должны оплатить Х, за другой - Y, а третий, самый дальний - вовсе бесплатный и там в аномальной ситуации и выстроится очередь.

Итоги по USR-рискам

Не могу обойти стороной это дело, т.к. оно коснулось именно Morpho, поэтому просто буду называть депег-взлом USR - USR-рисками.

Анализ по USR

Чтобы не писать много, т.к. разбор потребует большого объёма текста, адресую вас вот к этой компоновке, кот. изучал на досуге: rekt.news/resolv-labs-rekt. Теперь - пойдём дальше.

Конкретика по USR

Зайдём, скажем, сюда: 0x00dfDb8C7295a03DCf1ADfF4D21eB5D9D19FB330/re7-resolv-usr - и сможем отследить ситуацию. Она ровно такая, как описана выше: возможности у кураторов были широкие, но использовали они очень узкий их диапазон.

Выводы по USR-рискам

Для меня крайне важно то, на что обратили внимание лишь несколько отчётов: поскольку USR и его деривативы широко использовались как залог, депег вызвал каскадные эффекты.

Т.е. изолированные рынки таковы с технической, но не экономической точки зрения.

Ещё раз: ключевое слово - каскадные. Рынки изолированы, но их экономика - нет. И это для меня - главный вывод, который, как понял, недоступен пока широкой публике: экономические эксплоиты также страшны и важны для заёмщиков, как и кредиторов.

Просто пока не дошло дело до сколько-нибудь ликвидного актива навроде rsETH, связанного с Morpho. Но это уже не фантазийная ситуация, а сугубо гипотетическая, т.е. принципиально и потенциально возможная.

Чтобы прояснить это - попробую коротко разделить риски и изучить их отдельно.

Риски кредитора

Списком:

Риски кураторов и вольтов - очевидны и они есть в документации Морфо и сопутствующих аудитах;
Риски прямых взломов - защита в виде ДАО-заморозки есть на ААВЕ, но в Морфо её по определению быть не может: частично она реализуется через кураторов как раз;
Риски оракулов - есть и там, и там, как показано выше, поэтому в этом Морфо схож с ААВЕ;
Риски плохого долга - в целом присутствуют на любых рынках.

Но на данном этапе нас с вами интересуют риски заёмщика больше, поэтому рассмотрю их детальней.

Риски заёмщика

Сначала - списком:

Блокировка на уровне интерфейса: была и на AAVE, и на Morpho у меня, но на AAVE это заняло день (было бы быстрее, возможно, если бы сразу нашёл верный email), а вот на Morpho - месяцы: пример может быть не релевантным для вас, но он есть, т.к. используют оба протокола 3-ю сторону для подобных операций;
Риск ликвидации: есть и там, и там, но устроен сам процесс по-разному: AAVE последнее время пробует его усовершенствовать, но Морфо здесь точно не отстаёт;
Риск депега актива в залоге: есть и там, и там: весь вопрос в том, кто проводит оценку - ДАО или создатели рынка (вольта);
Риск многостороннего займа (экспозиция займа): есть только на ААВЕ - и это тот самый риск, из-за которого случился весь сыр-бор с rsETH. Экспозиция займа - по сути совокупный риск, а значит и воздействие позиции, когда берём или даём займ в протоколах. И здесь важно какой актив занимаем (borrow), под какой залог (collateral), как меняется их цена (price), какие есть системные риски (oracle и др.).
Риск переноса ответственности по ликвидности: есть в чистом виде на Морфо, т.к. в ААВЕ он вынесен на уровень выше - в ДАО.

Означает ли это, что, как написал мне подписчик: "По факту дыр для заёмщиков на Morpho никаких нет, их капитал не может быть аллоцирован"? На мой взгляд нет. Хотя это уберегает их от ряда ситуаций.

Итак, рассмотрим всё по шагам.

Блокировка интерфейса

Самый "безобидный" вид риска для заёмщика, но и самый обидный: фактически нужно идти и использовать безразрешительные интерфейсы и/или же напрямую взаимодействовать со смарт-контрактами (а это не всегда просто). И в Morpho, поверьте, этот риск - далеко не теоретический:

Блокировка кошелька

Риск ликвидаций

Далее стоит рассмотреть следующий вопрос: "Как на изолированный займ в маркете например в залог wETH в займ стейбл повлияют ликвидации других маркетов?".

Если внимательно изучали врезки по документации выше и описание по не техническим атакам, то сразу можете проанализировать вот этот рынок и вольты в нём: app.morpho.org/ethereum/market/0xba761af4134efb0855adfba638945f454f0a704af11fc93439e20c7c5ebab942/rseth-weth

rsETH на Morpho

Далее при обсуждении этой темы появился следующий тезис: “Collateral rsETH здесь в безопасности. В рамках одной транзакции я могу выплатить долг и забрать своё обеспечение. Мой залог в безопасности. В отличие от AAVE”. И далее: "Заняли wETH тех кто в Vault закинул свои wETH под определённый Collateral и приняли на себя соответствующие риски. Занять залоговый wETH из markets под залог rsETH невозможно”.

Честно сказать, не очень понимаю последнюю фразу, т.к., вроде, подобная возможность не обсуждалась, но давайте внесу ясность нескольким скриншотами.

Когда вы вносите (w)ETH в AAVE - у вас происходит вот это:

Экспозиция по ETH (Base)

И, кажется, что такого не должно происходить на Morpho - рынки-то изолированы! Но как раз за счёт Vault-архитектуры это вполне возможно:

Данные по вольтам. 01

Или ещё:

Данные по вольтам. 02

Проще говоря:

Если мы рассматриваем случай, когда на AAVE вы внесли wETH и он попал сразу в соотношение к разным активам, то, это, скорее, норма (подробней см. по E-mode и др. аспектам);
Если мы рассматриваем случай, когда вы внесли wETH и получили под него USDc с рынка на Морфо, то здесь соотношение будет 1 к 1, но проблема в том, что это даже сегодня не всегда так (см. скриншоты выше). Это можно реализовать технически и организационно, но экономически вольты и рынки выстроены на разных, противоположных в общем-то, основаниях.

Вот что на этот счёт сообщает интферфейс Морфо: “Заимствование ликвидности. Занимайте ликвидность в пределах суммы, определяемой стоимостью предоставленного залога и доступной ликвидностью. На заёмную сумму начисляется процентная ставка, которая определяется моделью процентных ставок конкретного рынка”.

Данные интерфейса

И дальше: “Отслеживайте LTV ваших позиций, чтобы избежать риска ликвидации. Если коэффициент loan-to-value (LTV) вашей позиции превышает порог ликвидации (liquidation LTV) для конкретного рынка, внешние ликвидаторы могут ликвидировать ваш залог для погашения вашего долга”.

Но давайте пройдём ещё дальше: docs.morpho.org/learn/resources/risks. Тут всё расписано по субъектам: как видите, даже в этом, предельно общем документе, есть риски и кредиторов, и заёмщиков.

Цитирую: "Каждый рынок в Morpho привязан к неизменяемому параметру Liquidation Loan-to-Value (LLTV). Если показатель Loan-to-Value (LTV) вашей позиции превышает этот LLTV, ваша позиция может быть ликвидирована. При заимствовании в Morpho важно внимательно выбирать рынок и тщательно следить за состоянием (здоровьем) своей позиции".

Т.е. как именно буде ликвидирована позиция: из-за депега (разнобоя) активов, вашей блокировки на уровне интерфейса и т.д. - это вопрос, но ответ на него уже верифицирован самими Morpho.

Поэтому ниже попробую рассмотреть и другие (сопутствующие - в том числе) риски. Итак...

Риск депега актива в залоге

Опять же, как верно указал мой подписчик, с которым у нас и завязался разговор про Morpho: “При депеге USDC, у кредитора, при депеге cbETH у обоих, потому что заёмщик взял на себя риски этой обёртки” (речь шла о соответствующей о том, что вы пришли и положили 1 cbETH: app.morpho.org/base/market/0x1c21c59df9db44bf6f645d854ee710a8ca17b479451447e9f56758aee10a2fad/cbeth-usdc и был задан вопрос: "При депеге USDc (cbETH) - риски возникают только у Кредитора, но не Заёмщика?").

Таким образом, мы с вами выдели уже 2-й общий риск всех лендинговых протоколов:

Первый - это ликвидация по общим основаниям;
Вторая - при возможном депеге любого актива.

Но и это пока не всё.

Риск кастодиана актива

Для изолированных рисков роль кастодианов активов, как ни странно, возрастает, а не уменьшается (хотя, признаться, изначально я думал иначе): почему? Потому что есть то самое соотношение 1 к 1 и значит, что в итоге мы получим с вами определённые рынки, на которых "простым смертным" участвовать не получится вовсе, хотя сами рынки будут по-прежнему открыты. Это обратная сторона медали: кто рынок создал - тот "его и танцует". Повлиять на это (без изменения архитектуры) Morpho не могут. Особенно актуально это для RWA-сегмента.

И этот риск обратный: он есть на Morpho и т.д., но не на "пуловых" лендингах, где в силу экспозиции один ко многим по умолчанию делать подобное часто бесмысленно (хотя тоже пробуют - на AAVE см. Нorizon).

Риск переноса ответственности по ликвидности

Опять же - рассмотрим вопрос, из которого родился тезис: "Markets (рынки) у них же permissionless (безразрешительные), то-есть уже задеплоенные (созданные) не могут (быть) изменены. Например оставить в залог wETH и взять стейблы. Кураторы здесь при чём".

Если внимательно пробежать по тезисам выше, то мы получим вот такую, пусть и сильно упрощённую, схему:

Примивитизируем схему cash-flow в рынки

Получается, что чем больше у вас поток от Vaults и меньше от других участников, тем больше зависят др. участники от Vaults. Это не очевидно, пока потоки равны или хотя бы отличаются не существенно, но уже сейчас видно, что перекос в сторону B2B (кураторов и их вольтов) существует:

О вольтах

Поэтому чем больше будет рынков, где будет больше крупных кураторов, которые (см. выше) пересекаются и имеют большой вес в запасе общей ликвидности выше (см. на рынок wstETH) - тем больше буде риск заёмщика (лица, который берёт займ) в игре в большего дурака: обратный этому процесс - "размазывание" ответственности на всех в AAVE.

Что лучше? Кажется, что Morpho-подход: ... пока вы не останетесь на свободном рынке в очереди последних. Но для этого нужен кризис ликвидности, который возник у тех же AAVE за счёт напечатанных rsETH "из воздуха" (об этой атаке - в отдельной статье и видео расскажу).

Риск повышенного спроса на ликвидность

Если выше описан сценарий, где вольты закрываю "входы в здание рынка" (но не сам рынок), то логично, что возможны ситуации, когда в моменты высокого спроса средства могут быть временно недоступны для вывода. Как технически (из-за перегруженности сервиса), так и организационно.

Здесь уже очередь образуется не из-за игры в большего дурака (выход в одну дверь), а выход во все двери с очередями.

Риск оракула

Давайте теперь вернёмся к проблеме через этот рынок - https://app.morpho.org/ethereum/market/0x94b823e6bd8ea533b4e33fbc307faea0b307301bc48763acc4d4aa4def7636cd/weth-usdc. Но тогда возьём ситуацию другую. Был депег USDc на 13%-15%. Что произошло бы здесь в такой позиции?

Прямой и правильный ответ: "Ничего, оракул отслеживает ETH/USD, а не ETH/USDC".

Проблема возникает в том, что опыт USR-рисков нам говорит об обратном: да, оракул-то на уровне протокола работает правильно и всё ведёт к единице, но единицы на других рынках уже нет. И возникает арбитражное окно: неизбежно. На любых не эффективных рынках оно возникает и это - экономический снова, а не технический аспект.

Поэтому, вроде бы, для заёмщика как раз всё ок: купил подешевле заёмных активов и отдал, ещё и заработал. Но, во-первых, в обратную сторону это тоже работает, а, во-вторых, как покажу ниже, это приводит к отдельной архитектурной атаке. Именно на заёмщиков (через ликвидацию, как уже указал выше).

Но для начала - ещё один важный момент обозначу.

Риск полизалога: AAVE проигрыш

Вот что пишет Морфо при внесении залога (и это очевидно вытекает из его архитектуры): “Внесите актив, под который вы хотите взять заём. Имейте в виду, что вы можете занимать средства только в том рынке, в который вы внесли залог. Если вы планируете брать заём в нескольких рынках, вам необходимо внести залог в каждый из них”.

Данные по займу

И тут как раз вспоминаем скрин выше:

Данные по AAVE

Подписчик это обозначил так: "Вносишь wETH никак collateral. Твой депозит теперь имеет экспозицию к 10+ разных активов, в т.ч. wstETH, по которому одному доходность больше при меньших рисках".

Получается, что, если я - продвинутый юзер и беру рынок сам по себе на Морфо, скажем, wETH-USDc, то мне не угрожает опасность, кот. образовалась в AAVE, когда wETH вдруг стал залогом для других активов.

Но здесь нужно понимать, чем я жертвую: капиталоэффективностью. Ведь изолированные рынки означают (в чистом виде), что один и тот же залог на разные займы мне придётся распределять каждый раз - итеративно: это можно изменить на уровне интерфейса, но не логики.

Про rsETH на AAVE, повторюсь, ещё будет полный разбор отдельно, поэтому здесь пока и остановимся.

Риск приёмки средств

Собственно, из тех же посылок получаем и ещё один понятный риск: добросовестные кураторы в критической ситуации закроют приём "опасных" активов, а вот недобросовестные - нет…

И тогда возникнет вопрос отбора, но не на уровне ассетов, а субъектов и возникнет та же дилемма, что на AAVE: кто должен определять блокировку по времени и средствам?

Очевидно, что это могут сделать сами Morpho на уровне интферфейса, но тогда возникает резонный вопрос: бэкенд всё ещё будет децентрализован, а фронт - уже нет? Тогда в чём преимущество именно?

Опять же - это прямое следствие архитектуры, а не моя придумка и USR-риск доказал, что прямого ответа у Morpho пока попросту нет.

Риск узких рынков

Санкции - вы, возможно, с ними ещё не сталкивались, но выведенная ликвидность - это одно, другое - когда на общем, пусть очень специализированном даже, рынке у вас возникает ситуации, когда ликвидность есть, но процесс её ликвидации/оборачиваемости/etc. осложнён экономическими и юридическими аспектами. (Да, обратную ситуацию и её последствия уже описывал выше).

Для "пуловых" лендингов это как раз не опасно, потому что ответственность ложится на всё ДАО сразу, а вот в аспекте кураторы-вольты + свободный рынок такая уязвимость есть. И она хорошо ощущается сейчас на RWA-сегменте.

Но посмотрим, как её обойдёт (или не встретит?) Морфо.

Риск бандлеров

Риск сугубо технический. Обычно то, что считается фичей в нормальных условиях, превращается в баг в критических.

Итак, bundlers (бандлеры) упрощают сложные DeFi-действия, позволяя объединять несколько шагов в одну транзакцию. Скажем, вместо последовательных действий:

депозит;
заём;
свап.

Всё можно выполнить одновременно! Круто? Да. Но зачем это нужно? Допустим, вы хотите:

конвертировать ETH в weTH;
использовать wETH как залог;
занять USDC под wETH.

Всё это за один шаг можно выполнить. Преимущества тоже очевидны:

экономия газа;
меньше риск фейла транзакции;
более эффективное взаимодействие с протоколом.

Проблема в том, что, если вы когда-нибудь пользовались SAFE на уровня проводки хотя бы 3-5 транзакций, знаете, что описанная схема работает в идеальном мире, а в реальном может давать сбои по самым разным аспектам: от банальной “плохой связи” RPC - до перегрузки чейна. Не говоря про "глюки" самого ПО (и да, dAPPs - это ПО именно).

И это кажется не существенным аспектом, пока не вспоминаем, что находимся внутри финансовых операций. И вы можете мне возразить: “Но ничего подобного не было!”. Верно, никаких атак подобного рода пока не наблюдалось, но кто сказал, что это невозможно? Тем более что они не наблюдались просто на лендинги с изолированными рынками, а не вообще.

Собственно, в AAVE не так давно человек поменял $50M на $36k, хотя казалось бы: раньше такого не было! А всё потому, что протоколы не могут не внедрять всё новый и новый функционал, конкурируя друг с другом, поэтому то, что раньше казалось теоретической атакой, становится реальным фейлом. И вам будет не важно, поверьте, что вы будете первым и единственным в своём роде: ваши деньги - это ваши потери именно.

Поэтому чем сложнее действия в 1 транзакции - тем больше вероятность атаки: самый банальный пример - это eip7702 и делегация: вектор совсем свежий и точно контролируемый на уровне интерфейса пользователя.

Но это уже смешанный риск, поэтому о нём говорю больше для полноты материала, чем для определения разности AAVE & Morpho.

Технический разбор

Теперь давайте попробуем посмотреть на любую транзакцию на Морфо уже с точки зрения обычного сканера.

Разбор rsETH

https://app.morpho.org/ethereum/market/0xba761af4134efb0855adfba638945f454f0a704af11fc93439e20c7c5ebab942/rseth-weth - здесь видим, в частности, что вектор атаки был закрыт не через рынки (это ведь невозможно технически), а через вольты, поэтому любые итеративные атаки на схожие вольты/кураторов - это не теоретическая (гипотетическая), а реальная возможность и вероятность.

На мой взгляд не верно на сегодня вот что: "Morpho получил необеспеченный rsETH в качестве залога после эксплойта моста KelpDAO, однако текущие отчёты указывают на ограниченную и локализованную экспозицию по сравнению с другими лендинг-протоколами. Атакующие подделали кроссчейн-сообщения, чтобы заминтить фейковый rsETH, а затем использовали его как залог в Aave, Compound, Euler и Morpho. Отмечается, что прямая экспозиция Morpho составляет примерно несколько миллионов долларов, что стало возможным благодаря дизайну изолированных рынков".

Т.е. изолированные рынки защитили Морфо от атаки? Но это не так. Во-первых, вектор атаки на них был сильно ограничен. Во-вторых, основные риски даже сейчас заметны:

как будет обрабатываться rsETH в дальнейшем?
каким образом потенциальный bad debt будет распределён (socialized)?
и ужесточатся ли стандарты обеспечения (collateral) и мостов (bridge)?

И ответы на эти вопросы в Морфо не просты, потому что рынки как раз изолированы, а подключение их - безразрешительное.

Но давайте для начала разберёмся с куда более примитивной вещью - с обычной транзакцией.

Разбор транзакции Morpho

Пример транзакции

Когда мы проведём подобную транзакцию, то окажемся здесь: https://arbiscan.io/token/0x82af49447d8a07e3bd95bd0d56f35241523fbab1?a=0x9954afb60bb5a222714c478ac86990f221788b88#readProxyContract:

И можно сделать запрос о баласе, например:

Смарт-контракт

Поэтому фактически вся "изоляция" (рынков) через "бандлирование" (объединение транзакций) сводится к тому, что пользователь принимает на себя риски стандартного проксированного смарт-контракта. Точнее - их набора.

Мои выводы и доводы

Если посмотрите на источники ниже - их более детальный разбор будет в следующей статье, то увидите, что Morpho подвергался атакам уже несколько раз и в этом смысле - это обычный DeFi-протокол со своими родимыми пятнами:

2021: описание общее: cdn.morpho.org/documents/TrailOfBits_210722.pdf
2022: аудит: cdn.morpho.org/documents/MorphoAaveV2_Audit_Spearbit.pdf
2023: аудит: cdn.morpho.org/documents/Spearbit_19062023.pdf
2023: отчёт: cdn.morpho.org/documents/Runtime_02052023.pdf
2024: отчёт: medium.com/coinmonks/decoding-morphoblues-230k-exploit-6296565ced40
2025: postmortem: forum.morpho.org/t/post-mortem-aerodrome-cusdo-usdc-amm-lp-oracle-manipulation-on-morpho-lending-market/1794

Исходя из подробного анализа документации Morpho, я пришёл к тому же выводу, который был для меня изначально значим как гипотеза: риски заёмщиков в Morpho не ликвидированы за счёт изолированных маркетов (рынков), а всего лишь представлены в иной форме (и формате): от более технических аспектов мы переходим к более экономическим. Рынки изолированы на уровне смартов, но не на уровне:

Связанности активов (единый залог, например);
Взаимодействий с вольтами;
Экспозиции по разным активам;
И подобным параметрам.

В чём-то такой подход лучше, а в чём-то хуже. Если обобщить, то хуже он в том, что конструкция для конечного пользователя представлена как примитивная, но на деле это не так, поскольку вместо стандартной иерархии: протокол - ДАО, в Морфо вы найдёте: рынки - вольты - кураторов - отдельные политики по активам и т.д. Само по себе количество звеньев уже говорит о многом: зато у вас появляется гибкость, как именно заходить в рынок - и это 100%-й плюс.

Для проф. участников, скорее всего, это благо, для новичков - не уверен.

Но главное, что это не панацея от аномальных атак, какой и была атака на USR или rsETH. Векторы подобных обозначил выше: согласны вы со мной или нет - не знаю, но знаю, что подобное в своей работе учитываю и поэтому никогда и никакой протокол не приоретизирую до абсолюта: скажем, AAVE был 8 из 10, а стал 6 из 10, зато Морфо был 5 из 10, а стал 7 из 10. Но 10 из 10 - это не идеал, это вопросы, которые нужно задать. Себе.

Главное же, что риски заёмщиков в Morpho есть и не только стандартные для всех протоколов (пересекающиеся), т.к. их оценивать приходится везде, но и уникальные, которые как раз и вытекают из архитектуры изолированных рынков.

Экономические атаки - куда реальней, чем вы думаете

Опишу теперь базовый подход самого примитивного вектора. Есть 2 рычага воздействия и один основной аспект риска (есть и др. но остановимся в заключении на этом):

Уронить цену collateral;
Поднять цену borrow asset.

Если делаем оба сразу → эффект усиливается.

Вы скажите, что такое работает и на”пуловых” лендингах? И да, и нет: весь вопрос в том, что такое изолированный рынок: это рынок, у которого ликвидность всё равно де-фрагментируется (но иначе, см. выше) и она базово разделена на 2 актива: залоговый - заёмный.

Поэтому атаки такого типа проводить на изолированные рынки проще, а не сложнее, хотя изначально кажется, что всё ровно наоборот. И нет: печать “воздушных” rsETH не об этом - это смежная, схожая, но всё же во многом иная атака именно. Если уж искать аналог - то это атаки через flash-займы, которые были так популярны 3-4 года назад: весь теперь вопрос сводится к тому, что из коллатеризированных активов станет популярным, но будет содержать в себе опасность формата rsETH.

Ещё раз: изолированность здесь играет во вред: ведь каждый рынок не зависим? Да! А значит? Применив схему к одному - вы сможете применить к другому, к следующему и т.д., пока не "закроются" (правильней сказать - накроются) все рынки. И в этом отличие от глобальной защиты на уровне ДАО-протоколов: там она “включается” сразу для всех. И это тоже хорошо - и плохо.

Почему теоретически это возможно?

Изолированные рынки сами создаются в формате: Актив “А” - Актив “Б” и по сути это объединяет людей на экономическом слое;
Уровни ликвидации всё равно будут коррелировать друг с другом - сколько бы кураторов ни было: такова реальная конкуренция на открытом рынке;
И главное - ликвидность, как её не дроби, всё равно и всегда будет конечна.

Плюс это или минус? Не мне решать. Но это фича, которая становится багом. Нужно лишь выполнить экстремальные условия, но мы их и обсуждаем, когда говорим про rsETH-риски или USR-риски.

И уверен, что ближайшие годы атаки подобного типа будут куда чаще встречаться. Почему? Потому что технически много уже создано паттернов само-защиты, а вот экономических шаблонов - по пальцам пересчитать: чего стоит изменение токеномик у ведущих проектов за последние годы (Aptos, Ethereum, Sui, OpenSea и др.).

Один несомненный плюс Morpho!

Он очевиден: если используете пары навроде wBTC - USDc, то никуда деньги не денутся ваши, кроме этого рынка.

Беда в том, что:

Депег wBTC уже происходил и будь это на Морфо - это привело бы к ликвидации (при прочих равных и расхождении с оракулом): и это всегда риск заёмщика. Если нет? Это USR-риск для платформы.
USDc депег тоже был: даже если оракул измеряет всё к USD, то в итоге заёмщику ту плюс, но вот кредитору - большой минус. И опять же - это риск для платформы.

И возникает вопрос: насколько сильно платформа готова жертвовать главными поставщиками ликвидности - кредиторами - ради заёмщиков? И ответа здесь однозначного точно нет.

При том, что пока кастодиальные обёртки ещё не накладывались на кастодиальные вольты: а скоро и этого стоит ожидать (благо законы уже приняли). И вот здесь буде ещё узкое горлышко.

То есть логика апологетов Морфо понятна: общие риски - у всех одинаковы, зато на Морфо есть изолированные рынки, кот. уберегут нас от rsETH-инцидентов. Да, но не уберегут от USR-инцидентов, а также от прочих атак экономического типа, где рынок важен не как технический аспект, а как именно финансовый.

И дальше весь вопрос, насколько быстро получат развитие подобные векторы. Судя по последним атакам - весьма скоро.

Я же к Morpho отношусь нейтрально: как и к AAVE, Euler, etc., потому что для меня важна децентрализация не только внутренняя (в протоколе), но и внешняя (между протоколами).

Атаки на заёмщиков Morpho

Получаем вот такой итоговый список:

Атаки, направленные на ликвидацию: реальные/гипотетические. Можно разделить на несколько подвидов: через манипуляцию залогом, посредством оракула (косвенно) и т.д.
Атаки через интерфейс: реальные. Усложняется всё из-за наличия свободных рынков.
Атаки через депег активов: гипотетические. Но метод (подход) усложнения тот же - permissionless-подход.
Атаки через смарты: реальные. Доказаны на ряде “белых” взломов. О них ещё поговорим.
Атаки через оракулы (прямые): реальные, состоявшиеся. Пока экономический ущерб ограниченный.
Атаки через MEV-ботов: реальные. Из-за избыточного доверия рынкам, вольтам, кураторам и т.д. Защита на уровне протокола, но противоречие на уровне доверия к бездоверительным активам и изолированным рынкам.

Дополнительные ссылки

Поскольку изучил я сильно больше, чем выдал мне первичный поиск и вторичный AI-промт, то ряд ссылок оставлю здесь, т.к. в них можно найти ряд существенных дополнений.

О USR: gate.com/tr/post/status/19782598 - др. описание;
Отчёт за 2022: cdn.morpho.org/documents/TrailOfBits_210722.pdf
Обзор за 2022: cdn.morpho.org/documents/MorphoAaveV2_Audit_Spearbit.pdf
Обзор за 2023: cdn.morpho.org/documents/Spearbit_19062023.pdf
Обзор за 2023: cdn.morpho.org/documents/Runtime_02052023.pdf
Доп.: coinmarketcap.com/top-stories/69c494af5735b764258a5a6f/

Продолжение следует

Во второй части попробую наложить всё это на практику последних дней...

До!