Ошибка или баг? Разбор крупнейшего провала недели — флеш-займ, SushiSwap и Morpho

12 марта свежепополненный кошелек из Binance с $50,4 млн USDT выполнил своп через агрегатор CoW Protocol и децентрализованную биржу SushiSwap с целью купить токен AAVE. По данным Etherscan, кошелек получил 327 токенов AAVE рыночной стоимостью около $36 000 — практически полная потеря исходной суммы. Фактическая цена покупки составила около $154 000 за AAVE при рыночной цене ~$114.

Произошедшее — классическая сэндвич-атака MEV-бота. Боты сканируют ожидающие транзакции в мемпуле: обнаружив крупный ордер на AAVE, бот взял флеш-займ в $29 млн wETH из протокола Morpho и купил AAVE на Bancor перед транзакцией пользователя — искусственно взвинтив цену. Затем продал токены на SushiSwap по завышенной цене уже после того, как ордер пользователя исполнился по разгромному курсу. Прибыль бота — $9,9 млн.

Ключевой момент: протоколы предупреждали. Основатель Aave Стани Кулечов опубликовал пост, в котором уточнил: интерфейс показал пользователю предупреждение об «экстраординарном сдвиге» из-за «необычно крупного единичного ордера». Пользователь вручную подтвердил предупреждение на мобильном устройстве и продолжил своп.

CoW DAO заявил: «Ни одна децентрализованная биржа, агрегатор или пул ликвидности в любой комбинации не смогли бы исполнить эту сделку по сколь-нибудь разумной цене». CoW DAO пообещал вернуть протокольные комиссии, Aave — попытаться связаться с пользователем и вернуть $600 000 собранных комиссий. Кулечов признал: «DeFi должен оставаться открытым и без разрешений, но индустрии нужно строить дополнительные барьеры защиты пользователей».