Звіт Standard Chartered: механізми оцінки ризиків у DeFi не працюють, прибутковість не компенсує реальні ризики

18 квітня 2026 року: KelpDAO, протокол DeFi для рестейкінгу, зазнав найбільшого злома безпеки цього року. Зловмисники скористалися помилкою верифікації в кросчейн-інфраструктурі LayerZero, підробили кросчейн-повідомлення та в одній транзакції викрали близько 116 500 rsETH — приблизно на $292 мільйони, що становить 18% від обігу токена. На відміну від більшості попередніх атак, зловмисник не поспішив вивести активи. Він розмістив викрадені кошти як заставу у великих лендингових протоколах, таких як Aave, позичивши близько 74 000 ETH і створивши понад $280 мільйонів проблемної заборгованості у різних протоколах. Такий підхід перетворив локальну втрату одного протоколу на системний шок, який поширився по всій екосистемі DeFi через механізм композабельності.

Це був другий масштабний інцидент лише за три тижні. 1 квітня протокол деривативів Drift Protocol на блокчейні Solana зазнав атаки, внаслідок якої втрачено $285 мільйонів. Сукупно ці дві події призвели до понад $575 мільйонів прямих втрат. З урахуванням приблизно $230 мільйонів проблемної заборгованості на Aave через знецінення застави, загальні втрати криптоактивів у квітні перевищили $600 мільйонів. Джефф Кендрік, керівник цифрових активів у Standard Chartered, охарактеризував це як «злам, але не крах» для DeFi у своєму постінцидентному звіті. Однак за цим висновком стоїть глибше питання: наскільки сьогоднішні доходи DeFi базуються на реальній ефективності капіталу, а наскільки — на ігноруванні ризиків?

Чому депозитні ставки та реальні ризики залишаються невідповідними так довго?

Звіт Standard Chartered підкреслює структурну проблему, яку ринок довго ігнорував: поточні ставки DeFi-лендингу часто не покривають справжню вартість ризику активів. Незалежно від того, чи йдеться про деривативи LRT (Liquid Restaking Token) від KelpDAO, чи про перпетуальні контракти Drift, базові активи зазвичай є складними багатошаровими структурами — обгорнуті токени, кросчейн-активи та ліквідні стейкінг-токени, що формують надзвичайно складний профіль ризику.

Візьмемо rsETH як приклад. На Aave 98% застави цього токена сконцентровано у стратегії «leveraged looping». Учасники депонують активи в Aave, позичають за максимальною ставкою loan-to-value, а потім реінвестують отримане у ще складніші токени для підвищення доходності. На перший погляд це підвищує ефективність капіталу, але насправді накладає ліквідні ризики, ризики ліквідації та волатильність застави одне на одне. Поточні моделі процентних ставок не враховують окремі премії за ці багатошарові ризики.

Ключова вразливість у зломі KelpDAO була не помилкою коду, а надмірною централізацією в архітектурі верифікації. Дані показують, що у LayerZero 47% кросчейн-додатків працюють із конфігурацією валідатора 1/1, 45% — з 2/2, а менш ніж 5% мають більш захищені архітектури. Тобто більшість кросчейн-додатків покладаються лише на одного чи двох підписантів як на межу безпеки. Якщо їх компрометовано, сотні мільйонів доларів залишаються без захисту — і ця системна вразливість не врахована у поточних депозитних ставках.

Чому модель оцінки ризику Standard Chartered вказує на «справедливу ставку» понад 13%?

У своєму аналізі після інциденту Standard Chartered відзначила систематичне недооцінювання депозитних ставок DeFi. Їхня модель показує, що з урахуванням частоти експлойтів смарт-контрактів, ризику кросчейн-бриджів та ефекту зараження ліквідної кризи, справедливі процентні ставки DeFi мають бути значно вищими за поточні. Звіт визначає хронічну відсутність «премії за інфраструктурний ризик» у DeFi-лендингу як основну причину серйозної невідповідності між доходністю та ризиками.

Зокрема, моделі ціноутворення премії за ризик мають покривати три рівні ризику. Перший — ризик коду смарт-контракту: протоколи DeFi працюють на відкритому коді, і будь-яка невиявлена логічна помилка може знищити всі заблоковані активи. Другий — ризик кросчейн-інфраструктури: бриджі розширюють функціональність, але також збільшують поверхню атаки, а сукупні втрати від експлойтів бриджів вже досягли мільярдів. Третій — зараження через композабельність: точкові збої швидко поширюються по «Lego»-структурі DeFi, перетворюючи локальні проблеми на системні шоки.

Коли ці ризики враховані у високонадійній моделі, розрив між справедливими ставками та ринковими стає очевидним. Standard Chartered описала ліквідну кризу під час інциденту KelpDAO як «банківський забіг» — депозитна база Aave знизилася на 38%, а активні кредити впали приблизно на 31%. У традиційних фінансах така напруга призводить до різкого підвищення ставок згідно з моделями ціноутворення ризику. У DeFi ці ризики здебільшого залишаються не врахованими.

Ілюзія довіри до архітектури кросчейн-бриджів та відсутність премій за ризик

Ефект доміно від атак на KelpDAO і Drift був спричинений не помилкою коду одного протоколу, а фундаментальним дефектом архітектури верифікації у галузі. Співзасновник Polygon Сандіп Найлвал після інциденту написав, що сучасна кросчейн-інфраструктура фактично працює за моделлю «нотаріальної контори» — чи то DVN, комітети ораклів, чи мульти-сиг управління, основна логіка базується на невеликій групі валідаторів, які підтверджують кросчейн-транзакції. Якщо цей комітет або його джерела даних скомпрометовано, система несвідомо затверджує фальшиві транзакції.

Олександр Урбеліс, директор з інформаційної безпеки ENS Labs, сформулював це прямо: «Підпис підтверджує автора, а не правду. Підписана брехня — все одно брехня». Це зачіпає суть дилеми кросчейн-архітектури: система перевіряє, чи повідомлення надійшло від уповноваженого джерела, але не перевіряє його зміст. Ця фундаментальна вада не врахована як премія за ризик у жодній моделі ставок.

Сьогоднішні ставки депозитів DeFi відображають передусім баланс попиту і пропозиції капіталу, а не ризик. У традиційних фінансах дохідність облігацій включає кредитні спреди, премії за ліквідність і термінові премії. У DeFi різниця ставок між активами зазвичай визначається рівнем стимулів ліквідності, а не диференційованим ціноутворенням базових ризиків. Високий APY KelpDAO на rsETH привернув масу депозитів, але під час атаки користувачі зіткнулися з ризиками втрат, які були абсолютно неадекватними доходності.

Чому репрайсинг ризику неминучий після скорочення капіталу?

Ланцюгова реакція, викликана інцидентом KelpDAO, прискорила процес репрайсингу ризику. Аналітики JPMorgan відзначили, що за кілька днів загальна заблокована вартість (TVL) у DeFi скоротилася приблизно на $2 мільярди. Депозити на Aave впали на $1,7 мільярда, а активні кредити зменшилися на $550 мільйонів. Standard Chartered описала це як «класичний забіг» — коли користувачі зрозуміли, що викрадені активи використовуються як застава, панічні виведення поширилися швидко, і чисті депозити у кількох стейблкоїн-маркетах тимчасово впали до нуля.

Масштабний відтік капіталу — це прямий ринковий відгук на репрайсинг ризику. Коли інвестори усвідомлюють, що доходність від утримання певного DeFi-активу надто низька порівняно з прихованими ризиками експлойтів бриджів, концентрації застави та ліквідаційних спіралей, «голосування ногами» стає єдиним раціональним вибором. Як тільки цей процес стартує, ринок змінюється: високодоходні продукти змушені підвищувати ставки для залучення капіталу, а привабливість менш доходних, але стабільніших активів зростає.

Варто зазначити, що Standard Chartered не переглянула у бік зниження свою довгострокову прогнозовану оцінку ринку RWA (Real World Asset) після останніх подій, зберігаючи очікування, що капіталізація токенізованих RWA досягне $2 трильйони до 2028 року. Такий підхід базується на ключовій умові: DeFi має модернізувати безпеку та переглянути механізми ціноутворення ризику для прийому масштабного капіталу з традиційних фінансів. Токенізація RWA потребує відповідності стандартам управління ризиками традиційних фінансів — і тоді премії за ризик не лише з’являться, а й стануть вирішальними для розподілу капіталу.

Чи можуть галузеві bailouts стимулювати покращення ціноутворення ризику?

У відповідь на системну кризу індустрія DeFi продемонструвала рідкісний механізм екстреної реакції, якого майже не зустрічається у традиційних фінансах. Засновник Aave Стані Кулєчов та інші учасники швидко пообіцяли понад $300 мільйонів для відновлення коефіцієнта забезпечення rsETH і контрольованої ліквідації залишків позицій атакуючого. KelpDAO також завершила оновлення безпеки кросчейн-бриджа за 11 днів, перейшовши від початкової конфігурації валідаторів до механізму перевірки 4-DVN.

Ця «DeFi United» само-рятувальна коаліція демонструє здатність екосистеми до співпраці у кризових ситуаціях. Але вона також підкреслює важливий нюанс: галузеві bailouts фактично замінюють ex-ante ціноутворення ex-post компенсацією. Якщо учасники ринку починають очікувати, що «peer alliances» втрутяться після великих втрат, сигнали ціноутворення ризику ще більше спотворюються. Це нагадує моральний ризик у традиційних фінансах — «too big to fail»: короткостроковий крах відвернуто, але довгострокова здатність до розпізнавання та ціноутворення ризику слабшає.

Більш стійкий шлях — це внутрішнє врахування премій за ризик у моделях ставок, а не компенсація галузевими альянсами постфактум. Архітектура «hub-and-spoke» Aave V4 та Ethereum Economic Zone (EEZ) — це спроби технічно зменшити кросчейн-залежності. Перша дозволяє Layer 2 ділитися ліквідністю, а не блокувати кошти на різних ланцюгах, друга — забезпечує синхронну композабельність активів екосистеми Ethereum у межах одного блоку. Якщо ці оновлення зменшать системну вагу бриджів, структура премій за ризик стане більш прозорою.

Як інституційні погляди змінять логіку ціноутворення ризику в DeFi?

Темпи притоку інституційного капіталу тісно пов’язані з рівнем зрілості моделей оцінки ризику в DeFi. Наразі цей зв’язок є значним обмеженням. Аналітики JPMorgan у звіті після KelpDAO зазначили, що постійні зломи та стагнація капіталу стримують привабливість DeFi для інституційних інвесторів.

Позиція Standard Chartered більш нюансована — вона визнає наявність системних ризиків, але зберігає оптимізм щодо зростання ринку RWA. Це, на перший погляд, суперечливе бачення насправді є раціональним інституційним аналізом траєкторії DeFi: поточні вразливості структурні, але їх можна виправити, а довгострокове зростання RWA залежить від здатності DeFi перейти від «трафік-драйвінг» до «ризик-прайсинг-драйвінг» моделей.

З точки зору інституційного розподілу активів, доходність має відповідати трьом факторам: (1) ризику волатильності, виміряному стандартним відхиленням аналогічних активів; (2) ризику ліквідності, що співвідноситься з періодами утримання; (3) ex-ante оцінці вразливостей технічної архітектури. Інцидент KelpDAO показав, що ставки DeFi сильно недооцінені за всіма трьома напрямками — ризик волатильності маскується високими APY від yield farming, ризик ліквідності приховується композабельними наративами, а ризик технічної архітектури майже не враховується у моделях ціноутворення.

З понад $500 мільйонів прямих втрат від Drift ($285 мільйонів) і KelpDAO ($292 мільйони) ринок стикається з фундаментальним питанням: чи компенсують доходи DeFi ризик утримання? Відповідь поки неочевидна, але модель Standard Chartered дає орієнтир — справедлива ставка має бути значно вище 13%.

Висновок

Послідовні атаки на KelpDAO і Drift фактично стали стрес-тестом для механізмів ціноутворення ризику в DeFi. Standard Chartered сформулювала основний висновок: поточні депозитні ставки DeFi не покривають багатошарові ризики — вразливості бриджів, зараження через композабельність, збої одиночних валідаторів. Їхня модель визначає справедливу ставку як мінімум понад 13% — вперше інституція кількісно оцінила цей розрив.

Швидкі bailout-дії галузі відвернули системний крах, але також підтвердили, що відсутність премій за ризик стала очевидною для учасників ринку. Головна змінна на майбутнє — не «чи станеться ще одна атака» (це майже гарантовано), а чи зможе ринок переглянути механізми ціноутворення до наступної системної події. Технічні оновлення, такі як Aave V4 та Ethereum Economic Zone, можуть допомогти зменшити системну експозицію ризику, але справжня реформа ціноутворення потребує динамічних параметрів оцінки ризику у моделях ставок на рівні протоколу. Лише тоді, коли ставки DeFi точно відображатимуть витрати на безпеку, галузь зможе вийти із сірої зони невідповідності доходності та ризику і перейти до нової ери масштабної інституційної участі.

FAQ

Q: Як Standard Chartered розрахувала «справедливу ставку понад 13%», згадану у своєму звіті?

Модель звіту, побудована навколо системних ризиків, виявлених під час інциденту KelpDAO, враховує три основні фактори премії за ризик: (1) середню частоту та очікувані втрати від експлойтів смарт-контрактів, (2) ризик поверхні атаки архітектури бриджів, (3) системний ризик зараження через композабельність активів. Інтегруючи ці фактори у скориговану модель ціноутворення капітальних активів, модель доходить висновку, що ставки DeFi-лендингу мають бути значно вищими за поточні ринкові рівні, а 13% виступає як референтний мінімум. Примітно, що станом на 30 квітня 2026 року річна доходність депозитів у стейблкоїнах на провідних протоколах DeFi здебільшого була нижче цього порогу.

Q: Чому атаки на KelpDAO і Drift вплинули на сторонні протоколи, такі як Aave?

Хоча дві атаки відбулися у різних екосистемах, механізми їх передачі були схожими. У зломі KelpDAO викрадені rsETH були прямо депоновані як застава у Aave та інших протоколах, що дозволило зловмиснику позичити великі обсяги ETH і створити понад $280 мільйонів проблемної заборгованості у лендингових платформах. Атака на Drift включала внутрішню маніпуляцію цінами та компрометацію підписантів управління, що вплинуло на ринок стейблкоїнів і лендингові позиції. Такий «експлойт одного протоколу — застава у великих лендингових платформах — каскадні ліквідації та поширення проблемної заборгованості» ефект доміно ілюструє композабельність DeFi як джерело системного ризику і пояснює, чому сторонні протоколи можуть пасивно нести ризики навіть без прямої атаки.

Q: Чи існує розрив між поточними ставками DeFi та оцінками моделі Standard Chartered, і наскільки він великий?

Станом на 30 квітня 2026 року основні депозитні ставки у стейблкоїнах DeFi зазвичай коливалися від 3% до 10%, причому більша частина доходу забезпечувалася токен-стимулюванням, а не чистою лендинговою доходністю. Модель Standard Chartered, яка вказує на «справедливу ставку понад 13%», підкреслює значний розрив у ціноутворенні. Серед причин: недооцінка учасниками ринку ризиків від кросчейн-структур активів, зараження ліквідної кризи, помилок дозволів смарт-контрактів, а також штучне спотворення базових ставок стимулюванням ліквідності. У звіті зазначено, що 98% застави rsETH KelpDAO на Aave було сконцентровано у стратегії leveraged looping — рівень концентрації ризику, який не врахований у поточних моделях ставок.