Zespoły Aave i CoW Swap przedstawiły różne wersje incydentu, w wyniku którego użytkownik stracił ponad 50 milionów dolarów podczas wymiany tokenów.
Wersja CoW
Zespół agregatorów uważa, że przyczyną niepowodzenia transakcji z AAVE było połączenie kilku czynników:
- zlecenie „zrealizuj lub anuluj” na niepłynną parę o dużym wolumenie;
- nieaktualny limit gazu w systemie weryfikacji;
- rozwiązywacz, którego nie udało się wykonać;
- prawdopodobieństwo wycieku danych transakcyjnych z prywatnej puli pamięci.
https://t.co/1JJhoyi3Pd
— CoW DAO (@CoWSwap) 14 marca 2026
Na etapie zapytania ofertowego trzy firmy oferujące rozwiązania zaproponowały ceny. Najlepsza z nich zaproponowała około 5 milionów dolarów AAVE przy 50 milionach dolarów – strata około 90%. System weryfikacji z twardym limitem 12 milionów gas (przestarzały kod, jak wyjaśniono w CoW) odrzucił te opcje.
Jedyna zweryfikowana oferta Solvera A oferowała około 329 AAVE – 150–200 razy mniej niż niezweryfikowane alternatywy. Ta wartość posłużyła jako podstawa do ustalenia ceny zlecenia z limitem.
W trakcie realizacji sytuacja się pogorszyła. Solver E znalazł bardziej opłacalną trasę i wygrał dwie aukcje, ale żadna transakcja nie dotarła do bloku. Po dwóch niepowodzeniach przestał brać udział w grze, pozostawiając w niej tylko słabego solvera z najgorszą ceną.
„W aukcji nie ma mechanizmu, który pozwalałby śledzić taki scenariusz” – zauważył CoW.
Deweloperzy wykryli również potencjalny wyciek danych z puli pamięci. Transakcja została wysłana za pośrednictwem prywatnego RPC , ale została oznaczona jako „potwierdzona w ciągu 30 sekund”. Dzieje się tak, gdy transakcja zostanie wykryta w kolejce publicznej przed dołączeniem jej do bloku. Trwa dochodzenie.
Wersja Aave
Aave uważa, że głównymi przyczynami incydentu były brak płynności na rynku i wybór użytkownika. Raport odtworzył przebieg transakcji: solver przekonwertował aEthUSDT na USDT za pośrednictwem Aave V3, następnie wymienił je na WETH na platformie Uniswap V3 i sfinalizował transakcję za pośrednictwem puli SushiSwap z płynnością wynoszącą zaledwie 73 000 USD.
https://t.co/UmXulxU7NS
— Aave (@aave) 14 marca 2026 r
Zespół zauważył, że widżet wyświetlał ostrzeżenie „wysoki wpływ na cenę (99,9%)” i wymagał potwierdzenia zgody. Użytkownik potwierdził transakcję z urządzenia mobilnego. Środki są nadal dostępne, ale nie mógł się połączyć.
W odpowiedzi Aave uruchomiło Aave Shield. Nowa funkcja domyślnie blokuje wszystkie transakcje giełdowe, których wpływ na cenę przekracza 25%. Ochronę można wyłączyć tylko ręcznie w ustawieniach.
Wcześniej założyciel projektu, Stani Kulechov, wspominał o planach zwrotu około 600 000 dolarów w postaci opłat. W najnowszej publikacji kwota ta została skorygowana do 110 368 dolarów (25 punktów bazowych). Dokładność tej kwoty potwierdzają metadane agregatora CoW Swap.
Kwota ta stała się przedmiotem kontrowersji w społeczności Aave. Od grudnia 2025 roku organ zarządzający nie mógł zdecydować, czy przekazać pieniądze do kasy ogólnej DAO, czy do deweloperów w Aave Labs.
Współczynnik MEV
Co znamienne, oficjalne publikacje w żaden sposób nie wspominają o botach MEV, które najbardziej skorzystały na błędzie tradera. Według Arkham, algorytm Titan Builder zarobił około 34 milionów dolarów w ETH. Inny bot zarobił 9,9 miliona dolarów w wyniku udanego ataku typu sandwich.
Titan Builder wyciągnął z tej katastrofy ETH o wartości 34 mln dolarów
Natychmiast wysłali wszystkie wpływy do Coinbase https://t.co/B9j8p2czTD pic.twitter.com/5Ll8mZxiEB
— Emmett Gallic (@emmettgallic) 12 marca 2026
CoW ograniczyło się do wzmianki o „istotnym zapleczu ” i wymienienia adresów, ale nie użyło terminu „kanapka” ani nie ujawniło mechanizmów. Jednocześnie integracja CoW Swap została pozycjonowana jako obrona przed MEV.
Przypominamy, że 10 marca doszło do awarii wyroczni w Aave. Doprowadziło to do błędnej likwidacji pozycji w tokenie wstETH o wartości około 26 milionów dolarów.