Криптокредитный протокол Tydro, построенный на базе Aave в сети Ink и располагавший депозитами на $247 млн, 4 мая полностью остановил работу всех рынков после обнаружения проблем у стороннего провайдера оракулов. Приостановка произошла спустя всего две недели после того, как Tydro принял участие в скоординированной помощи пострадавшим от эксплойта протокола KelpDAO, который нанёс ущерб Aave примерно на $290 млн.
Tydro опубликовал в X сообщение: «Временно приостанавливаем все рынки из соображений предосторожности в связи с сообщениями о неполадках у стороннего оракула», добавив, что средства пользователей остаются в безопасности, но не назвал сроков восстановления. На момент остановки протокол держал более $206,7 млн в активных займах и сгенерировал свыше $943 тыс. комиссий за последние 30 дней, по данным DeFiLlama.
Тем временем децентрализованный кредитный гигант Aave пытается оспорить судебный приказ, заморозивший около $71 млн в ETH, которые были перехвачены разработчиками сети Arbitrum до того, как злоумышленник успел вывести средства. Инцидент восходит к 18 апреля, когда атакующий, приписываемый северокорейской группе Lazarus, использовал уязвимость кроссчейн-моста KelpDAO для чеканки необеспеченных токенов rsETH. Эти токены были внесены в качестве залога в рынки Aave, после чего злоумышленник занял реальный эфир. Позднее выяснилось, что залог ничего не стоит, а общий ущерб составил $290 млн — это спровоцировало отток более $15,1 млрд из Aave за три с половиной дня (депозиты упали с $48,5 млрд до $30,7 млрд).
5 мая компания Aave LLC подала экстренное ходатайство об отмене ограничительного уведомления, выпущенного 1 мая против Arbitrum DAO, которое, по мнению Aave, «пытается захватить около $71 млн в ETH, принадлежащих жертвам эксплойта 18 апреля». Истцы, добивавшиеся заморозки средств, утверждают, что активы уже принадлежат КНДР и могут быть использованы для удовлетворения их требований по искам о терроризме. Aave возражает: «Вор не получает законного права собственности на украденное имущество просто завладев им, и закон здесь однозначен. Эти активы были возвращены, чтобы вернуть их пользователям, пострадавшим от эксплойта 18 апреля. Заморозка вредит именно тем, кого призвана защитить эта программа восстановления».
Ситуация обострилась, когда юристы потерпевших от северокорейского терроризма попытались переквалифицировать эксплойт из кражи в мошенничество. В новом заявлении в федеральный суд Южного округа Нью-Йорка они описали произошедшее как фиктивную кредитную сделку: Северная Корея заняла реальные активы под ничтожный залог и не вернула их. Такой аргумент опирается на Закон о страховании рисков терроризма (TRIA), позволяющий взыскивать заблокированную собственность государства-спонсора терроризма в пользу обладателей соответствующих судебных решений. Адвокаты также указали, что Aave, согласно собственным условиям обслуживания, не осуществляет «владение, хранение или контроль» над средствами пользователей, что ставит под вопрос право протокола оспаривать арест.
Дополнительное давление создаёт информация о том, что отраслевой фонд помощи DeFi United, куда входит и Aave, уже собрал $327,95 млн — более чем в четыре раза превышающую спорную сумму. Слушание назначено на среду, 6 мая, в Манхэттене. Исход разбирательства может создать прецедент для дел, связывающих механику DeFi-эксплойтов с федеральным законодательством о терроризме и правами кредиторов.
