Кредиторы под давлением: TelosC, Elixir и ещё семь платформ считают дыры после атаки на Stream Finance

На рынке децентрализованных финансов нет безопасных гаваней: каждая новая атака вскрывает системные уязвимости, о которых предпочитают не говорить в публичных отчётах. Взлом Stream Finance стал очередным напоминанием, что архитектура DeFi не выдерживает столкновения с реальной угрозой. Потеря $93 млн спровоцировала лавину цепных убытков, способных превысить $285 млн. За этим стоит не просто хак — это крах доверия к залоговым механизмам, построенным на производных токенах.

Масштаб атаки и первичные последствия

4 ноября Stream Finance приостановила работу после того, как злоумышленники вывели $93 млн. По данным YieldsAndMore (YAM), инцидент разрушил устойчивость токена Staked Stream USD (xUSD): монета обвалилась с $1,3 до $0,3. Это не просто цифры — это потеря опоры для десятков протоколов, завязанных на xUSD в качестве залога. Аналитики YAM прямо указали, что последствия для держателей xUSD, xBTC и xETH могут оказаться катастрофическими.

"Это колоссальные потери. Неясно, как урегулируют вопросы между держателями xUSD/xBTC/xETH и кредиторами, использующими эти токены", — заявили в YieldsAndMore.

Падение курса xUSD вызвало каскадную реакцию: ликвидность DeFi-сегмента на смежных платформах начала быстро проседать. Приостановка Stream Finance остановила цепочку взаимных выкупов, что фактически заморозило залоговые позиции на десятках смарт-контрактов.

Кредитные связи и структура долгов

По расчётам YAM, совокупная задолженность Stream Finance перед кредиторами оценивается в $285 млн. В топе кредитных требований — TelosC ($123,6 млн), Elixir ($68 млн), MEV Capital ($25,4 млн), Varlamore ($19,1 млн). Меньшие суммы распределены между Re7, Enclabs, Mithras, TiD и Invariant Group.

Отдельного внимания требует Elixir: его токен deUSD обеспечен за счёт кредита Stream Finance в размере 68 млн USDC, что составляет 65% от общего обеспечения. Команда Elixir утверждает, что имеет право выкупа долга по номиналу $1, однако юридическая неопределённость блокирует любые выплаты. Пока юристы определяют, "кто сколько должен", средства остаются заблокированными.

Почему система дала сбой? Из-за кругового залога: часть активов, обеспечивающих одни токены, одновременно использовалась как гарантия по другим. Этот перекрёстный коллатерал создавал иллюзию устойчивости — до тех пор, пока один элемент не был разрушен.

Сложная сеть обеспечений и зависимостей

Схема, по которой действовала Stream Finance, характерна для позднего этапа DeFi-развития. Токены вроде scUSD от Treeve имели многоступенчатую структуру: scUSD → stkscUSD → veUSD → eliteRingsScUSD. Каждый уровень опирался на предыдущий, а в основе находился всё тот же xUSD. Потеря привязки базового актива обрушила всю цепочку.

Что происходит при такой взаимозависимости? Один дефект в смарт-контракте превращает стейблкоин в пустую оболочку. Даже если внешние активы формально существуют, доступ к ним юридически и технически затруднён. Сценарий Stream Finance повторяет историю TerraUSD, но в более сложной и фрагментированной форме: теперь обесценивание не одномоментное, а распределённое по нескольким платформам.

Цепная реакция и зоны риска

Аналитики YAM предупреждают, что в зоне риска остаются "синтетические" токены xUSD, xBTC и xETH, которые применяются как залог на Euler, Silo, Morpho и Sonic. Каждая из этих платформ должна будет провести ревизию контрактов и ликвидационных позиций. Пока этого не произошло, угрозу невозможно оценить количественно.

"Картина пока неполная. Мы ожидаем, что по мере закрытия позиций и проверки кредитных контрактов будет выявлено больше пострадавших казначейств", — отметили в YieldsAndMore.

Каковы потенциальные последствия для экосистемы? Если выяснится, что убытки перераспределены между несколькими пулями ликвидности, пострадают не только кредиторы Stream Finance, но и пользователи вторичных протоколов, не имеющих прямого отношения к инциденту.

Типовые ошибки и цепочка последствий

Главная ошибка Stream Finance — использование собственного токена как базового залога. Это повышает рыночный риск, особенно при его переоценке. После падения цены залог моментально теряет ликвидность, а кредитные контракты переходят в зону "undercollateralized".

Последствия закономерны: ликвидационные роботы не успевают продать обесценившиеся активы, долги растут, кредиторы теряют контроль над выкупом. Альтернатива — диверсификация обеспечения через внешние активы и независимые стейблкоины, что уменьшает риск каскадного обвала.

Почему DeFi-протоколы продолжают повторять эти ошибки? Из-за ориентации на высокую доходность и стремления удержать капитал внутри своей экосистемы. Чем больше токенов протокол выпускает, тем сильнее взаимная зависимость, тем уязвимее система.

"А что если" сценарии и системные уязвимости

Если Stream Finance не сможет возобновить работу, пострадает вся архитектура связанных DeFi-проектов. Elixir, Treeve, TelosC и MEV Capital окажутся перед необходимостью замораживать операции и пересматривать структуру обеспечения. Это приведёт к временной сегментации ликвидности — процессу, когда взаимосвязанные пулы начинают закрываться один за другим, вызывая дефицит стейблкоинов на рынке.

Можно ли предотвратить такие кризисы? Теоретически — да. Практически — нет, пока отрасль избегает централизации аудита и юридической ответственности. Даже проекты с открытым исходным кодом не защищены от внутреннего управления, где решения принимают анонимные DAO-участники.

Исторический контекст и параллели

Ситуация вокруг Stream Finance напоминает взлом Balancer, о котором стало известно 3 ноября. Тогда хакеры вывели не менее $128 млн, используя уязвимость в механизме перераспределения ликвидности. Эти два инцидента произошли с интервалом в один день, что указывает на рост системных атак на крупные DeFi-хабы. С 2021 года совокупные потери от подобных инцидентов превысили десятки миллиардов долларов, по данным профильных аналитических агентств.

В чём отличие от ранних атак? Теперь злоумышленники бьют не по смарт-контрактам, а по цепочкам обеспечения, ломая экономическую структуру протоколов. Это требует меньших усилий, но приводит к более масштабным последствиям.

Инструкция для инвесторов и операторов DeFi

Чтобы минимизировать риски, держатели активов должны придерживаться базовых шагов.

1. Проверять состав обеспечения токенов перед инвестированием.
2. Избегать протоколов, где более 50% залога составляют собственные токены.
3. Хранить часть ликвидности вне DeFi-площадок.
4. Использовать независимые источники для верификации смарт-контрактов.
5. Следить за публичными аудитами и обновлениями GitHub.

Эти действия не гарантируют безопасность, но позволяют снизить вероятность потерь при внезапной остановке протокола.

Распространённые заблуждения и реальная динамика

Многие инвесторы до сих пор уверены, что наличие DAO или открытого кода делает проект "саморегулируемым". Это ошибочно. Прозрачность кода не исключает ошибок в экономической модели. Более того, зависимость от токенов-посредников делает такие проекты менее устойчивыми, чем централизованные аналоги.

Можно ли считать DeFi безопасной альтернативой традиционным финансам? Нет, если под безопасностью понимать гарантированное сохранение капитала. DeFi предлагает свободу и инновации, но платой за них остаётся системный риск. Каждая атака вроде Stream Finance демонстрирует, что стабильность в этой среде иллюзорна и поддерживается лишь до следующего сбоя.