Библиотека
DeFi Capital
Security Research · Lending Markets

Куда класть капитал после взлома Kelp

Security-only аудит пяти лендинг-маркетов с целью найти устойчивые протоколы для Yield Chaser и Real Trader: Aave v3 · Fluid · Morpho · Compound v3 · Euler v2

21.04.2026 · Report v1.1 · Security-only scope
Т
Тимур СевостьяновDeFi Capital Solutions · управление капиталом on-chain
📩
Получить материал в Telegram Подпишитесь на канал и заполните короткую анкету — материалы откроются в нашем приложении
Открыть в Telegram
Trigger · April 18–19, 2026 · Active incident

Kelp DAO rsETH exploit — $292M stolen

Активный инцидент на момент публикации

LayerZero 1-of-1 DVN compromised (attrib. Lazarus Group). 89,567 rsETH pledged on Aave as collateral → $193M WETH borrowed. Aave bad debt модель: $124–230M, не погашен. Aave core код не скомпрометирован — риск листинга внешнего LRT-актива с уязвимым bridge.

Ключевые цифры отчёта

Kelp DAO rsETH exploitукрадено 18 апреля 2026, LayerZero DVN
$292M→ 9 протоколов
Bad debt Aave по моделине погашен на момент публикации
$124–230Mактивный
Lazarus-кампания апреля 2026Drift $283M + Kelp $292M
$575Mза 18 дней
Лучший security-scoreEuler v2, #1 в baseline, Tier B
80.30из 100
Заморозка Arbitrum SCсредства эксплойтера, 30,766 ETH
+$71Mrecovered
02 · Executive Summary

Top-3 стабильны при любых весах; Aave тянет вниз активный Kelp-долг

Scorecard на baseline-весах (audit 20% · exploit 25% · bad debt 15% · governance 15% · oracle 10% · arch 10% · chain 5%)

Euler v2 (EVC+EVK)

80.30
#1 · Tier BB
$4M аудит-бюджет + Sherlock $10M coverage (2% премия). Legacy: v1 $197M (март 2023, возвращены). Ограниченный мультичейн-footprint = plus в эпоху Lazarus.

Compound v3 (Comet)

79.30
#2 · Tier BB
Zero on-chain exploits за 3.5 года. Изоляция per-Comet. Минус — oracle без fallback, Stage 0 governance.

Morpho (Blue + MetaMorpho)

78.60
#3 · Tier BB
Immutable Blue + 19+ аудитов. В Kelp: ~$1M из ~500 vaults затронуты. Curator process = повторный вектор (Resolv+Kelp за <2 мес).

Aave v3

64.20
#4 · Tier DD
v1.1 downgrade: 80.5% aWETH Umbrella в cooldown до паузы → backstop не сработал как номинал. $71M Arbitrum-freeze компенсирует ~24%.

Fluid (Instadapp)

57.85
#5 · Tier DD
Shared liquidity layer — худшая изоляция. Resolv bad debt $70M покрыт частным bail-out, не treasury.

Рекомендация для Yield Chaser

  • Morpho — основной: USDC Steakhouse / Gauntlet Prime vaults на Ethereum; MetaMorpho на Base. Cap 25–30%
  • Compound v3 — backup stable pillar. Все чейны, но L2 тонкие. Cap 20–25%
  • Euler v2 — только через curated clusters (не permissionless vaults). Cap 10–15%
  • Aave — сократить до <20% пока Kelp debt не закрыт. Заморозить новые LRT-позиции
  • Fluid — не более 5%, только чистые стейблы, никаких LP/LRT. Ждать реализованного circuit breaker

Красные флаги апреля 2026

Aave · Kelp rsETH · активный$124–230M bad debt, TVL –$8.45B за 48ч, Umbrella не тестировался на таком масштабе
Aave · CAPO · март 2026$26M ошибочных ликвидаций из-за gap off-chain-агент / on-chain-constraint. Возмещено Chaos Labs + treasury
Fluid · Resolv · март 2026$70M bad debt от депега USR через мошеннический минт. Покрыт частным bail-out за 3 дня
Compound · Proposal 289 · июль 2024Golden Boys почти забрали $24M через governance attack. Решено политически, не кодом
03 · Methodology

Семь измерений безопасности, взвешенная сумма 0–100

Каждое измерение — эксперт-рейтинг 0–100 на основе первичных источников (аудиты, post-mortems, DefiLlama, Immunefi, governance forums)

#DimensionWeightЧто считаем
1Audit depth20%Tier-1 фирмы (OZ, ToB, Spearbit, Certora, ChainSecurity) + breadth + recency. Contests с дисконтом.
2Exploit history25%Прямые core-эксплойты + незакрытый bad debt. Recency-decay. Активные события = x0.5 penalty.
3Bad debt resilience15%Размер backstop vs максимально правдоподобный убыток. Socialized losses = ceiling 60.
4Governance risk15%Глубина timelock, guardian separation, scope апгрейда, история атак, immutability core.
5Oracle risk10%Redundancy, staleness check, fallback, иммутабельность адаптеров. Permissionless = ceiling 70.
6Architecture isolation10%Isolated + immutable = ceiling 100. Pool-wide = ceiling 55. Shared liquidity = ceiling 45.
7Chain maturity5%Наличие на ETH+Arbitrum+OP+Polygon+Avalanche+BNB, взвешено по TVL и сроку.

Источники (по каждому протоколу)

Primary — официальные репозитории

GitHub aave-dao/aave-v3-origin, morpho-org/morpho-blue, Instadapp/fluid-contracts-public, compound-finance/comet, euler-xyz/euler-v2-audits

Auditor publications

OpenZeppelin, ChainSecurity, Trail of Bits, Spearbit/Cantina, Certora, Omniscia, PeckShield, MixBytes, StateMind, Blackthorn, Zellic, Ackee, yAudit, Code4rena, Sherlock

Incident DBs

DefiLlama /hacks, Rekt.news, Halborn post-mortems, команды протоколов blog + governance forums (Aave, Compound, Morpho, Euler, Fluid)

Confidence levels

HIGH 3+ независимых источника MED 2 источника LOW 1 источник
Полный список URL и даты доступа — sources.md (слайд 15).

04 · Sensitivity Analysis

Top-3 устойчивы при любых весах — Aave и Fluid стабильно внизу

Три сценария весов: baseline, exploit-heavy (track record > audits), architecture-heavy (Yield Chaser lens)

Scenario A · Baseline 20/25/15/15/10/10/5

Балансирует превенцию (аудиты) и trackрекорд (эксплойты).

1Euler v2 80.30
2Compound79.30
3Morpho78.60
4Aave 64.20
5Fluid57.85

Scenario B · Exploit-heavy 15/35/15/15/10/5/5

Реальные потери важнее покрытия аудитами.

1Compound80.00
2Euler v278.65
3Morpho76.90
4Aave ↓↓61.70
5Fluid58.20

Scenario C · Architecture-heavy 15/20/15/10/10/20/10

Изоляция и присутствие на сетях = приоритет Yield Chaser.

1Compound79.25
2Morpho77.80
3Euler v277.40
4Aave62.55
5Fluid 54.20
✓ Robustness v1.1После supplementary-ресерча top-3 пересортированы (Euler v2 #1 в baseline благодаря Sherlock $10M coverage), но ВСЕ ТРИ по-прежнему в Tier B с разбросом <2 балла. Aave упал с Tier C (67.05) до Tier D (64.20 → 61.70 в exploit-heavy) — Umbrella cooldown в реальном стрессе оказалась меньше номинала. Fluid стабильно D/F. Уровневая логика решений не изменилась, но Aave-exposure cap стал жёстче.
05 · Incident Timeline

Хронология инцидентов 2021–2026 · восемь событий

Core smart-contract exploits помечены красным, внешние/social — жёлтым. Recovery и zero-loss события — зелёным

ДатаПротоколСобытиеСумма
2021-09 · SepCompound v2COMP distribution bug$80M lost
2022-11 · NovAave v2CRV/Eisenberg$1.7M bad debt
2023-03 · MarEuler v1donateToReserves flaw$197M — $240M returned
2024-07 · JulCompound DNSSquarespace hijackoff-chain
2024-10 · OctMorpho BluePAXG oracle adapter$230K
2025-04 · AprMorpho SDKBundler2→3 migration$0 — whitehat
2026-03 · MarFluid / AaveResolv depeg + CAPO$70M + $26M
2026-04-01 · LazarusDriftSocial engineering$283M
2026-04-18 · NowAave · KelpLayerZero DVN$292M → 9 protocols

Паттерн 2024–2026 + Lazarus кампания

Ни одного прямого взлома core-кода топ-5 лендингов с Euler v1. Все события — через внешнюю поверхность: oracle adapter, DNS, SDK, collateral-депег, CAPO, LayerZero DVN. Апрель 2026 — скоординированная Lazarus кампания: Drift $283M (social-engineering governance signers, 1.04) + Kelp $292M (RPC poisoning + DDoS failover, 18.04) = $575M за 18 дней. Это системный риск для всех мультичейн-протоколов вне зависимости от кода.

9 / 9 пострадавших протоколов

Aave (основной), SparkLend (exposure $37K — заранее удалил rsETH в янв 2025), Fluid, Compound v3, Euler v2, Morpho (~$1M из ~500 vaults), Lido Earn/Mellow, Pendle/Upshift, Beefy. Приоритет сегодня — isolation + limited cross-chain footprint. Euler v2 и Compound v3 имеют relative advantage; Aave с 11 деплоями — elevated exposure.

06 · Deep Dive 1/5

Aave v3 · 64.20 · Tier D (v1.1 downgrade)

Самый глубокий аудит-стек в DeFi. Но pool-wide architecture + активный Kelp-долг + Umbrella реально выгрузилась в cooldown до паузы — downgrade с 67.05

Audits
40+
Bug bounty
$1M
TVL pre-Kelp
$26.4B
TVL now
$18B

Dimension breakdown

Audit depth
95
Exploit history
45
Bad debt resilience
40 −15
Governance
78 −4
Oracle
70
Architecture
45
Chain maturity
95

Инциденты · Kelp waterfall (Llamarisk)

DateEventLossStatus
2026-04-21Arbitrum SC заморозил средства эксплойтера+$71M recovered30,766 ETH
2026-04-18Kelp DAO rsETH (LayerZero DVN)$124–230MACTIVE
2026-03CAPO wstETH E-Mode misconfig$26MReimbursed
2022-11CRV Eisenberg (v2)$1.7MTreasury covered
2022-06/09Harmony / Fantom deprecation$1.5M stuckDeprecated

Аудит stack (ключевые)

OpenZeppelinCertora · continuous FV since 2022Trail of Bits · v4ChainSecurity · v4SpearbitPeckShieldSigma PrimeSherlock · v4MixBytesCantinaAckee

Umbrella — v1.1 red flag

80.5% aWETH в cooldown до паузы18,922 из 23,507 staked aWETH уже выходили — реальный backstop в стрессе значительно <$250M номинала. Источники: $50M / $80–100M / $250M — три разные оценки.
Guardian сработал, но поздноrsETH заморожен за ~77 мин, но $190M долга уже накопилось. 2×5-of-9 multisig: Chaos Labs, LlamaRisk, Karpatkey, Certora, TokenLogic, BGD, ACI.
BGD Labs вышли · регулирование снялиBGD закончили formal engagement в марте. Плюс: SEC закрыл 4-летнее расследование (авг 2025).

Архитектура · Oracle

Pool-wide + CAPO fragilitye-Mode / isolation — частичные митигации. CAPO bug (март 2026) выявил gap off-chain-agent / on-chain-constraint. Kelp доказал cross-asset contagion.
07 · Deep Dive 2/5

Fluid (Instadapp) · 57.85 · Tier D

Самый молодой протокол в наборе с агрессивной механикой (95% LTV, 0.1% penalty). Shared liquidity layer = системная зараза

Audits
7
Bug bounty
$500K
TVL
$863M
Utilization
~93%

Dimension breakdown

Audit depth
68
Exploit history
55
Bad debt resilience
50
Governance
65
Oracle
75
Architecture
35
Chain maturity
45

Инциденты

DateEventLossStatus
2026-03-22Resolv USR depeg (AWS key compromise → mint 50M USR)$70M bad debtPrivate bail-out · 3 дня

Аудит stack

PeckShieldStateMind ×2MixBytes ×3Cantina competitionSherlock · $200KCode4rena · $93.5K

Нет Tier-1 фирмВ стеке нет OpenZeppelin / Trail of Bits / Spearbit / Certora. MixBytes качественны, но не заменяют Tier-1 покрытие для протокола с $863M TVL.

Governance · Oracles

10-day timelock · upgradeable contractsКомпенсирует upgrade risk. INST insider allocation 35.8% (team 23.8 + investors 12).
Tri-oracle: Chainlink + Redstone + Uniswap V3 TWAP (3 checkpoints)Не помогло в Resolv — smart-contract-level fraudulent mint оракул обновил корректно до нуля.

Архитектура — корневой риск

Shared Liquidity LayerОдин контракт держит ВСЕ средства протокола. Lending, Vaults, DEX — поверх. Проблема в одном vault touches всех — доказано Resolv (TVL −30% за сутки).
95% LTV + 0.1% liquidation penaltyMixBytes medium-finding 2024 "no supply cap" → acknowledged but not fixed. Circuit breaker анонсирован после Resolv, статус реализации не подтверждён.
08 · Deep Dive 3/5 · #3

Morpho (Blue + MetaMorpho) · 78.60 · Tier B

Immutable Blue + isolated markets. В Kelp: ~$1M из ~500 vaults затронуты — изоляция работает. Но curator risk — повторный вектор за <2 месяца

Audits
19+
Bug bounty
$2.5M
TVL
$5.82B
Core immutable

Dimension breakdown

Audit depth
92
Exploit history
75 −3
Bad debt resilience
72
Governance
88
Oracle
55
Architecture
92 −3
Chain maturity
55

Инциденты · паттерн isolated vaults

DateEventLossStatus
2026-04-18Kelp rsETH — 2 vaults из ~500 затронуты~$1MBlue core держит
2025-11Resolv USR — 15 MetaMorpho vaults (Gauntlet $4.95M)curator-levelBlue-chip vaults safe
2025-04-10Bundler2→3 SDK migration$0 · whitehatZero loss
2024-10-13PAXG/USDC oracle adapter bug$230KBlue unaffected

Аудит stack (2 слоя)

Blue core
OpenZeppelinSpearbitCantina contestCertora FV

Vaults V2 · 11 engagements
Spearbit ×4Certora ×2ZellicBlackthorn ×2ChainSecurityCantina

Архитектура — сильные стороны

Blue: истинно immutableНет admin, нет pause, нет upgrade. Гарантия против governance-атак на core логику.
Isolated markets = containmentПроблема рынка не заражает другие. Resolv-incident это доказал — Blue продолжил работать.

Красные флаги

Curator concentrationGauntlet держал 98% ликвидности wstUSR/USDC market. Выбор vault = выбор curator. Критично валидировать.
Oracle immutability = permanent misconfigНеверно выбранный oracle при создании market нельзя заменить (PAXG-case). Доверяй только Chainlink-based markets.
09 · Deep Dive 4/5 · #2

Compound v3 (Comet) · 79.30 · Tier B

Самый clean track-record среди топ-5: ноль on-chain эксплойтов за 3.5 года. Single-borrow-asset per Comet = естественная изоляция

Audits
4
Bug bounty
$1M
TVL
$1.32B
Core exploits v3
0 / 3.5y

Dimension breakdown

Audit depth
88
Exploit history
92
Bad debt resilience
85
Governance
60
Oracle
50
Architecture
82
Chain maturity
75

Инциденты (не core v3)

DateEventLossStatus
2026-04rsETH collateral via Kelp exploitsmall, undisc.Ongoing
2024-07Proposal 289 governance attack (Humpy / Golden Boys)almost $24MPolitical resolution
2024-07DNS hijack (Squarespace)off-chainUnknown
2021-09v2 COMP distribution bug (legacy)$68.8Mv2, not v3

Аудит stack

OpenZeppelin ×2ChainSecurityCertora FV · pre-launch bug caught

Certora FV каталонкаОбнаружил critical isInAsset offset bug ДО деплоя — коллатераль ограничивалась 8 слотами из 15. Исправлено в commit 4cbb7e6a.

Архитектура — сильные стороны

Single-borrow-asset per CometОдин Comet = один base asset (USDC/WETH/USDT/wstETH/USDS). Cross-market заражение невозможно by construction.
absorb() с reservesShortfall покрывается из резервов протокола, НЕ социализируется на suppliers. Isolated reserves per Comet.

Красные флаги

Oracle: Chainlink ONLY, NO fallback, NO stalenessFlagged ChainSecurity 2022, не исправлено. Замена feed = 7+ дней DAO-голосования.
DeFiScan Stage 0 governance4/8 multisig может заморозить весь протокол. Exit window 5 дней (меньше рекомендованных 7).
10 · Deep Dive 5/5 · #1 (v1.1)

Euler v2 (EVC + EVK) · 80.30 · Tier B

Единственный с внешней страховой rail: Sherlock $10M coverage от дня-1. После v1-краха — крупнейшая аудит-программа ($4M, 60+ reviews). 19 месяцев v2 — ноль эксплойтов

Audit reviews
60+
Audit budget
$4M
Bug bounty
$7.5M
TVL
$1.01B

Dimension breakdown

Audit depth
98
Exploit history
70
Bad debt resilience
78 +8
Governance
90
Oracle
80
Architecture
75
Chain maturity
50

Инциденты

DateEventLossStatus
2024-09 — nowEuler v2 mainnet (19 месяцев)$0Zero incidents
2023-03-13Euler v1 · donateToReserves flaw$197MReturned $240M

Аудит stack · $4M

Spearbit ×4ChainSecurity ×3Trail of BitsCertora FVOpenZeppelinOmnisciayAudit ×5ZellicOtterSecBailSecCantina · $1.25M

2 CTF · $3.5M + $500K реальных средствHats Finance + внутренний CTF. Ноль взломано.

Sherlock · внешняя страховая rail

$10M coverage / 2% премия (public contest)Единственный из пяти с decentralized exploit protection от дня-1. Survived v1 payout stress-test.

Архитектура · Governance

EVC immutable + Dual 48h timelocksGuardian pause-only, НЕ resume (только timelock). Отличная separation of powers.
Permissionless vaults = user responsibilityДля Yield Chaser — только curated clusters (Gauntlet, Objective Labs). Hooks требуют audited operators.
11 · Comparison Matrix

Аудиторские фирмы × протоколы — покрытие Tier-1 неравномерно

Галочка = минимум один публичный engagement. Количество — в скобках. Только Euler v2 и Aave имеют полный Tier-1 стек

Аудиторская фирма Tier Aave v3 Fluid Morpho Compound v3 Euler v2
OpenZeppelin1✓ (3)✓ (2)
Trail of Bits1✓ (v4)
Spearbit / Cantina1contest✓ (5)✓ (4)
Certora (formal verification)1✓ continuous✓ (3)✓ pre-launch✓ (2)
ChainSecurity1✓ (v4)✓ (3)
Sherlock (contest)2✓ (v4)✓ $200K
Code4rena (contest)2✓ $93.5K
Sigma Prime / PeckShield / MixBytes2✓ all✓ MixBytes×3, PeckShield
Ackee / StateMind / Blackthorn / Zellic / yAudit / Omniscia3✓ Ackee, Blackthorn✓ StateMind×2✓ Blackthorn×2, Zellic✓ Omniscia, yAudit×5, Zellic, OtterSec
Итого Tier-1 (первые 5 строк)5/51/5 contest4/53/55/5
Общее число engagements40+719+460+
Вывод. Аудит-глубина не совпадает с track-record: Euler v2 имеет максимальное покрытие (60+ reviews, $4M), но унаследовал репутационный шрам от v1. Compound v3 с только 4 аудитами показывает zero exploits за 3.5 года — количество ≠ качество. Fluid и Morpho противоположные профили: Morpho плотно покрыт Tier-1, Fluid — не имеет ни одной Tier-1 фирмы.
12 · Attack Surface

Оракулы и архитектура — как ломается каждый протокол

Типы изоляции, oracle-зависимости, upgrade paths и доказанные failure modes 2024–2026

Протокол Архитектура Изоляция Oracle stack Upgradeability Proven failure mode
Aave v3 Pool-wide + e-Mode + isolation mode Partial Chainlink + CAPO wrapper + SVR (no fallback) Proxy, governance timelock 1d/7d rsETH listing → pool-wide contagion (Kelp Apr 2026)
Fluid Shared Liquidity Layer + Vaults + DEX Нет (worst) Chainlink + Redstone + Uniswap TWAP ×3 Upgradeable, 10d timelock Collateral depeg (Resolv USR) → system-wide debt (Mar 2026)
Morpho Blue Isolated immutable markets + curator vaults Best Permissionless, IMMUTABLE per market Blue — immutable; MetaMorpho upgradeable Oracle adapter bug в конкретном market (PAXG $230K)
Compound v3 Per-Comet (one base asset per market) Strong Chainlink only, no fallback, no staleness Comet upgradeable via Configurator DNS hijack (off-chain, Jul 2024)
Euler v2 Immutable EVC + modular vaults Strong ERC-7726 multi-provider, immutable adapters EVC immutable, vaults upgradeable Ни одного в v2 (19 месяцев)

Oracle surface · итоги

  • Euler v2 — иммутабельные адаптеры для 7 провайдеров, ERC-7726 quote-based. Минимальная single-point exposure.
  • Fluid — trippel-stack (Chainlink + Redstone + Uniswap TWAP), но не помогает от smart-contract-level collateral depeg.
  • Aave — CAPO — мощная абстракция, но сложная: март 2026 показал фрагильность on-chain constraint.
  • Morpho — permissionless oracle = свобода выбора при листинге; плохой выбор нельзя откатить (immutable).
  • Compound v3 — Chainlink only без fallback и staleness, флаг ChainSecurity 2022 не закрыт.

Architecture surface · итоги

  • Morpho Blue — структурно чемпион: isolated + immutable. Curator-слой отделён.
  • Compound v3 — каждый Comet изолирован по base asset. Cross-market заражение невозможно.
  • Euler v2 — EVC immutable. Vaults upgradeable по-отдельности, риск локализован. Permissionless = user responsibility.
  • Aave v3 — pool-wide by design. e-Mode снижает но не устраняет contagion-риск.
  • Fluid — shared liquidity = любая ошибка приводит к system-wide impact. Наихудшая изоляция.
13 · Chain Capacity

Где деньги — TVL по целевым сетям Yield Chaser

Данные DefiLlama, 21.04.2026. Тонкий рынок = повышенный liquidation risk. Galochki = присутствие, TVL >$10M

Chain Aave v3 Fluid Morpho Compound v3 Euler v2 Итого по сети
Ethereum~$10B$641M$3.14B$1.16B$799M~$15.7B
Arbitrum~$3B$104M$68M$91M$44M~$3.3B
Base~$1B$23M$2.6B$29M$7M~$3.7B
Optimism~$500M$18M~$520M
Polygon~$600M$5M$13M$8M~$625M
Avalanche~$500M$45M~$545M
BNB Chain~$400M$90M Plasma$84M Plasma~$575M
Число сетей с TVL >$10M 7 / 7 4 / 7 3 / 7 5 / 7 4 / 7

Коридоры размещения по сетям

  • Ethereum — выбор есть: Euler/Compound/Morpho/Aave. Score-приоритет: Euler > Compound > Morpho.
  • Base — Morpho доминирует ($2.6B). Альтернатива только Aave.
  • Arbitrum — ликвидность рассыпана. Compound + Euler; Aave — жёсткий cap.
  • Polygon / BNB / OP — Aave доминирует, альтернатив почти нет. Concentration risk.
  • Avalanche — только Aave и Euler. Лимитированный выбор.

★ Reference case · SparkLend

Spark (MakerDAO/Sky форк Aave) удалил rsETH ещё в январе 2025 на основании risk assessment. Результат в апреле 2026: exposure = $37,300 (15.32 rsETH) vs Aave $196M. Практическое доказательство proactive risk-management.

Spark не включён в scorecard (overlapping кода с Aave), но служит reference-benchmark: если Spark делистит актив — сильный сигнал для Aave-совместимых allocation до того, как придёт следующий exploit.

14 · Recommendation

Allocation matrix для Yield Chaser и Real Trader

Предлагаемые лимиты на 21.04.2026 · пересмотр после закрытия Kelp bad debt и релиза Fluid circuit breaker

Протокол Cap Основное использование Сети Что избегать Review
Euler v2 #1 20–25% Основной для exotic yields через curated clusters (Gauntlet, Objective Labs). Sherlock $10M coverage — единственная внешняя страховая rail. Узкий мультичейн = плюс сейчас. ETH + Arbitrum + Avalanche Permissionless vaults; hooks от неверифицированных операторов Monthly
Compound v3 20–25% Stable backbone. USDC/USDT/USDS Comets. Zero on-chain exploits за 3.5 года + single-borrow-asset isolation. Low cross-chain exposure. ETH + Arbitrum + Base L2 сильно тонкие markets (Scroll/Mantle/OP); экзотические collaterals Quarterly
Morpho 20–25% Stable через vetted vaults: Steakhouse USDC, Gauntlet Prime USDC. На Base — primary. Каждый new curator — 30 дней observability. ETH + Base Non-Chainlink оракулы; новые curators; long-tail collateral vaults Quarterly
Aave v3 v1.1 ↓ 10–15% Географический backbone (7/7 сетей). Умbrella не сработал как ожидалось — жёсткий cap. Вернуть к 20–25% только после: (1) закрытия Kelp, (2) реформы Umbrella cooldown. Только Polygon/BNB/OP — безальтернативно rsETH, weETH, любые bridged LRT; новые Umbrella-stakes; v4 Horizon RWA до clarity Weekly · до закрытия
Fluid ≤ 5% Опционально: fTokens на USDC/USDT на ETH. Только эксперименты, не основной allocation. Ждать circuit breaker. ETH only Smart collateral (LP в vault), 95% LTV markets, любой LRT Weekly

Триггеры пересмотра v1.1

  • !Закрытие Aave Kelp bad debt + реформа Umbrella cooldown → +10% к Aave
  • !Реализация Fluid circuit breaker (≤60 сек) → +5% к Fluid
  • !Третий isolated-vault инцидент в Morpho за 6 мес → downgrade curator-score
  • !Euler v2 первый инцидент → review cap до 5%
  • !Новая Lazarus атака на lending → mass re-review

Что обновить в коде DeFiCap

  • protocol_risk.py:44-179 — curated PROTOCOL_DATA drift
  • Aave: scores Umbrella-aware, Kelp-active flag + CAPO resolved
  • Morpho/Euler: bug_bounty_usd → 2.5M / 7.5M
  • Fluid: 7 audits; score 0.749 → 0.62; Resolv incident
  • Euler: launch_date → 2024-09-04; Sherlock coverage flag
  • Exploit Monitor → auto-pause Yield Chaser при Aave guardian-freeze

Operational guard rails v1.1

  • Минимум 40% allocation — Tier B (Euler+Compound+Morpho)
  • Ни один листинг LRT без 30-дневного burn-in periода
  • Auto-pause при любом Lazarus advisory / bridge exploit
  • Weekly scorecard recalc; monthly Euler curated-cluster audit
  • Spark как reference benchmark — повторять его риск-move first
15 · Sources & Changelog

Ключевые источники и контроль изменений

Полный sources.md в ~/brain/lending-audit/sources.md · raw JSON в ~/brain/lending-audit/data/

Первичные источники

Confidence распределение

HIGH · 55MED · 28LOW · 12
По всем 5 протоколам + инциденту.

Verification

Каждый audit engagement — минимум 2 источника (github/аудитор). Каждый инцидент — 2+ независимых источника (DefiLlama + Rekt/post-mortem/пресс). Все цифры TVL — DefiLlama API на 21.04.2026.

Ограничения и disclaimers

Kelp debt — активный на момент публикацииДиапазон $124–230M может измениться в зависимости от решения Kelp DAO по распределению потерь. Мониторим ежедневно.
Scope — security-onlyAPY, utilization, реальные liquidation dynamics, tokenomics не рассматриваются. Для полного investment decision — дополнить economic deep dive.
Сценарии, а не прогнозScoring = экспертный рейтинг на основе публичных данных. Новые атак-векторы могут возникнуть в любой момент.

Changelog

VersionDateChange
v1.02026-04-21 12:00Initial release (post-Kelp incident)
v1.12026-04-21 12:30Supplementary: Umbrella realism -15pt Aave; Sherlock +8pt Euler; Morpho curator caveat; Spark reference; Lazarus campaign context; Arbitrum $71M freeze
v1.2pendingPost Kelp bad-debt closure + Fluid circuit breaker
v2.0scheduledAdd economic scope (APY, utilization, tokenomics)
Contact · follow-up. DeFi Capital Solutions. Внутренний research-отчёт. Не является инвестиционной рекомендацией. Скачать PDF (7.9 МБ)

Кто это пишет

Я Тимур Севостьянов, стратег в DeFi. Управляю портфелями клиентов on-chain, а мониторить позиции и риски мне помогает связка AI-агентов, которая следит за рынком 24/7. Всё, что ты читаешь в этих материалах, часть моей рабочей практики, не теория. Если хочешь, чтобы я посмотрел твой портфель и собрал стратегию под него: что держать, где брать доходность, как защититься от просадки. Напиши мне, это бесплатно.

Хочу стратегию для себя
Бесплатно · без обязательств · отвечает живой человек
Дисклеймер

Внутренний research-отчёт. Не является инвестиционной рекомендацией. Internal research · not financial advice.

Scope — security-only: APY, utilization, реальные liquidation dynamics и tokenomics не рассматриваются. Scoring = экспертный рейтинг на основе публичных данных, новые атак-векторы могут возникнуть в любой момент.