Compound stanął w ostrym ogniu krytyki po zamrożeniu kluczowej aktywności na kilku rynkach w odpowiedzi na exploit rsETH Kelp DAO, przekształcając ruch kontroli ryzyka w problem zaufania użytkowników. Platforma nie ucierpiała w wyniku samego ataku, ale skutki rozprzestrzeniły się na rynki pożyczkowe tak szybko, że Compound i jego partnerzy ds. ryzyka zdecydowali się wyłączyć części systemu, zanim straty mogłyby się nasilić. Ta reakcja mogła ograniczyć dalsze szkody, jednak wielu użytkowników twierdziło, że sposób jej przeprowadzenia sprawił, że czuli się uwięzieni, wprowadzeni w błąd i zignorowani.
Problemy zaczęły się po tym, jak rsETH Kelp DAO został dotknięty poważnym exploitem w kwietniu 2026 roku. Raporty podają, że ponad 116 000 rsETH zostało wykradnięte, a straty oszacowano na około 292‑294 miliony dolarów. Ponieważ rsETH był wykorzystywany w całym ekosystemie DeFi, wstrząs nie ograniczył się do jednego protokołu. Platformy pożyczkowe musiały ocenić, czy złe zabezpieczenie, uszkodzona podstawa lub szybkie likwidacje mogą rozprzestrzenić szkody. Compound zareagował, wstrzymując aktywność w dotkniętych rynkach Comet, jednocześnie przygotowując nowe zabezpieczenia. Kroki te miały chronić protokół, ale jednocześnie zablokowały normalne działania wielu użytkowników. Źródła na końcu.
W Compound ustawienia pauzy stworzyły twardy podział między tym, co użytkownicy nadal mogli robić, a tym, czego nie mogli. W zatrzymanych rynkach użytkownicy wciąż mogli dostarczać aktywa, składać zabezpieczenia i spłacać zadłużenie. Nie mogli jednak wypłacić płynności, wycofać zabezpieczeń ani otworzyć nowych pożyczek. Ten projekt stał się centrum gniewu. Niektórzy użytkownicy wpłacili środki, a dopiero później dowiedzieli się, że najważniejsze dla nich akcje są zablokowane. Inni odkryli, że nie mogą opuścić pozycji ani wyciągnąć środków, nawet gdy ryzykowne narażenie wydawało się niewielkie w porównaniu z rozmiarem rynku.
To właśnie tam frustracja przekształciła się w coś poważniejszego. Niektórzy użytkownicy oskarżyli Compound o wprowadzanie w błąd, ponieważ aplikacja nie ostrzegła ich jasno przed depozytem, że rynek jest częściowo zamrożony. Inni użyli mocniejszych słów, twierdząc, że doświadczenie przypominało oszustwo – nie dlatego, że uważają, że Compound zaaranżował exploit, ale dlatego, że platforma przyjmowała depozyty, nie wyraźnie podkreślając istniejące ograniczenia. W świecie kryptowalut, gdzie użytkownicy oczekują przejrzystych zasad i szybkich aktualizacji, taki rozjazd może zaszkodzić zaufaniu równie mocno, jak bezpośrednia utrata środków.
Strona Compound była bardziej techniczna. Kontrole awaryjne protokołu były szerokie, a nie precyzyjne. Gdy Comet został wstrzymany, ten sam przełącznik blokował jednocześnie kilka działań. Oznaczało to, że platforma nie mogła łatwo odizolować jedynie ścieżki złego zabezpieczenia, pozostawiając niepowiązane przepływy użytkowników nietknięte. Compound i Gauntlet później ogłosili, że przygotowują działania zarządcze, aby ograniczyć ekspozycję na rsETH, ustawiając limity i zerowe wartości LTV dla pożyczek tam, gdzie to konieczne. Udostępnili także szacowane daty ponownego otwarcia rynków na Ethereum i warstwach drugorzędnych. Z perspektywy ryzyka była to klarowna strategia. Z perspektywy użytkownika wciąż wyglądało to jak tępy instrument, który uderza wszystkich w tym samym rynku.
Wydarzenie pokazało również, jak bardzo DeFi zależy od komunikacji front‑endowej w sytuacjach kryzysowych. Użytkownicy nie chcieli jedynie chronionych rynków – potrzebowali ostrzeżeń w interfejsie, prostych wyjaśnień, co nadal działa, oraz wyraźnych informacji przed dokonaniem nowych wpłat. Przedstawiciele Compound przyznali później, że powinien być aktywny silniejszy baner informacyjny, i przeprosili za tę lukę. To przyznanie miało znaczenie, ale pojawiło się po tym, jak użytkownicy już zamieścili skargi o nieudane akcje, zablokowane środki i niejasne komunikaty.
Szerszy rynek pomaga wyjaśnić, dlaczego Compound działał tak szybko. Aave, kolejna duża platforma pożyczkowa, również zamroziła rynki rsETH i wrsETH po exploicie, a później zgłosiła duży zły dług na rynkach WETH. To jasno pokazało, że nie chodziło tylko o jeden token z uszkodzonym mostem, lecz o ryzyko, że uszkodzony zasób może przemieszczać się przez systemy pożyczkowe, osłabiać jakość zabezpieczeń i generować straty szybciej niż zarząd może zareagować. W takim kontekście Compound postawił na bezpieczeństwo jako priorytet. Problem polega na tym, że bezpieczeństwo jako priorytet może wciąż wydawać się niesprawiedliwe, gdy zwykli użytkownicy ponoszą koszty.
To, co wydarzyło się w Compound, nie dotyczy już tylko jednego exploitu. Chodzi o to, jak platforma pożyczkowa radzi sobie z kontrolą awaryjną, jak ją wyjaśnia oraz ile tarcia użytkownicy zaakceptują, gdy zewnętrzne ryzyko uderzy w system. Protokół podjął działania obronne. Użytkownicy doświadczyli zablokowanych wypłat, zablokowanych pożyczek i słabych ostrzeżeń. Ta luka podsyciła gniew, roszczenia o dezinformację i dyskusje o oszustwach. Nawet jeśli pauza pomogła ograniczyć ryzyko, odcinek pokazał, że w DeFi ochrona protokołu to tylko połowa zadania. Druga połowa polega na zapewnieniu użytkownikom pełnej wiedzy o tym, co się dzieje, zanim klikną „depozyt”.
