Compound зазнав різкої критики після того, як заморозив ключову активність у кількох ринках у відповідь на експлойт rsETH від Kelp DAO, перетворивши крок з контролю ризиків у проблему довіри користувачів. Платформа не зазнала самого хакерського нападу, проте наслідки швидко поширились на ринки кредитування, змусивши Compound та його ризикових партнерів вимкнути частину системи, перш ніж збитки могли зрости. Ця реакція могла зменшити подальшу шкоду, однак багато користувачів скаржились, що спосіб її реалізації залишив їх у пастці, обдуреними та ігнорованими.
Проблема розпочалась після того, як rsETH Kelp DAO піддався серйозному експлойту у квітні 2026 року. За повідомленнями, було втрачено понад 116 000 rsETH, а збитки оцінюються у приблизно 292–294 мільйони доларів. Оскільки rsETH використовувався у різних DeFi‑протоколах, шок не залишився в одному протоколі. Платформам кредитування довелося оцінювати, чи може погане забезпечення, зламаний бекінг або швидкі ліквідації поширити збитки. Compound відреагував, призупинивши активність у уражених ринках Comet, доки не були підготовлені нові захисні механізми. Ці кроки мали на меті захистити протокол, проте вони також блокували звичні дії багатьох користувачів. Джерела в кінці.
У Compound налаштування паузи створили жорстке розмежування між тим, що користувачі могли робити, і тим, чого не могли. У призупинених ринках користувачі могли продовжувати постачати активи, вносити заставу та погашати борги. Але вони не могли вивести ліквідність, зняти заставу чи відкрити нові позики. Це розробка стала центром роздратування. Деякі користувачі додавали кошти і лише потім дізнавалися, що їхні найважливіші дії заблоковані. Інші виявили, що не можуть вийти з позицій або вивести активи, навіть коли ризикова експозиція здавалася малою у порівнянні з розміром ринку.
Саме тут розчарування перейшло у щось більш серйозне. Дехто звинуватив Compound у введенні в оману, бо застосунок не попереджав чітко про часткову заморозку ринку перед внесенням депозиту. Інші вжили суворіших слів, назвавши цей досвід шахрайством, не тому, що вважали, що Compound організував експлойт, а тому, що платформа виглядала так, ніби приймає депозити, не роблячи обмеження очевидними. У світі криптовалют, де користувачі очікують відкритих правил і швидких оновлень, таке невідповідність може пошкодити довіру так само сильно, як і прямі фінансові втрати.
З боку Compound історія звучала більш технічно. Екстрені контрольні механізми протоколу були широкими, а не точними. Коли Comet був поставлений на паузу, той самий перемикач блокував кілька дій одночасно. Це означало, що платформа не могла легко ізолювати лише шлях поганого забезпечення, залишаючи інші користувацькі процеси недоторканими. Пізніше Compound і Gauntlet заявили, що готують управлінські дії для скорочення експозиції rsETH шляхом встановлення лімітів і налаштування LTV позик до нуля там, де це потрібно. Вони також поділились орієнтовними датами повторного відкриття ринків Ethereum та layer‑2. З ризикової точки зору це був чіткий план. Для користувачів це все ще виглядало як грубий інструмент, що вдарив усіх у тому ж ринку.
Подія також показала, наскільки DeFi залежить від комунікації через інтерфейс під час кризи. Користувачі хотіли не лише захисту ринків, а й попереджень у самій панелі, простих пояснень того, що ще працює, та чіткого повідомлення перед новими депозитами. Представники Compound згодом визнали, що слід був розмістити більш помітний банер, і вибачились за цей пропуск. Це визнання мало значення, проте воно прийшло після того, як користувачі вже залишили скарги на невдалі дії, заблоковані кошти та неясні повідомлення.
Ширший ринок допомагає зрозуміти, чому Compound діяв швидко. Aave, інша велика платформа кредитування, також заморозив ринки rsETH та wrsETH після експлойту і згодом повідомив про великі збитки в ринках WETH. Це ясно вказало, що небезпека стосується не лише одного токена з пошкодженим мостом, а й можливості пошкодженого активу проходити через системи кредитування, ослаблювати якість застави та створювати збитки швидше, ніж може реагувати управління. У такій ситуації Compound обрав пріоритет безпеки. Проблема в тому, що «безпека перш за все» може залишатися несправедливою, коли звичайні користувачі несуть витрати.
Те, що сталося в Compound, тепер стосується не лише одного експлойту. Це питання того, як платформа кредитування керує екстреними контролями, як вона їх пояснює та скільки тертя готові приймати користувачі, коли зовнішній ризик вражає систему. Протокол намагався захистити себе. Користувачі бачили заблоковані виведення, заблоковані позики та погані попередження. Цей розрив підживив гнів, звинувачення у дезінформації та розмови про шахрайства. Навіть якщо пауза допомогла утримати ризик, випадок продемонстрував, що в DeFi захист протоколу — лише половина роботи. Інша половина — переконатися, що користувачі точно знають, що відбувається, перед тим як натиснути «депозит».
