Составлено при помощи ИИ.
В DeFi-лендинг этот протокол по риску заметно спокойнее Venus и примерно на уровне Aave, но это всё равно набор рисков, а не депозит. Разберём по пунктам именно с точки зрения того, кто даёт активы в долг (поставляет ликвидность).
История инцидентов (важно понимать контекст)
В ноябре 2020 на Compound был краткий скачок цены DAI на Coinbase Pro до $1,3, которого почти не было на других биржах. Из-за того, что оракул ориентировался именно на эту цену, произошли массовые ликвидации позиций — примерно на $100 млн, один пользователь потерял около $49 млн.
Это пример того, как ошибка/аномалия в ценовом фиде может сильно ударить по пользователям, даже без взлома протокола.
В сентябре 2021 года апдейт смарт-контракта с логикой наград COMP оказался с багом: пользователям начали по ошибке раздавать излишки COMP. В сумме “утекло” порядка $80 млн из пула наград. При этом депозиты и долги пользователей не пострадали — это была “дыра” именно в токен-ревардах.
С точки зрения поставщика ликвидности это неприятно, но всё-таки лучше, чем прямой вывод средств из пулов.
В обзорах по смарт-контрактным рискам отдельно выделяется кейс Compound 2022 года, где ошибка/неверная конфигурация оракула привела к потерям около $34 млн (некорректные ликвидации, плохие цены и т.п.).
Это закрепляет факт: оракульный риск для Compound — не теория, а реально проявлявшийся несколько раз.
В аналитике по эксплойтам 2024 года есть кейс “Compound governance exploit”: попытка атаковать протокол через управление (голосование, злонамеренное предложение), где под угрозой было около $25 млн.
Речь скорее о “почти-инциденте”, но он показывает, что governance — отдельный вектор риска.
В ноябре 2025 года Compound временно приостановил выводы из USDC и USDS рынков из-за кризиса ликвидности вокруг Elixir deUSD (дефолт/депег связанного stablecoin). Рекомендация исходила от риск-провайдера Gauntlet, чтобы избежать цепной реакции и проблем с погашением. Позже выводы возобновили.
Это важный свежий пример того, что проблемы других протоколов и стейблов могут заставить Compound ограничивать выводы, даже без взлома и без технической ошибки в самом Compound.
Итого по истории. У Compound были серьёзные события, но это не “истории полного обнуления”, как у многих форков/мелких DeFi; основные пострадавшие — заёмщики/арбитражники и фонд ревардов, а не депозиты как таковые.
- Смарт-контракт и архитектура (v2 vs v3 / Comet)
Сейчас основной фокус — Compound v3 (Comet):
базовый актив (например, USDC) — то, что можно занимать и поставлять,
набор коллатералей, под которые можно брать этот базовый актив в долг,
каждый рынок изолирован и имеет свои лимиты рисков.
Идея v3: уменьшить “площадь атаки” по сравнению с v2; разделить риски между рынками, чтобы один токсичный актив не тянул за собой всё; более строго управлять параметрами через риск-модели и симуляции.
При этом протокол активно занимается тонкой настройкой риск-параметров (supply/borrow caps, коэффициенты ликвидации и т.п.) через DAO и внешних риск-провайдеров.
Compound остаётся одним из “эталонных” DeFi-лендингов, на который ориентируются исследователи и регуляторы.
Но общая картинка по DeFi-безопасности нерадужная — в 2024–2025 годах в DeFi и крипте в целом украли и потеряли миллиарды долларов, при этом DeFi остаётся одним из наиболее атакуемых сегментов.
- Риск активов, которые ты поставляешь
Здесь логика такая же, как у Aave. Рискуешь не только Compound, но и конкретным активом. В V3 допускается сравнительно узкий набор крупных токенов — USDC/USDT/DAI, ETH/WETH, WBTC и несколько “blue-chip” альтов, что снижает риск “помойных” активов в коллатерале.
Но стейблы могут терять привязку (depeg), ETH/WBTC могут резко проседать, проблемы сторонних протоколов (пример с deUSD) могут ударить по ликвидности и привести к временным паузам или ограничениям.
Чем более экзотичный актив (особенно если это залог, а не базовый стейбл) — тем выше риск для всего пула.
- Оракулы и цены (главный специфический риск Compound)
Исторически именно оракулы — слабое место:
2020: манипуляция/аномалия цены DAI на Coinbase → неправильные ликвидации на десятки миллионов.
В исследованиях по смарт-контрактам приводится пример Compound 2022 года: неверно настроенный oracle. $34 млн потерь.
Современный стэк (Chainlink и другие схемы) надёжнее ранних решений, но любой DeFi-лендинг, завязанный на ценах, уязвим для краткосрочных дисбалансов между биржами, ошибок конфигурации, таргетированных oracle-атак (flash loans + манипуляция книги ордеров/DEX).
Для депозиторa это значит: даже если ты ничего не брал в долг, массовые некорректные ликвидации и bad debt могут ухудшить состояние протокола, его доходность и устойчивость.
- Ликвидность и возможные ограничения вывода
Как и любой лендинг-протокол, Compound не обещает тебе “забрать всё в любой момент”, это пул, из которого часть средств выдана в кредиты, часть доступна для мгновенного вывода.
Если utilization пула высокий (почти всё выдано в долг), вывести крупную сумму может быть сложно — придётся ждать возврата долгов или ликвидаций.
Кейс с паузой USDC/USDS в ноябре 2025 года как раз про это: чтобы защитить пользователей от каскадной проблемы из-за чужого стейбла, протокол на время ограничил доступ к ликвидности.
Так что Compound нельзя использовать как 100% ликвидный кэш-счёт. Это всё ещё инвестиционный актив с риском “застрять” на неизвестный срок.
- Управление (governance) и централизованные рычаги
Compound управляется через COMP-governance и timelock-контракты, но контракты V3 могут обновляться через процедуры управления.
В 2024-м разбирался кейс с попыткой governance-эксплойта (манипуляция голосованием, злонамеренное предложение на десятки миллионов).
В общем мире DeFi за 2023–2025 годы множество атак связаны с компроментированными ключами multisig/админов, неудачными апгрейдами и т.п.
То есть, с одной стороны, наличие governance позволяет быстро реагировать (фиксы, паузы, смена оракулов, обновления параметров); с другой — это централизационный и организационный риск: ошибка, захват или халатность у ключевых участников может ударить по протоколу не хуже багов в коде.
- Где Compound по шкале риска (для того, кто даёт в долг)
Если взять условную шкалу 1–5 (по ощущениям):
1 — что-то почти банковское по риск-профилю (по меркам крипты это, по сути, отсутствует).
5 — анонимный форк без аудитов, с кучей шиткоинов и дикими APR.
Я бы поставил Compound примерно на уровне 3 / 5 ниже риска, чем Venus (где я бы ставил 3.5–4), сопоставим с Aave по классу, но с исторически заметным оракульным хвостом и свежими примерами зависимостей от других протоколов (дефолт стейбла, пауза вывода).
Важно: DeFi в целом намного рискованнее банков/облигаций и т.п.
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций
