Atskleidimas: Čia išreikštos nuomonės ir nuomonės priklauso tik autoriui ir neatspindi „Crypto.News“ redakcijos nuomonių ir nuomonių.
Defi yra užpultas, bet ne dėl grėsmės, kuriomis pramonė yra įpratę gintis. Nors kūrėjai kruopščiai nuskaito pažeidžiamumo kodo linijas, užpuolikai pakeitė taktiką, išnaudodami ekonominius silpnybes, kurios yra nepastebėtos po nepriekaištingo programavimo.
Pavyzdžiui, puikus pavyzdys yra „Jelly Token“ išnaudojimas „Hyperledger“, kur užpuolikai galėjo surinkti daugiau nei 6 mln. USD iš „Hyperledger“ draudimo fondo. Šio išnaudojimo visai nebuvo sukeltas kodavimo klaidų, tačiau dėl žaidžiamų paskatų ir neįtikėtinos rizikos, kurios niekas nepatyrė.
Defi kibernetinis saugumas nuėjo ilgą kelią. Šiais laikais „Smart Scarm“ auditas, sukurtas sugauti klaidas programinės įrangos kode, yra norma. Bet mums reikia skubiai išplėsti jos taikymo sritį, išskyrus paprasčiausias kodo eilutes. Išmanieji sutarčių auditai yra iš esmės netinkami, nebent jie taip pat analizuoja ekonominę ir žaidimų teoretinę riziką. Pramonės per didelis pasitikėjimas tik kodu auditu yra pasenęs ir pavojingas, todėl projektai yra pažeidžiami nesibaigiančių atakų ciklo.
Naujausi išpuoliai lemia ekonominio išnaudojimo pavojų
2025 m. Kovo mėn. „Hyperliquid’s Exchange“, kurios sutartys buvo audituotos, buvo paslėptos dėl 6 mln. Kaip? Užpuolikai kode nerado klaidos; Jie sukūrė trumpą išspaudimą piktnaudžiaudami paties „Hyperliquid“ likvidavimo logika, pumpuodami „Jelly“ kainą ir manipuliuodami platformos rizikos parametrais.
Kitaip tariant, „Hyperliquid“ dizaineriai neturėjo tam tikro elgesio su rinka – priežiūra, kurios tradicinis auditas nesugebėjo. „Hyperliquid“ atvejis rodo, kad nepriekaištingas kodas negali išsaugoti projekto, pagrįsto drebančiomis ekonominėmis prielaidomis.
Prieš pat želė incidentą, „Polter Finance“, paskolų protokolas „Fantom“, buvo nusausintas 12 mln. USD per a „Flash“ paskolos atakadar vienas įprastas išpuolių tipas, kuris priklauso nuo ekonomikos, o ne koduojant pažeidžiamumus. Užpuolikas išėmė paskolas „Flash“ ir manipuliavo projekto kainos „Oracle“, apgaudinėdamas sistemą, kad bevertis įkaitą traktuotų kaip milijardus vertės.
Kodeksas padarė tiksliai tai, ko turėjo, tačiau dizainas buvo ydingas, todėl buvo įmanoma didelę kainą svyruojant bankrutavus platformai. Šis išnaudojimas pasirodė toks niokojantis, kad „Polter Finance“, perspektyvus projektas, buvo priverstas nutraukti operacijas.
Tai nėra pavieniai išpuoliai/įvykiai; Jie yra augančio modelio dalis. Tuo atveju, kai protingi priešininkai naudojasi protokolais, manipuliuodami rinkos sąnaudomis, paskatomis ar valdymo mechanizmais, kad sukeltų rezultatus, kuriuos kūrėjai nesitikėjo. Matėme, kad „Derling Farms“, kuriuos žvelgė dėl atlygio spragų, „StableCoin Pef“, užpultų per koordinuotus rinkos judesius, ir draudimo fondai, kuriuos nusausino didžiulis nepastovumas.
Auditų palaikymas atliekant ekonominę ir žaidimų teorinę analizę
Tradiciniai auditai Patikrinkite, ar „kodas daro tai, ką jis turėtų“, tačiau kas patikrina, ar „ką jis turėtų daryti“ turi prasmę prieštaringomis sąlygomis? Skirtingai nuo uždaros programos, DEFI protokolai gyvena dinaminėje, prieštaringoje aplinkoje. Kainos svyruoja, vartotojai pritaiko strategijas ir protokolus sujungia sudėtingais būdais.
Nors daugumoje „Web3“ komandų dirba inžinieriai, kurie plėtros metu gali sugauti programinės įrangos klaidas, nedaugelis turi vidinės ekonominės kompetencijos, todėl tai yra kritiška auditams užpildyti tą spragą ir nustatyti skatinamojo projektavimo ir ekonominės logikos pažeidžiamumą.
Tikrai griežtas auditas apima žaidimų teorinę ir ekonominę analizę, apimančią tokius dalykus kaip mokesčių mechanika, likvidavimo formulės, įkaito parametrai ir valdymo procesai. Jie verčia auditorius apsvarstyti: „Atsižvelgiant į šias taisykles, kaip kas nors galėtų pelnyti juos sulenkdamas?“
Pavyzdžiui, atlikdami „Oak Security“ atliktą auditą, mes sužinojome, kad nuolatinio apsikeitimo platformos draudimo fondas gali būti visiškai nusausintas dėl nepastovumo, nes jis nebuvo atsižvelgtas į „Vega riziką“ – protokolo jautrumą nepastovumui – jo kainų nustatymo modelyje. Tai visai nebuvo kodo klaida – tai buvo dizaino trūkumas, kuris turbulentinėse rinkose būtų sukėlęs žlugimą. Tai sugavo tik žaidimo teorinis ir ekonominis gilus nardymas-ir, laimei, mes galėjome pažymėti šią problemą prieš pradedant.
Šie ekonominiai išnaudojimai yra gerai dokumentuoti ir nėra be galo sunku pastebėti-tačiau jie susiduria tik tada, kai auditoriai užduoda teisingus klausimus ir galvoja už kodekso ribų.
Steigėjai turi daugiau reikalauti iš auditorių
Protokolo įkūrėjai turėtų paprašyti, kad auditoriai išnagrinėtų visus prekybos sistemos komponentus, įskaitant netiesioginę logiką ir ne grandinės komponentus, kad užtikrintų išsamų saugumą. Pagal geriausią scenarijų visa misija kritinė logika būtų įtraukta į grandinę.
Jei esate įkūrėjas ar investuotojas, labai svarbu paklausti savo auditorių: O kaip manipuliuoti „Oracle“? O kaip su likvidumo krizės scenarijais? Ar išanalizavote atakos vektorių tokenomiką? Jei atsakymas yra tyla ar rankomis, reikia gilintis.
Šių aklųjų taškų kaina yra tiesiog per didelė-ekonominės ir žaidimų teoretinė analizė yra ne tik „malonios, bet ir turės“; Tai yra DEFI projektų išgyvenimo klausimas. Turime ugdyti kultūrą, kurioje kodo peržiūra ir ekonominė apžvalga eina kartu su kiekvienu pagrindiniu protokolu.
Pakelkime juostą dabar-prieš dar vieną kelių milijonų dolerių vertės pamoką verčia mūsų ranką.
