DeFi продолжает отдавать хакерам миллионы долларов каждый месяц, что побудило одного эксперта по безопасности предложить спорное решение проблемы, а именно, централизацию определенных аспектов децентрализованных протоколов.
Нанак Нихал Хальсасоучредитель стартапа по безопасности Web3 Холонимсказал, что понимает, что введение централизации, безусловно, будет спорным в отрасли, которая гордится тем, что «не подвергается цензуре». Но он утверждает, что протоколы DeFi могут достичь хрупкого баланса, который не позволит никому блокировать повседневные транзакции, одновременно предотвращая кражу больших сумм средств.
«Если мы хотим, чтобы обычные люди использовали криптовалюту, мы должны стремиться разработать и внедрить способы предотвращения «страшных транзакций», и это можно сделать путем добавления централизации в местах, где ее можно централизовать», — сказал Халса.
Комментарии Хальсы стали реакцией на недавний отчет от фирмы криптобезопасности Пекшилдкоторый показал, что в ноябре протоколы DeFi потеряли из-за хакеров 85,5 миллионов долларов, в результате чего годовые потери отрасли в 2024 году составили более 2,43 миллиарда долларов.
В прошлом месяце Peckshield зафиксировал более 30 отдельных хакерских атак, при этом крупнейшими проигравшими оказались Thala, потерявшая 25,5 миллионов долларов в криптофондах, и DEXX, у которой было украдено 21 миллион долларов в результате взлома протокола.
В отчете подчеркивается, что протоколы DeFi все чаще становятся объектами атак хакеров из-за продолжающегося распространения уязвимостей в их базовом коде и смарт-контрактах. Хотя ноябрьские убытки были ниже, чем 102,42 миллиона долларов, украденных в октябре, с платформ DeFi было украдено больше денег, чем в предыдущем месяце.
Наряду с Thala и DEXX, такие платформы, как Gifto, Polter Finance и Delta Prime, также стали жертвами многомиллионных хакерских атак в прошлом месяце.
Хальса говорит, что эти последние инциденты придают больший вес аргументу о том, что индустрия DeFi никогда не сможет полагаться только на аудит смарт-контрактов, поскольку просто невозможно обнаружить каждую уязвимость, проникающую в их код.
«Аудиты уже в некоторой степени созрели», – отметил Хальса. «Я не думаю, что мы увидим еще какие-то огромные прорывы в плане аудита безопасности.
Скорее, индустрия Web3 должна учиться у своих коллег из Web2, которая страдает от сравнительно меньшего числа случаев взлома из-за того, что ее системы централизованы, сказал Халса. Он сказал, что Web2 стал очень хорош в предотвращении мошенничества, поскольку разработал различные системы и инструменты, которые могут обнаружить, когда хакеры пытаются обработать вредоносную транзакцию, и заблокировать им возможность вывода средств.
«Это то, что делают ваша кредитная карта и ваш банк, и именно поэтому большинство людей считают их безопасными», — утверждает Хальса. «Если бы банки позволяли пользователям выполнять любую транзакцию без предварительной проверки ее безопасности, я гарантирую, что взломы в этой отрасли будут происходить гораздо чаще и на гораздо большие суммы, чем мы видим сейчас. Потери намного превысят потери Web3».
Проблема в том, что если протокол DeFi способен блокировать подозрительные транзакции, он также сможет блокировать законное снятие средств. Это означало бы, что он больше не устойчив к цензуре, и это было бы чрезвычайно спорно, поскольку в основе криптовалют лежит идеал устойчивости к цензуре.
Однако Хальса отмечает, что в протоколы Defi можно ввести лишь ограниченную степень централизации.
«Нам не обязательно централизовать весь протокол, поскольку можно ввести целый спектр контроля», — заявил он. «Например, мы можем запрограммировать смарт-контракты так, чтобы блокировать только транзакции на сумму более 1 миллиона долларов, если они соответствуют определенным критериям, которые отмечают их как подозрительные. Это предотвратило бы огромную утечку протоколов, не подвергая цензуре повседневную деятельность пользователей».
Хальса также призвал протоколы DeFi работать усерднее, чтобы предотвратить такие инциденты, как фишинговые атаки, которые остаются одной из наиболее распространенных причин взломов DeFi.
«Существует масса инструментов, таких как Blockaid, Tenderly, Alchemy, Blowfish и GoPlus», — сказал он. “Они [protocols] должны обязательно предупреждать пользователей или применять политики, основанные на изменениях баланса и потенциальных угрозах, обнаруженных этими инструментами».
Кроме того, он призвал протоколы DeFi оставаться на высоте, отметив, что быстрый ответ команды Талы позволил ей вернуть 25,2 миллиона долларов из общей суммы украденных 25,5 миллионов долларов благодаря быстрым действиям.
«Время ответа имеет большое значение; чем быстрее вы ответите, тем быстрее вы сможете заблокировать злоумышленнику вывод средств на миксеры или биржи», — отметил Хальса. «Крупные компании часто обучают своих сотрудников быстро и эффективно реагировать на инциденты безопасности, и это очень часто работает».
Сообщение о продолжающихся проблемах безопасности DeFi, призывающих к радикальному переосмыслению, впервые появилось на TechBriefly.
Source: Продолжающиеся проблемы безопасности DeFi требуют радикального переосмысления
