DeFi w dalszym ciągu co miesiąc przekazuje hakerom miliony dolarów, co skłoniło jednego z ekspertów ds. bezpieczeństwa do zaproponowania kontrowersyjnego rozwiązania problemu – mianowicie centralizacji niektórych aspektów zdecentralizowanych protokołów.
Nanak Nihal Khalsawspółzałożyciel startupu zajmującego się bezpieczeństwem Web3 Holonimpowiedział, że rozumie, że wprowadzenie centralizacji z pewnością byłoby kontrowersyjne w branży, która szczyci się tym, że jest „nieocenzurowana”. Twierdzi jednak, że protokoły DeFi mogą osiągnąć delikatną równowagę, która powstrzymuje kogokolwiek przed blokowaniem codziennych transakcji, a jednocześnie zapobiega kradzieży dużych ilości środków.
„Jeśli chcemy, aby zwykli ludzie korzystali z kryptowalut, powinniśmy dążyć do zaprojektowania i wdrożenia sposobów zapobiegania „przerażającym transakcjom”, a można tego dokonać poprzez dodanie centralizacji w miejscach, w których można ją scentralizować” – powiedziała Khalsa.
Komentarze Khalsy pojawiły się w reakcji na: najnowszy raport przez firmę zajmującą się bezpieczeństwem kryptowalut Dziobakktóre ujawniło, że w listopadzie protokoły DeFi straciły na rzecz hakerów 85,5 mln dolarów, co oznacza, że roczne straty branży w 2024 r. wyniosą ponad 2,43 mld dolarów.
W zeszłym miesiącu Peckshield odnotował ponad 30 oddzielnych ataków hakerskich, przy czym największymi przegranymi była Thala, która straciła 25,5 miliona dolarów w funduszach kryptograficznych, oraz DEXX, z którego wyssano 21 milionów dolarów w wyniku włamania do protokołu.
W raporcie podkreślono, że protokoły DeFi są coraz częściej celem hakerów ze względu na ciągłe występowanie luk w zabezpieczeniach ich kodu źródłowego i inteligentnych kontraktów. Chociaż listopadowe straty były niższe niż 102,42 mln dolarów skradzionych w październiku, z platform DeFi skradziono więcej pieniędzy niż w poprzednim miesiącu.
Oprócz Thala i DEXX platformy takie jak Gifto, Polter Finance i Delta Prime również padły w zeszłym miesiącu ofiarą wielomilionowych hacków.
Khalsa twierdzi, że te ostatnie incydenty zwiększają wagę argumentu, że branża DeFi nigdy nie będzie mogła polegać wyłącznie na audytach inteligentnych kontraktów, ponieważ po prostu nie jest możliwe wykrycie każdej luki w zabezpieczeniach, która wkrada się do ich kodu.
„Audyty są już w pewnym stopniu dojrzałe” – zauważył Khalsa. „Nie sądzę, abyśmy zaobserwowali większy postęp w zakresie audytów bezpieczeństwa.
Przeciwnie, branża Web3 musi uczyć się od swoich odpowiedników z Web2, w którym ze względu na centralizację systemów występuje stosunkowo mniej incydentów hakerskich, stwierdził Khalsa. Powiedział, że Web2 bardzo dobrze radzi sobie z zapobieganiem oszustwom, ponieważ opracował różne systemy i narzędzia, które potrafią wykryć, kiedy hakerzy próbują przetworzyć złośliwą transakcję i zablokować im możliwość wypłaty środków.
„To właśnie robi Twoja karta kredytowa i Twój bank i dlatego większość ludzi uważa je za bezpieczne” – argumentuje Khalsa. „Gdyby banki pozwoliły użytkownikom na dokonanie dowolnej transakcji bez uprzedniego sprawdzenia jej bezpieczeństwa, gwarantuję, że włamania w tej branży zdarzałyby się znacznie częściej i na znacznie większe kwoty niż obecnie. Straty znacznie przewyższyłyby straty Web3.”
Problem polega na tym, że jeśli protokół DeFi jest w stanie blokować podejrzane transakcje, miałby również możliwość blokowania legalnych wypłat. Oznaczałoby to, że nie jest już odporny na cenzurę i byłoby niezwykle kontrowersyjne, ponieważ kryptowaluty opierają się na ideale odporności na cenzurę.
Jednakże Khalsa zwraca uwagę, że możliwe jest wprowadzenie do protokołów Defi jedynie ograniczonego stopnia centralizacji.
„Nie musimy centralizować całego protokołu, ponieważ można wprowadzić całe spektrum kontroli” – przekonywał. „Możemy na przykład zaprogramować inteligentne kontrakty tak, aby blokowały tylko transakcje powyżej 1 miliona dolarów, jeśli spełniają określone kryteria, które uznają je za podejrzane. Zapobiegłoby to ogromnemu drenażowi protokołów, bez cenzurowania codziennych działań użytkowników”.
Khalsa wezwał również do cięższej pracy protokołów DeFi, aby zapobiec takim incydentom, jak ataki phishingowe, które pozostają jedną z najczęstszych przyczyn włamań do DeFi.
„Istnieje mnóstwo narzędzi, takich jak Blockaid, Tenderly, Alchemy, Blowfish i GoPlus” – powiedział. “Oni [protocols] należy pamiętać o ostrzeganiu użytkowników lub egzekwowaniu zasad w oparciu o zmiany równowagi i potencjalne zagrożenia wykryte przez te narzędzia.
Ponadto nalegał, aby protokoły DeFi nie zmieniały się, wskazując, że szybka reakcja zespołu Thali oznaczała, że dzięki szybkim działaniom udało mu się odzyskać 25,2 mln dolarów z łącznej kwoty 25,5 mln dolarów skradzionych.
„Czas reakcji ma ogromne znaczenie; im szybciej zareagujesz, tym szybciej będziesz w stanie uniemożliwić atakującemu wycofanie środków do mikserów lub giełd” – zauważyła Khalsa. „Większe firmy często szkolą swoich pracowników, aby szybko i skutecznie reagowali na incydenty związane z bezpieczeństwem i bardzo często to się sprawdza”.
Post dotyczący ciągłych problemów związanych z bezpieczeństwem DeFi, wzywający do radykalnego przemyślenia, pojawił się jako pierwszy w TechBriefly.
Source: Ciągłe problemy związane z bezpieczeństwem DeFi wymagają radykalnego przemyślenia
