Decentralizuoti finansai (DeFi) sukėlė revoliuciją finansų srityje, pasitelkdami blokų grandinės technologiją atviroms ir decentralizuotoms finansinėms paslaugoms teikti. Tačiau kartu su šia naujove atsiranda ir unikalių rizikų. Toliau pateikiama pagrindinių DeFi saugumo iššūkių apžvalga ir keletas geriausių praktikų, kaip juos sumažinti.

DeFi saugumo iššūkiai

Išmaniųjų sutarčių pažeidžiamumas

Išmaniosios sutartys yra savaime vykdomi susitarimai, įrašyti į kodą, tačiau jie nėra apsaugoti nuo klaidų. Kai kurios svarbios rizikos yra šios:

• Kodavimo trūkumai: Net ir nedidelės klaidos išmaniosios sutarties kode gali turėti katastrofiškų pasekmių. Ryškus pavyzdys yra 2016 m. įvykęs DAO įsilaužimas, kai dėl išmaniosios sutarties trūkumo buvo prarasta 50 mln. dolerių.
• Neaudituotos sutartys: Daugelis DeFi platformų pradeda veikti neatlikusios išsamių trečiųjų šalių saugumo auditų. 2022 m. Ronin tinklas patyrė didžiulį pažeidimą, prarasdamas daugiau nei 600 mln. dolerių vertės Ethereum ir USDC dėl neaudituotų pažeidžiamumų.

Protokolų sąveika

DeFi protokolai dažnai sąveikauja tarpusavyje, teikdami sklandžias paslaugas, tačiau taip pat didindami riziką:

• Tarpusavyje susiję pažeidžiamumai: Vieno protokolo silpnoji vieta dėl tarpusavio priklausomybės gali paveikti kitus. 2021 m. buvo pasinaudota „Cream Finance“ pažeidžiamumu, kuris platformai kainavo daugiau nei 130 mln. dolerių.
• Išnaudotojiška sąveika: Kai kurie įsilaužėliai naudoja tokius mechanizmus kaip momentinės paskolos (flash loans), kad manipuliuotų keliais protokolais. bZx protokolas 2020 m. buvo kelis kartus atakuotas pasinaudojant momentinių paskolų spragomis, dėl ko patirta daugiau nei 50 mln. dolerių nuostolių.

Centralizuoti gedimo taškai

Nors DeFi pabrėžia decentralizaciją, kai kurie komponentai išlieka centralizuoti, o tai kelia saugumo riziką:

• Orakulai: Jie teikia išorinius duomenis išmaniosioms sutartims. Kai orakulais manipuliuojama, tai gali sukelti didelių finansinių nuostolių, pavyzdžiui, 2023 m. miMATIC ($MAI) rinkos ataka, dėl kurios dėl orakulo pažeidžiamumo buvo patirta 188 000 dolerių nuostolių.
• Administratoriaus raktai: Kai kurie DeFi projektai išlaiko kontrolę per administratoriaus raktus, kurie, jei būtų pažeisti, gali kelti pavojų visai platformai. 2022 m. BadgerDAO įsilaužimo metu buvo pasinaudota jo administratoriaus raktų pažeidžiamumu, dėl ko buvo pavogta daugiau nei 120 mln. dolerių.

Oportunistinis aplenkimas ir arbitražo robotai

DeFi srityje galima pasinaudoti sandorių skaidrumu:

• Robotų atakos: Oportunistinis aplenkimas (front-running) įvyksta, kai robotai sandorių telkinyje aptinka pelningus sandorius ir įvykdo juos pirmieji, pasiūlydami didesnę dujų kainą. Tokiu būdu buvo pasinaudota Merlin DEX pažeidžiamumu, dėl ko patirta didelių finansinių nuostolių.
• Arbitražo galimybės: Robotai gali pasinaudoti kainų skirtumais tarp platformų, o tai gali destabilizuoti rinkas. Pažymėtinas atvejis buvo 2022 m. „Uniswap“ ataka, kai įsilaužėliai aplenkė arbitražo robotus, pasipelnydami iš išmaniosios sutarties pažeidžiamumo.

Nepastovus nuostolis

DeFi likvidumo teikėjai susiduria su unikalia rizika, vadinama nepastoviu nuostoliu:

• Kainų kintamumas: Kai likvidumo fondo turto kaina pasikeičia, likvidumo teikėjai, išimdami savo lėšas, gali patirti nuostolių, palyginti su tuo, jei tiesiog laikytų turtą ne fonde.

Reguliavimo ir vartotojų apsaugos trūkumas

DeFi veikia didžiąja dalimi nereguliuojamoje aplinkoje, o tai sukuria didelę riziką vartotojams:

• Ribotos teisinės gynybos priemonės: Vartotojai, nukentėję nuo sukčiavimo ar projektų nesėkmių, turi nedaug galimybių pasinaudoti teisinėmis priemonėmis. 2022 m. įsilaužimo į Mirror Protocol metu buvo pavogta daugiau nei 90 mln. dolerių, o nukentėję vartotojai dėl reguliavimo spragų turėjo mažai galimybių atgauti savo lėšas.
• Reguliavimo neapibrėžtumas: DeFi projektai susiduria su besikeičiančia reguliavimo aplinka, kuri gali lemti staigius politikos pokyčius ar net veiklos nutraukimą.

Geriausios DeFi saugumo praktikos

Griežti kodo auditai

Būtina atlikti išsamius išmaniųjų sutarčių auditus:

• Trečiųjų šalių auditai: Patikimų išorės auditorių pasitelkimas gali padėti aptikti pažeidžiamumus, kurie galėjo likti nepastebėti kūrimo metu. Šie auditai suteikia papildomą saugumo ir patvirtinimo lygį.

Klaidų aptikimo premijų programos

Platesnės bendruomenės įtraukimas gali sustiprinti saugumą:

• Bendruomenės atliekami patikrinimai: Siūlant atlygį kūrėjams, entuziastams ir etiškiems įsilaužėliams už pažeidžiamumų nustatymą, padedama pagerinti sistemos atsparumą.

DeFi produktų draudimas

Draudimo apsaugos teikimas vartotojams gali sumažinti finansinį nesėkmių poveikį:

• DeFi draudimas: Platformos, tokios kaip „Nexus Mutual“, siūlo draudimą nuo išmaniųjų sutarčių gedimų, kompensuodamos vartotojams įsilaužimų ar nenumatytų sistemos gedimų atveju.

2 sluoksnio mastelio keitimo sprendimai

2 sluoksnio sprendimai gali sušvelninti tinklo perkrovos poveikį:

• Sumažėjusi perkrova: Sprendimai ne grandinėje (off-chain) gali padėti sumažinti lėtą sandorių greitį ir didelius mokesčius, gerinant vartotojo patirtį.
• Padidėjęs patikimumas: Apdorodamos sandorius ne grandinėje, platformos gali sumažinti gedimų tikimybę dėl perkrautų tinklų.

Decentralizuotas valdymas

Decentralizacija taip pat turėtų apimti platformos valdymą:

• Bendruomenės valdomas valdymas: Leidimas vartotojams dalyvauti sprendimų priėmimo procesuose, nuo protokolo atnaujinimų iki saugumo politikos, skatina skaidrumą ir mažina centralizuoto gedimo riziką.
• Centralizuotų rizikų mažinimas: Decentralizuotas valdymas sumažina vieno gedimo taško tikimybę. Jei vienas sprendimų priėmėjas yra pažeidžiamas, decentralizuota sprendimų priėmimo struktūra išlieka nepakitusi.