DeFi-də $16.5 milyardlıq hücumlardan sonra nəzarətə keçid zəruriliyi yaranır

DeFi sənayesində son aylarda baş verən yüksək həcmli hücumlar və zərərlər, sektorun əvvəllər rədd etdiyi təhlükəsizlik tədbirlərinə keçid etməsinə səbəb oldu. Aprel ayında 28 fərqli hücum nəticəsində $635 milyon itki qeydə alındı, bu isə son bir ildəki ən böyük aylıq məbləğ olaraq tarixə keçdi.

Ümumi hücumlar isə $16.5 milyard həcmindəki tarixən ən yüksək səviyyəyə çatdı. Bu rəqəmlər, DeFi-nin təhlükəsizlik zəifliklərini və risklərin necə sistematik şəkildə artdığını göstərir. Xüsusilə, rsETH böhranı nəticəsində Aave-də $200 milyon dəyərində mənfi borc qeydə alındı, baxmayaraq ki, heç bir müqavilə xəta verməmişdi.

Hücumun mexanizmi və nəticələri

18 apreldə, Chainalysis tərəfindən əvvəlcədən Lazarus qrupu ilə əlaqələndirilən hücumçular, RPC infrastrukturunu ələ keçirdi və DDoS hücumu vasitəsilə zəhərli nodlara keçidi məcbur etdi. Daha sonra, KelpDAO-nun rsETH körpüsündəki 1-of-1 DVN konfiqurasiyasına saxta məlumat yeritdilər. Bu saxta mesaj nəticəsində təxminən 116,500 rsETH buraxıldı. Aave-nin hadisə hesabatı isə göstərdi ki, Ethereum nonce 308-i qəbul etdi, halbuki Unichain mənbə nöqtəsi heç vaxt 307-dən irəli keçməmişdi.

Hücumçu, zəhərlənmiş rsETH-i Aave-ə təqdim etdi və onun üzərində borc aldı, nəticədə mənfi borc yarandı. Bu hadisə, DeFi-nin cari təhlükəsizlik vəziyyətini də ortaya qoydu. Apreldə baş verən digər yüksək profilli hücumlar arasında Drift platforması və KelpDAO körpüsündə baş verənlər də var idi. Bu hücumlar nəticəsində DeFi-də ümumi dəyər kilidində (TVL) keçən ayda təxminən $11 milyardlıq itki qeydə alındı.

DeFi-də təhlükəsizlik mədəniyyətinin dəyişməsi

Mitchell Amador, Immunefi-nin CEO-su, DeFi-nin tarixən böyümə, inteqrasiya, likvidlik və sürətə təhlükəsizlikdən daha çox önəm verdiyini qeyd etdi. Yeni aktiv, körpü, oracle, adapter və ya digər asılı sistemlərin əlavə edilməsi, protokola dərhal fayda gətirir. Lakin bu inteqrasiyaların gətirdiyi risklər, yalnız hücum baş verən zaman görünür olur, çünki heç bir hadisənin olmaması görünməz olaraq qalır. Bu asimmetriya nəticəsində, audit dövrləri və təcrid tədbirləri illər boyunca ikinci plana keçdi, nəticədə isə apreldə bütün nəticələr birdən ortaya çıxdı.

Amador qeyd etdi ki, ən çox nəzərdən qaçırılan təhlükəsizlik tədbirləri arasında multisig gigiyenası, təchizat zəncirinin möhkəmləndirilməsi, real vaxt monitorinqi və fövqəladə hallara cavab prosedurları yer alır. Bir çox komanda multisig-i özbaşına təhlükəsizlik həlli kimi qəbul edirdi, halbuki onun həqiqətən effektivliyi imza sayısına, imzaçılar arasındakı müstəqilliyə, onların əməliyyat quruluşuna və əməliyyat proseslərinə bağlıdır. Düşük sərhədli multisig, zəif imza təhlükəsizliyi və ya zəif monitorinqə malik körpü və ya oracle, DeFi protokollarının kompozisiyalı təbiəti səbəbindən sistematik riskə çevrilə bilər.

Gələcəkdəki yol: Təhlükəsizlik və uyğunluq

Solstice Finance CEO-su Ben Nadareski isə belə bir fikir irəli sürdü: “İnsan başına çıxış həcminin fərqi, siz mərkəzi maliyyə funksiyasından başqa hər şeyi aradan qaldırdıqda nə baş verdiyini göstərir. Bu mərhələdə qalib gələn komandalar, fəaliyyətə başlamazdan əvvəl uyğunluq və təhlükəsizlik prinsiplərinə əsaslananlar olacaq. Onlar bankın iclas çağırmaq vaxtında belə, daha sürətli şəkildə məhsul çıxara bilən komandalar olacaq.”

DeFi, son beş ildə kompozisiyalı infrastrukturlar inşa etdi, lakin Uoll-strit bu infrastrukturları növbəti maliyyə sisteminin əsas layihələri kimi qəbul etməyə başladı. Bu erkən mövqenin qiyməti isə təhlükəsizlik zəiflikləri oldu. Hazırda, DeFi sənayesi artıq bu zəifliklərin nəticələrini görür və təhlükəsizlik standartlarına keçid etməyə məcbur olur.