DeFi מתמודדת עם השלכות פריצות של 16.5 מיליארד דולר: האם הביזור ייכנע לרגולציה?

פריצת rsETH: כשלים במערכות ה-DeFi נחשפים

בחודש אפריל האחרון, התקפה מתוחכמת על תשתיות ה-RPC של פרוטוקול rsETH, שבוצעה לכאורה על ידי קבוצת Lazarus, הובילה להפסד של 200 מיליון דולר בחובות רעים ב-Aave. למרות שלא היה כל כשל בקוד החוזים של הפרוטוקולים, התוקפים ניצלו פגיעויות בתשתיות החיצוניות כדי להזריק נתונים מזויפים ולשחרר כ-116,500 מטבעות rsETH מזויפים. אירוע זה מהווה דוגמה בולטת לחולשות במערכות האבטחה של עולם ה-DeFi המבוזר.

איך התרחשה הפריצה?

על פי דוח האירוע של Aave, התוקפים ביצעו מתקפת DDoS על תשתיות ה-RPC, הכריחו את המערכת לעבור לשימוש בצמתים מזוהמים, והזריקו נתונים כוזבים לתצורת 1-of-1 של מנגנון DVN בגשר rsETH של KelpDAO. כתוצאה מכך, רשת האת'ריום קיבלה nonce 308, בעוד שצד המקור של Unichain לא התקדם מעבר ל-nonce 307. התוקפים ניצלו את המטבעות המזויפים כדי לקבל הלוואות ב-Aave, מה שהוביל להפסדים כספיים משמעותיים.

הנתונים הקשים: הפסדים שוברי שיאים ב-DeFi

בחודש אפריל בלבד, פריצות ב-28 אירועים שונים גרמו להפסדים של 635 מיליון דולר – הסכום הגבוה ביותר מזה למעלה משנה. נתוני DeFiLlama מראים כי סך ההפסדים בהיסטוריה של הפריצות עומד על 16.5 מיליארד דולר, כאשר 7.7 מיליארד מתוכם היו בתחום ה-DeFi. בין הפריצות הבולטות ניתן למנות את אלו שהתרחשו ב-Drift וב-KelpDAO, אשר גרמו לאובדן של כמעט 11 מיליארד דולר בערך הנעול הכולל של הפרוטוקולים.

בעוד ה-DeFi סובל מהפסדים משמעותיים, מגזרים אחרים כמו מטבעות יציבים, אגרות חוב ממותגות ומערכות סליקה מוסדרות צוברים תאוצה בקרב המוסדות הפיננסיים. מגמה זו מעידה על שינוי בתפיסה בקרב המשקיעים, אשר מחפשים אלטרנטיבות בטוחות ורגולטוריות יותר.

השורשים של הכשל: מדוע ה-DeFi נכשל באבטחה?

מיטשל אמאדור, מנכ"ל Immunefi, מסביר כי תעשיית ה-DeFi היסטורית העדיפה צמיחה, אינטגרציות ונזילות על פני אבטחה. פרוטוקולים שמשלבים נכסים חדשים, גשרים, אורקלים או תלות חיצונית זוכים לתועלת מיידית, אך הסיכונים הנלווים לכך אינם נראים עד להתממשות הפריצה. חוסר האיזון הזה הוביל לכך שבדיקות האבטחה והפרקטיקות של בידוד נותרו בעדיפות נמוכה יחסית למהירות הפיתוח.

אמאדור מציין כי הפרקטיקות המוזנחות ביותר כוללות ניהול נכון של multisig, חיזוק שרשרת האספקה, ניטור בזמן אמת ונהלי תגובה מהירים. רבות מהקבוצות טיפלו ב-multisig כפתרון אבטחה בפני עצמו, בעוד שבפועל, עוצמתו תלויה במספר החותמים, עצמאותם, תצורתם התפעולית ותהליכי הבדיקה של העסקאות. multisig חלש או לא מאובטח יכול להפוך לחשיפה מערכתית, במיוחד לאור העובדה שפרוטוקולי DeFi הם בעלי יכולת הרכבה (composability) גבוהה.

העתיד של ה-DeFi: בין ביזור לרגולציה

בן נאדארסקי, מנכ"ל Solstice Finance, מסביר כי הפער בתפוקה לאדם מצביע על מה שקורה כאשר מסירים את כל מה שאינו הליבה הפיננסית. "הקבוצות שינצחו בסיבוב הזה יהיו אלו שיבנו על בסיס ציות ואבטחה מלכתחילה, ויצליחו לשחרר מוצרים מהר יותר ממה שבנק יוכל לקרוא לפגישה", הוא אומר. ה-DeFi בנה תשתיות מורכבות במשך למעלה מחמש שנים, אך רק עכשיו וול סטריט מתחילה להכיר בהן כבסיס למערכת הפיננסית העתידית. המחיר של עמדה מוקדמת זו היה פגיעות גבוהה יותר לפריצות.

כעת, נראה כי תעשיית ה-DeFi עומדת בפני צומת דרכים. מצד אחד, היא נדרשת לשמור על עקרונות הביזור והחדשנות שלה, ומצד שני, היא חייבת לאמץ סטנדרטים מחמירים יותר של אבטחה ורגולציה כדי לשרוד בעולם הפיננסי המסורתי. השאלה הגדולה היא האם תוכל התעשייה לאזן בין שני הצרכים הללו, או שמא תיאלץ לוותר על חלק מעקרונותיה כדי להבטיח את הישרדותה.

מסקנות: לקחים וכיוונים עתידיים

• אבטחה מובנית: יש לשלב אבטחה כחלק בלתי נפרד מפיתוח הפרוטוקולים, ולא כתוספת מאוחרת.
• ניהול סיכונים: ניטור בזמן אמת, בדיקות קבועות ומערכות תגובה מהירות הם קריטיים למניעת פריצות.
• שיתוף פעולה: שיתוף מידע בין פרוטוקולים וקהילות יכול לסייע בזיהוי מוקדם של איומים.
• רגולציה: אימוץ תקנים מוסדרים יכול לסייע בהגברת האמון מצד המשקיעים המוסדיים.
• חינוך והכשרה: צוותי הפיתוח והאבטחה צריכים להיות מעודכנים בשיטות התקפה והגנה העדכניות ביותר.

"הפריצות האחרונות הן אות אזהרה לתעשיית ה-DeFi. עליה לאמץ גישה חדשה, שבה אבטחה ואמינות הן בראש סדר העדיפויות, בלי לוותר על עקרונות הביזור והחדשנות."