Проблеми безпеки DeFi: приховані ризики та важливість Децентралізації

З лютого 2020 року сфера DeFi зазнала збитків у кілька сотень мільйонів доларів. Незважаючи на те, що експерти неодноразово застерігали про потенційні ризики екосистеми DeFi, розробники, здається, все ще недостатньо приділяють увагу цій проблемі в умовах, коли ринок продовжує бути гарячим, а обсяги заморожених коштів постійно зростають. Проте ті ризики, які ховаються під маскою свята, все ще існують.

Протокол YFI зазнав атаки через швидкий кредит

На початку 2021 року колишній король DeFi Yearn Finance став першим жертвою атаки через флеш-кредит у тому році. Згідно з аналізом безпекової компанії, атакуючі націлилися на стратегічний пул DAI Yearn Finance. Процес атаки був складним і включав кілька етапів:

1. Взяти велику кількість ETH з кількох платформ
2. Використання позиченого ETH на певній платформі кредитування для отримання DAI та USDC
3. Вкласти більшість коштів у певний пул торгівлі стабільною монетою, контролюючи більшу частину ліквідності
4. Через вилучення частини USDT викликано дисбаланс пропорцій у пулі
5. Використання дисбалансованого співвідношення для внесення DAI в пул стратегії Yearn DAI
6. Витягування після відновлення балансу пулу призводить до втрати в стратегічному пулі
7. Повторюйте наведені вище кроки кілька разів, щоб в кінцевому підсумку отримати прибуток

Цей напад призвів до втрат Yearn Finance до десятків мільйонів доларів.

Джерело проблеми: крихка цінова механіка

Ця подія виявила основну проблему не в самих闪电贷, а в крихкій ціновій механіці, що існує в протоколах Децентралізованих фінансів. Комбінації між деякими протоколами використовують частки LP для визначення ціни, і ця механіка дуже легко піддається маніпуляціям.

Можна порівняти різні DeFi-протоколи з різними країнами, кожна з яких має свої власні правила. Розумні "торговці" шукають можливості для арбітражу, вивчаючи відмінності між цими правилами. Ця поведінка по суті важко засудити, оскільки вона просто використовує прогалини в установлених механізмах.

Ключ до розвитку Децентралізовані фінанси: звернення уваги на безпеку

Наразі багато розробників DeFi-протоколів надто зосереджені на швидкості та ефективності, ігноруючи основні цінності блокчейну. На відміну від біткоїна, який забезпечує безпеку через складні механізми консенсусу, деякі DeFi-проекти використовують надто спрощені методи визначення ціни, такі як залежність від небагатьох "достовірних" вузлів або просте обчислення часток LP.

Цей підхід суперечить сутності децентралізації та консенсусного управління блокчейну. Справжній безпечний механізм ціноутворення повинен бути бездозвільним, перевіряємим будь-ким і ставати більш стабільним у міру зростання кількості учасників.

Дотримуйтесь принципу децентралізації

Деякі проєкти намагаються створити механізм синхронізації цін у безарбітражному просторі, що не потребує дозволів і є перевіряємим. Цей механізм генерує дані про ціну в блокчейні через багатосторонні ігри, які покращуються з ростом масштабів участі.

Ціна на ланцюзі, що генерується такою багатовимірною, неконкурентною ігровою механікою, є безпековим фундаментом, до якого має прагнути індустрія Децентралізованих фінансів. Дотримання децентралізованої сутності блокчейну – це не лише технічний вибір, а й основний принцип розвитку всієї індустрії.