Раскрытие информации
Мнения и взгляды, выраженные здесь, принадлежат исключительно автору и не отражают мнения редакции crypto.news.
Новые угрозы в DeFi
DeFi-протоколы продолжают подвергаться атакам, но не со стороны тех угроз, к которым отрасль привыкла защищаться. В то время как разработчики тщательно проверяют строки кода на наличие уязвимостей, злоумышленники изменили свою тактику, используя экономические слабости, которые не учитываются в безупречном программировании.
Пример на платформе Hyperledger
Ярким примером является эксплуатация токена JELLY на платформе Hyperledger, в результате которой злоумышленники похитили более 6 миллионов долларов из страхового фонда. Эта атака не была вызвана ошибками в коде, а возникла из-за играбельных стимулов и неоплаченных рисков, которые прошли незамеченными.
Кибербезопасность и её недостатки
Кибербезопасность в DeFi достигла значительных успехов: аудиты смарт-контрактов, призванные обнаруживать ошибки в программировании, стали нормой. Однако необходимо расширить их содержательность за пределы простого анализа кода. Аудиты смарт-контрактов будут недостаточны, если они не анализируют экономические и теоретико-игровые риски.
«Чрезмерная зависимость отрасли от аудитов, ориентированных исключительно на код, устарела и представляет собой опасность, оставляя проекты уязвимыми для непрекращающихся атак.»
Aтака на Hyperliquid
В марте 2025 года биржа Hyperliquid, контракты которой прошли проверку, стала жертвой атаки на 6 миллионов долларов, связанной с её токеном JELLY. В данном случае злоумышленники не нашли ошибок в коде; они осуществили короткое сжатие, манипулируя логикой ликвидации на платформе Hyperliquid, завысив цену JELLY и изменяя параметры риска.
Дизайнеры Hyperliquid не учли определенные рыночные поведения — упущение, которое традиционные аудиты не заметили.
Растущая тенденция атак
Эти атаки уже не разовые инциденты, а становятся частью нарастающей тенденции в DeFi. Всё чаще противники мастерски эксплуатируют протоколы, манипулируя рыночными входами, стимулами или механизмами управления.
Необходимость экономических аудитов
Протоколы DeFi действуют в динамичной, конкурентной среде. Несмотря на то, что многие команды в Web3 состоят из инженеров, способных находить ошибки в программном обеспечении, немногие имеют внутреннюю экономическую экспертизу.
Это делает крайне важным, чтобы аудиты восполняли эту лакуну и выявляли уязвимости в дизайне стимулов и экономической логике. Строгие аудиты должны включать теоретико-игровой и экономический анализ с тщательным изучением таких моментов, как механика сборов, формулы ликвидации, параметры обеспечения и процессы управления.
«Как на основании данных правил кто-то может извлечь выгоду, искажая их?»
Кейс с Oak Security
Например, во время аудита, проведённого Oak Security, мы увидели, что страховой фонд платформы постоянных свопов может быть полностью истощён в условиях волатильности, так как не учёл vega risk — чувствительность протокола к волатильности — в своей модели ценообразования.
Заключение
Основатели протоколов должны настоятельно требовать от аудиторов проверки всех компонентов системы торговли, включая имплицитную логику и оффчейн-компоненты, чтобы обеспечить комплексную безопасность. Если вы основатель или инвестор, крайне важно задавать своим аудиторам следующие вопросы:
- Что насчёт манипуляций с оракулами?
- Что насчёт сценариев нехватки ликвидности?
- Проанализировали ли вы токеномику на предмет векторов атаки?
Цена таких слепых пятен слишком высока — внедрение экономического и теоретико-игрового анализа не просто «приятная опция»; это вопрос выживания для проектов DeFi.
