С момента появления DeFi Summer в 2020, DeFi пережили значительный рост, как с точки зрения принятия, так и с точки зрения количества развернутых протоколов. В какой-то момент, если суммировать всю стоимость DeFi, она могла бы представлять собой 31-й по величине банк в США.
Хотя цифра 31 звучит впечатляюще для отрасли, которой всего два года, некоторые утверждают, что методы обеспечения безопасности не успевают за этим взрывным ростом. За последние два года было зафиксировано более сотни взломов и использования уязвимостей в DeFi, что в сумме составило 4,3 млрд. долларов США в виде потерянных активов. Трудно представить, какие неприятные слова будут бормотать себе под нос регуляторы, если такое случится с обычным банком.
По мере увеличения размера этого денежного пула, DeFi будет все труднее и труднее превратиться в надежную и заслуживающую доверия индустрию без решения этих проблем безопасности. Для будущего развития DeFi крайне важно, чтобы эти уязвимости были проанализированы и устранены.
И сегодня мы исследуем тенденции и основные причины, лежащие в основе этих уязвимостей, а затем рассмотрим, как отрасль движется вперед для устранения этих рисков.
Межсетевые мосты доминируют в рейтинге крупнейших взломов, включая три крупнейших: Ronin Network - $624M, Poly Network - $611M и Wormhole - $326M. Кол-во средств внутри протоколах мостов, в среднем намного выше, чем у других типов протоколов, и составляет более $188 млн. на один взлом. Это объясняется тем, что природа мостов требует от них хранения значительных объемов активов.
Горячие кошельки CEX, на которых также хранятся крупные суммы пользовательских средств, работают по схожей с мостами схеме. В число предыдущих взломов входят Bitmart на сумму $196 млн., Ascendex на сумму $77 млн. и Kucoin на сумму $45 млн. В то время, как CEX с жесткой политикой безопасности хранят большую часть своих активов на холодных кошельках, некоторые биржи с менее строгой политикой оставляют значительную часть своих активов на горячих кошельках, которые гораздо больше подвержены взломам.
С другой стороны, агрегаторы доходности и протоколы кредитования являются наиболее распространенными мишенями для взломов, но, как правило, имеют меньшую сумму потерь на один взлом.
Многие из крупнейших атак происходят на несколько сетей, при этом на межсетевые мосты и горячие кошельки CEX приходится $2,2 млрд. похищенных средств, что составляет более 52% от общего объема атак.
После этих масштабных мультичейн атак, значительные суммы активов были также потеряны на Ethereum, Ronin, Solana и Binance Smart Chain.
Ethereum и Binance Smart Chain имеют давнюю DeFi экосистему с неизменно более высоким TVL по сравнению с другими. Обе сети также часто были первыми экосистемами, в которых запускались новые проекты, что давало взломщикам больше потенциальных уязвимостей для экспериментов. С другой стороны, Ronin и Solana стали жертвами крупных взломов мостов, с помощью которых были украдены значительные части TVL их экосистем.
<aside> 💡 В целом, мосты и CEX, как правило, приносили наибольшие потери на один взлом, в то время как агрегаторы доходности и протоколы кредитования взламывались чаще. Самые крупные кражи, как правило, совершались в проектах, охватывающих несколько сетей, или в экосистемных мостах, на которые приходится большая часть общего TVL сети.
</aside>