Після низки DeFi-атак у квітні в обговореннях безпеки децентралізованих фінансів (DeFi) чітко намітився помітний зсув. Раніше протоколи DeFi найчастіше перевіряли на те, чи пройшли вони аудит смартконтрактів і чи немає в коді вразливостей; однак співзасновник Flying Tulip Андре Кроньє в нещодавньому інтерв’ю Cointelegraph заявив, що сьогодні ризики багатьох DeFi-протоколів полягають уже не лише в ончейн-коді, а походять від прав на оновлення, багатопідписного (multisig) управління, офчейн-базової інфраструктури та командних операційних процесів.
DeFi уже не є незмінним кодом, який неможливо підмінити
Кроньє прямо каже, що якщо дивитися на ранній DeFi з його суворим визначенням — «децентралізований, незмінний, без потреби довіряти» — то нині багато протоколів фактично вже не можна назвати чистим DeFi. Він навіть включив до цього висновку Flying Tulip, зазначивши, що нинішня індустрія більше схожа на прибуткові фінансові послуги, якими керують команди, а не на повністю незмінну публічну фінансову інфраструктуру.
Він сказав: «Я вважаю, що те, що ми маємо сьогодні, включно з Flying Tulip, уже не є DeFi. Це не децентралізовані фінанси і не незамінний/незмінний код, а бізнес, яким керує команда».
Ці слова підкреслюють найбільш незручну реальність для індустрії DeFi: багато протоколів досі використовують наративи DeFi, оцінки та брендову мову, але фактично в роботі давно покладаються на значний людський контроль і офчейн-процедури.
Найбільший ризик DeFi більше не лише в вразливостях контрактів
Кроньє вважає, що рання модель безпеки DeFi була відносно простою: після розгортання протоколу смартконтракти були незмінними, а користувачі здебільшого брали на себе ризики логіки коду. Натомість тепер DeFi-системи зазвичай значно складніші: протоколи можуть використовувати proxy upgrade для оновлення контрактів, керувати ключовими правами через multisig, покладатися на постачальників зовнішньої інфраструктури та в разі інциденту здійснювати кризове реагування силами ядра команди.
Це означає, що проблеми безпеки розширилися з «чи є в коді баг» до «хто має право оновлювати контракти», «хто тримає багатопідписні ключі», «чи достатній часлок (time lock)», «чи можливе успішне атакування офчейн-серверів або керувальних інтерфейсів», «чи здатна команда правильно відреагувати в аномальних ситуаціях».
Кроньє також зазначив, що раніше індустрія надмірно фокусувалася на аудиті смартконтрактів, але нещодавні атаки значною мірою більше схожі на безпекові проблеми традиційного Web2 або TradFi. Наприклад, компрометація доступу до інфраструктури, соціальна інженерія, зловживання управлінськими процесами або злам одного ключового вузла повноважень.
Іншими словами, DeFi не є таким, що не потребує аудитів, але одних аудитів уже недостатньо. Якщо протокол можна оновлювати, ним можна керувати та в нього можуть втручатися люди, то він має визнати, що також стикається з операційними ризиками, характерними для традиційних фінансових установ.
Flying Tulip додає механізм аварійного гальмування/відсічі зняття коштів
На цьому тлі Flying Tulip нещодавно додав механізм аварійного гальмування зняття коштів (withdrawal circuit breaker), завдяки якому протокол, виявивши аномальний відтік коштів, може або затримати, або поставити в чергу обробку зняттів. Кроньє підкреслив, що цей механізм не призначений для того, щоб назавжди заблокувати зняття, і не для того, щоб команда довільно заморожувала кошти, а для того, щоб у разі аномалії протокол отримав коротке «вікно» для реакції.
На прикладі Flying Tulip цей механізм приблизно дає команді 6 годин. Кроньє вважає, що якщо команда менша, а члени менш глобально розподілені, то може знадобитися 12–24 години або навіть більше, щоб під час атаки завершити внутрішню перевірку, підписання рішень і реагування.
Логіка таких рішень дуже схожа на те, що в традиційних фінансових ринках називають торговими зупинками або запобіжними воротами з ризик-менеджменту: коли в системі виникає аномальна ліквідність або відтік активів, це не означає автоматично визнати всі угоди недійсними — спочатку систему уповільнюють, щоб атака не дозволила зловмиснику за кілька хвилин забрати всі кошти.
Втім, Кроньє також наголосив, що circuit breaker може бути лише частиною багаторівневої системи безпеки і не має розглядатися як панацея. Справжній захист має включати аудити, рознесення multisig, часлок, механізми управління (governance), моніторинг і контроль повноважень.
Ціна circuit breaker: захист користувачів чи створення нових централізованих «підсвідомих дверей»?
Однак механізм відсічі одразу викликав суперечки серед розробників DeFi щодо напряму розвитку. Засновник Curve Finance та Yield Basis Майкл Єгоров погодився, що нещодавні атаки справді оголили офчейн-централізовані ризики, але він дуже насторожено ставиться до «практичного» рішення у вигляді посилення людського екстреного контролю.
Єгоров зазначив, що багато нещодавніх масштабних подій у DeFi трапилися не тому, що смартконтракти самі по собі були зламані, а через офчейн-одиночні точки відмови. Він наводить приклад подій, пов’язаних із rsETH, і каже, що смартконтракти Aave, Kelp і LayerZero не були зламані; проблема була в офчейн-інфраструктурі.
Тому, на думку Єгорова, якщо головний ризик і так походить від людей і офчейн-повноважень, то додавання ще одного mechanism, яким керують люди, може бути лише способом зосередити ще більше влади в руках кількох підписантів або адміністраторів.
Єгоров побоюється, що якщо екстрені повноваження дозволяють підписантам змінювати контракти, зупиняти зняття або втручатися у спрямування потоків коштів, то, коли підписантів атакують, механізм, який мав захищати користувачів, може навпаки стати інструментом для хакерів, які «викачають» кошти, або перетворитися на бекдор для централізованого заморожування активів. Його висновок такий: дизайн DeFi має максимально зменшувати людські одиночні точки відмови, а не вирішувати проблеми, спричинені людськими повноваженнями, шляхом додавання ще більшої кількості людських повноважень.
DeFi має визнати, у що саме він перетворився
Розбіжності між Кроньє та Єгоровим на поверхні виглядають як суперечка про circuit breaker, але фактично це суперечка про самоідентичність DeFi. Позиція Кроньє більше прагматична: якщо багато протоколів уже не незмінні контракти, а фінансові продукти з правами на оновлення, управлінськими процесами та командною операційною моделлю, то треба визнати цю реальність і впровадити відповідні заходи контролю ризиків.
Єгоров, натомість, ближчий до де-факто «першоджерельних» принципів DeFi: якщо безпека DeFi базується на децентралізації, то рішення не має полягати в тому, щоб віддати людям більше контролю; натомість потрібно створити системи, що менше залежать від ручного втручання.
Обидві сторони, по суті, визнають одне: найбільша проблема DeFi сьогодні полягає вже не лише в тому, чи правильно написаний код контрактів, а в тому, кого саме користувачі вирішують довіряти. Якщо протокол можна оновлювати, можна призупиняти, можна ставити зняття в чергу, можна змінювати ключову логіку через multisig, то ризик для користувача — це не просто ризик смартконтрактів, а ризик управління командою (governance), ризик підписантів, ризик інфраструктури та операційний ризик.
Ця стаття DeFi ще децентралізований? Андре Кроньє: визнайте, що більшість протоколів — це код, який можна підміняти. Найперше з’явилася в стрічці новин 鏈新聞 ABMedia.
