Odpowiedzialne DeFi | O bezpieczeństwie i kilku innych sprawach
Ostatnie incydenty zrodził wątpliwości odnośnie bezpieczeństwa szybko rozwijającego się sektora DeFi. Doszły do tego pytania o odpowiedzialność twórców aplikacji, którzy będąc świadomymi pewnych luk mogą chcieć wykorzystać niewiedzę ludzi. W obliczu jakich problemów stoi aktualnie DeFi?
Luka w zabezpieczeniach popchnęła programistów aplikacji Fulcrum opartej na Ethereum do częściowego wyłączenia smart kontraktu(!). Ten przypadek naruszenia bezpieczeństwa pokazał, że atakujący był w stanie wykorzystać szereg złożonych transakcji w wielu aplikacjach, aby wykorzystać tę lukę. Ludzie zajmujący się sprawą bZX doszli do wniosku, że atakujący posiadał „niezwykle dogłębną wiedzę na temat każdego protokołu DeFi”. Przypomnijmy:
Odpowiedzialne DeFi | Problemy, które należy rozwiązać
Incydent z bZx skłonił niektórych do zakwestionowania wartości sektora DeFi zarówno w kontekście odpowiedzialnego współużytkowania, jak i kwestii decentralizacyjnych. Charlie Lee, twórca Litecoina powiedział, że tak zwane zdecentralizowane aplikacje mają klucz administratora do wstrzymywania kontraktów, co oznacza „decentralizacyjny teatr”.
Co ciekawe, podobną opinią podzielił się Alex Bosworth – deweloper Lightning Network:
If your “defi” project has an admin key or a coordinator, a set of oracles, a group of validators or cosigners, a default trusted keys list, even if you “have plans to phase it out”, what you are actually doing is running a financial service. In other words you actually have no d
— Alex Bosworth ☇ (@alexbosworth) February 15, 2020
Niezależnie od tego, czy twierdzenia o absolutnej decentralizacji DeFi są właściwe czy też nie, incydent wskazał na znacznie poważniejszy i bardziej fundamentalny problem w branży.
Raport bZx stwierdza, że wszystkie fundusze użytkowników są bezpieczne. Do wiadomości podali również informację o wdrożeniu patcha, co ma powstrzymać na przyszłość ewentualnych atakujących, którzy chcieliby skorzystać z tego samego exploita. Sceptycy zastanawiają się, czy to wystarczy, by poprawić i tak już nadwątlone postrzeganie bezpieczeństwa DeFi.
Aplikacje finansowe, takie jak Fulcrum stanowią niewątpliwie smakowity kąsek dla hakerów. nieprzerwane działanie i coraz bardziej złożone funkcje sprawiają, że wiele inteligentnych kontraktów padło ofiarą exploitów.
DeFi a Ethereum
Larry Cermak zwrócił uwagę na ten problem i opisał aplikacje DeFi w dość jednoznacznych słowach. Konkludował, że przy ich tworzeniu deweloperom musi towarzyszyć „stale utrzymujący się ból głowy”:
In all seriousness, I can’t even imagine the stress that the DeFi currently have EVERY SINGLE DAY. It’s a multi million dollar bounty open 24/7 and with very little consequences.
— Larry Cermak (@lawmaster) February 18, 2020
Interesujące, że sami programiści bZx wydają się zgadzać z powyższym. Kyle J Kistner, CVO bZx pisze tak:
„Branża ewoluuje szybko, a bezpieczeństwo staje się coraz bardziej newralgiczne, gdy bariery wejścia do wykonania exploita spadają do zera. W tradycyjnym systemie finansowym nie ma do tego analogii. Jesteśmy teraz na nieznanych wodach. ”
DeFi na nieznanych wodach
Jaka jest druga strona tej dyskusji? Są tacy, którzy uważają, że branża jest wciąż zbyt niezbadana, aby inwestować tak duże kwoty w nowe, złożone aplikacje. Taylor Monahan z MyCrypto.com zamknęła swoje obserwacje oraz wnioski w następującej formie:
The problem is idiots can build an exciting product, ignore security, refuse to learn, and still handle millions of dollars worth of your money bc y’all think #DeFi is safe. 😕
— Taylor Monahan (@tayvano_) February 18, 2020
1. Start holding people accountable
2. Stop giving idiots your money
3. Start learning from history
Monahan stwierdza, że przypadki ostatnich exploitów DeFi powinny wystarczyć, aby odciągnąć ludzi od tego sektora. Apeluje również o odpowiedzialność. Czy wraz ze wzrostem zainteresowania i inwestycji w zdecentralizowane finanse a także rosnącą złożonością aplikacji, kolejne incydenty bezpieczeństwa DeFi są tylko kwestią czasu?
Od Redakcji
Czy zapisaliście się już do newslettera Bithub i odebraliście swój Kurs Analizy Technicznej Bitcoina i Kryptowalut Alternatywnych? Możecie to zrobić z poziomu strony głównej naszego serwisu lub poniższego artykułu: