Exploit platformy KelpDAO znovu otevřel debatu o bezpečnosti decentralizovaných financí. Podle vývojářů se dnes největší rizika přesouvají mimo samotné smart kontrakty – k infrastruktuře, správě protokolů a provozní bezpečnosti.
Decentralizované finance dlouhé roky stavěly na jednoduché myšlence: „code is law“. Smart kontrakty měly odstranit lidské chyby a nahradit tradiční finanční prostředníky transparentním softwarem běžícím na blockchainu.
Nedávný útok na KelpDAO ale podle vývojářů ukazuje, že problém se postupně přesouvá jinam. Při exploitu, který byl spojen s infrastrukturou bridge systému LayerZero, zmizely kryptoměny v hodnotě přibližně 293 milionů dolarů. A samotné smart kontrakty přitom podle expertů fungovaly přesně tak, jak byly naprogramovány.
„Kontrakty ve většině těchto případů dělaly přesně to, co jim autoři řekli. Jen to tentokrát nebyli legitimní lidé,“ uvedl pro CoinDesk Eugene Mamin z Lido Labs Foundation.
Podle představitelů DeFi sektoru se dnešní útoky stále méně týkají klasických chyb ve smart kontraktech. V minulosti šlo často o chyby v logice, manipulaci s oracly nebo známé typy zranitelností typu reentrancy. Dnes jsou ale protokoly výrazně složitější a propojenější.
„Riziko smart kontraktů je z velké části vyřešený problém. V poslední době většina hacků vznikla kvůli špatné provozní bezpečnosti,“ řekl Sam MacPherson z Phoenix Labs, firmy stojící za DeFi platformou Spark.
Vývojáři upozorňují, že moderní DeFi už netvoří izolované aplikace. Jednotlivé protokoly jsou propojené přes bridge systémy, validátory, multisig peněženky nebo cloudové služby třetích stran. Každá další vrstva přitom vytváří nový potenciální bod selhání.
„Když používáte infrastrukturu někoho jiného, přebíráte i jeho bezpečnostní model,“ upozornil Mamin.
Právě to podle nich ukázal i případ KelpDAO. Slabina v infrastruktuře sdíleného bridge systému se nepřenesla jen na jednu aplikaci, ale postupně zasáhla i další protokoly postavené nad touto vrstvou.
Podle MacPhersona se tím zároveň zvyšuje systémové riziko celého sektoru. Pokud příliš velká část trhu závisí na stejné infrastruktuře, problémy už nezůstávají izolované a mohou se šířit napříč ekosystémem.
Hack zároveň přichází v době, kdy se část investorů začíná odvracet od agresivních výnosových strategií a složitých finančních konstrukcí. Po sérii exploitů, likvidací a problémů posledních let podle vývojářů roste zájem o konzervativnější a předvídatelnější produkty.
„Nudné je dnes výhoda,“ řekl Mamin. „Protokoly, kterým lidé svěřují opravdu velký kapitál, většinou fungují stejně a předvídatelně už několik let.“
Podle něj se mění i samotné vnímání bezpečnosti v kryptu. Největší slabiny už často připomínají klasické problémy kyberbezpečnosti známé z web2 světa – kompromitované notebooky, SaaS služby, správa privátních klíčů nebo útoky na dodavatelský řetězec softwaru.
„Útočná plocha se vlastně vrátila zpět ke kořenům web2 místo toho, aby se zmenšovala,“ uvedl Mamin.
Vývojáři přesto nevidí budoucnost DeFi negativně. Spíš tvrdí, že sektor vstupuje do zralejší fáze, kde bude důležitější řízení rizik než maximalizace výnosů za každou cenu.
Podle MacPhersona je dlouhodobou výhodou decentralizovaných financí hlavně transparentnost. Kolaterál, likvidita i expozice jsou viditelné on-chain v reálném čase. Klíčovým úkolem teď podle něj bude spojit tuto transparentnost s profesionálnějším risk managementem.