El incidente de piratería de Dexx fue como un terremoto que conmocionó a la industria web3, provocando que todos los campos web3 y DeFi experimentaran un impacto sin precedentes. Este incidente no solo expuso las profundas lagunas en la arquitectura técnica de los intercambios descentralizados ordinarios (DEX), sino que también desencadenó una crisis de confianza y un replanteamiento de las finanzas descentralizadas: los usuarios sufrieron grandes pérdidas, la reputación de la industria se vio dañada e incluso causó algunos La gente comenzó a preguntarse si la visión financiera segura, eficiente y justa defendida por DeFi realmente se puede hacer realidad.
Sin embargo, las crisis suelen ser también oportunidades para una comprensión y un cambio más profundos. De la tecnología a la gobernanza, de la teoría a la práctica, este evento nos brinda la oportunidad de reexaminar DeFi. Comenzaremos desde el evento en sí, combinaremos análisis de eventos, investigación teórica y predicción de tendencias tecnológicas futuras para realizar un análisis en profundidad del incidente de piratería de Dexx y explorar cómo los productos y soluciones de seguridad representados por Hibit pueden promover DeFi para lograr una verdadera madurez. .
I. Revisión del incidente de hackeo de Dexx
1.1 Detalles clave del incidente de Dexx
Según información pública, las pérdidas sufridas por Dexx debido al ataque ascienden a 40 millones de dólares y esta cifra sigue aumentando, miles de usuarios han sufrido pérdidas. A las 4:00 a.m. del 16 de noviembre de 2024, la oficial emitió un aviso declarando que se habían observado transferencias de tokens de usuarios, y varios equipos de auditoría profesional ya habían comenzado a realizar análisis y revisiones. A las 6:40 p.m. de ese día, DEXX emitió un comunicado: 1. El equipo se ha comunicado con las autoridades de varios lugares; 2. Esperan poder comunicarse con los hackers; 3. El equipo de SlowMist ya está involucrado, contabilizando e investigando los fondos de los usuarios afectados y el flujo de fondos de los hackers; 4. Se están discutiendo soluciones posteriores para los usuarios. Hasta ahora, no se ha obtenido la solución más completa. Y después de un análisis del equipo de Hibit, este ataque se aprovechó de las siguientes categorías de vulnerabilidades:
(1) Vulnerabilidades de contratos inteligentes: ataques de reentrada
Los hackers extrajeron fondos repetidamente a través de la vulnerabilidad de "reentrada" existente en el contrato inteligente del pool de liquidez de Dexx. El ataque de reentrada es una vulnerabilidad común en contratos inteligentes que permite a los atacantes llamar repetidamente a una función y extraer activos cuando el contrato permite llamados externos antes de actualizar su estado interno. Este problema a menudo se origina en la falta de verificación (Verificación Formal) y auditoría en la etapa de desarrollo del código.
(2) Sistema de gestión de claves centralizado comprometido
A pesar de que Dexx afirma ser una plataforma completamente descentralizada, la gestión de permisos para sus operaciones clave (como la acuñación y los retiros) aún depende de servidores centralizados, y las operaciones de monedero de Dexx son monederos custodiados, lo que presenta graves vulnerabilidades de seguridad. Por lo tanto, Dexx no es un DEX verdaderamente descentralizado, y precisamente por ello, su problema de seguridad ha sido un problema central: estos servidores se convirtieron en los principales objetivos de ataque para los hackers. Una vez que el servidor es comprometido, los atacantes obtienen el control sobre las funciones centrales de la plataforma y las claves privadas de los usuarios.
(3) Falta de mecanismos de verificación de transacciones y sistemas de prevención de lavado de dinero (AML)
El mecanismo de verificación de transacciones de Dexx no pudo detectar a tiempo grandes retiros anómalos y comportamientos de transacción frecuentes. Al no utilizar monitoreo en tiempo real y herramientas de análisis de big data, la plataforma no pudo detener rápidamente la fuga de fondos cuando los hackers comenzaron a actuar. Además, los hackers utilizaron tecnologías de mejora de privacidad (como mezcladores de criptomonedas) para transferir rápidamente los fondos fuera de la plataforma, exponiendo la falta de un sistema de prevención de lavado de dinero y la capacidad de rastrear transacciones de Dexx.
1.2 Pérdidas de usuarios y su impacto en el mercado
Miles de usuarios sufrieron pérdidas directas e incluso perdieron todos sus activos de inversión. Las repercusiones del incidente llevaron a una drástica reducción de la liquidez en la plataforma Dexx, y la confianza en todo el mercado DeFi se vio gravemente afectada. Según los datos recopilados por el equipo de Hibit, después de este incidente, el volumen promedio diario de transacciones en DEX de toda la industria disminuyó en un 15%, y la actividad de los usuarios relacionados también se redujo en un 20%.
Esta serie de consecuencias indica que los problemas de seguridad no solo son desafíos técnicos, sino también el límite de la confianza del usuario. Una vulnerabilidad de seguridad puede hacer que la confianza acumulada de una plataforma durante años se derrumbe en un instante.
II. Análisis teórico: la esencia y riesgos de las finanzas descentralizadas
2.1 Fundamentos teóricos de la economía descentralizada
(1) Economía de costos de transacción: la paradoja de la eficiencia descentralizada
Una de las bases teóricas de las finanzas descentralizadas (DeFi) es la economía de costos de transacción (Transaction Cost Economics, Coase, 1937). Coase propuso que al reducir los intermediarios, los costos de transacción pueden reducirse significativamente. Sin embargo, en la práctica de DeFi, hemos observado una "paradoja de eficiencia": aunque se han eliminado los intermediarios, han surgido nuevos riesgos y costos.
Por ejemplo, el incidente de hackeo de Dexx expuso las vulnerabilidades de los contratos inteligentes, convirtiendo este riesgo tecnológico en un nuevo costo de transacción. Los usuarios que utilizan plataformas DeFi deben asumir la incertidumbre derivada de ataques de hackers, errores de contratos inteligentes y fallas en la gobernanza de la plataforma. Según un estudio de 2023 (Xu et al., Journal of Blockchain Research), el costo promedio de riesgo en transacciones de DeFi es 30%-50% más alto que en las finanzas tradicionales, lo cual está relacionado directamente con la complejidad de los contratos inteligentes y la vulnerabilidad de la arquitectura descentralizada.
(2) Desequilibrio entre retorno de capital y transferencia de riesgos
Desde la perspectiva de la teoría moderna de carteras (Modern Portfolio Theory, Markowitz, 1952), el estado ideal de las finanzas descentralizadas es mejorar la eficiencia de la asignación de fondos a través de la diversificación y transacciones sin intermediarios. Sin embargo, el incidente de hackeo de Dexx revela un problema de desequilibrio entre el retorno del capital y la distribución del riesgo. Dado que las plataformas DeFi a menudo dependen de proveedores de liquidez (LPs) para respaldar el fondo, una vez que la plataforma es atacada, las pérdidas se concentran en los usuarios comunes, en lugar de en la plataforma o el proveedor de tecnología. Además, un estudio de 2024 (Zhang et al., DeFi Risk Assessment) indica que las pérdidas de los usuarios representan más del 80% de las pérdidas totales por ataques de hackers en plataformas DeFi, mientras que este fenómeno es relativamente bajo en el sistema financiero tradicional. Este mecanismo de transferencia de riesgos plantea un desafío significativo a la lógica de diversificación de riesgos de las plataformas DeFi.
2.2 Análisis de la arquitectura de computadoras y seguridad
(1) Vulnerabilidades de contratos inteligentes: teoría y práctica
Los contratos inteligentes son el núcleo de DeFi, pero la vulnerabilidad en su diseño de código ha llevado a frecuentes incidentes de seguridad. En 2024, un estudio publicado por Liu et al. en ACM Computing Surveys resumió los tipos comunes de vulnerabilidades en contratos inteligentes, especialmente los ataques de reentrada (como el ataque que sufrió Dexx). El estudio señala que más del 45% de los incidentes de seguridad en DeFi se atribuyen a vulnerabilidades en el código de contratos inteligentes, lo cual se debe en gran medida a que los equipos de desarrollo carecen de herramientas de verificación formal y mecanismos de monitoreo dinámico.
- Verificación formal: a través de modelos matemáticos, se puede verificar si los contratos inteligentes cumplen con las especificaciones establecidas, lo que puede reducir significativamente los defectos de código. Luu et al. (2016) en el futuro de Ethereum señalaron que la verificación formal es crucial para la seguridad de contratos inteligentes complejos. Sin embargo, actualmente, menos del 20% de las plataformas DeFi utilizan esta tecnología, lo que lleva a que muchas plataformas aún dependan de auditorías de código tradicionales, incapaces de hacer frente a ataques de alta complejidad.
- Mecanismos de defensa dinámica: por ejemplo, los bloqueos temporales (Timelocks) y los límites de transacción (Transaction Caps) son métodos efectivos para manejar transacciones anómalas de gran volumen. Sin embargo, en Dexx, estos mecanismos estaban completamente ausentes, lo que permitió a los atacantes extraer grandes sumas de dinero en un corto período de tiempo.
(2) Descentralización e innovación en la gestión de claves
La gestión de claves centralizada de Dexx es la vulnerabilidad central de este incidente. En comparación, la criptografía de umbral (Threshold Cryptography), entre otros, ofrece soluciones más seguras para la gestión de claves descentralizada: este método permite dividir las claves en múltiples partes, que son poseídas y verificadas en conjunto por múltiples nodos. Incluso si un nodo es comprometido, la clave sigue siendo segura. En 2023, una investigación conjunta de IBM y Hyperledger demostró que en sistemas descentralizados que utilizan criptografía de umbral, el riesgo de fallos únicos se reduce en más del 70%.
(3) Tecnologías de autenticación contra phishing e ingeniería social
A pesar de que las defensas tecnológicas de seguridad están en constante mejora, los ataques de ingeniería social siguen siendo una de las principales amenazas para DeFi. Los estudios indican que aproximadamente el 40% de los incidentes de hackeo involucran ataques de phishing. Tecnologías de autenticación contra phishing, como el estándar FIDO2 y la IA de análisis de comportamiento, pueden reducir significativamente el riesgo de errores de operación humana de los usuarios. Por ejemplo, FIDO2 proporciona una experiencia de autenticación multifactor sin contraseña mediante tecnología biométrica y claves de autenticación de hardware. En 2024, Crypto.com integró completamente el estándar FIDO2 en su billetera, lo que redujo los incidentes de robo de cuentas en un 65%.
2.3 Teoría de la gobernanza y mecanismos de confianza en plataformas DeFi
(1) Gobernanza dinámica y autonomía descentralizada
El incidente de Dexx refleja defectos graves en el nivel de gobernanza. Aunque se autodenomina descentralizado, el mecanismo de toma de decisiones real de la plataforma es altamente centralizado y no pudo reaccionar rápidamente al estallido del evento. Este fenómeno de "pseudo-descentralización" no es raro en la industria DeFi. Las DAO ofrecen una solución poderosa. A través de decisiones de votación de los titulares de tokens, las DAO no solo aumentan la transparencia, sino que también crean espacio para que los usuarios participen en la gobernanza de la plataforma. Por ejemplo, el modelo de gobernanza adoptado por MakerDAO ha evitado con éxito múltiples riesgos significativos, demostrando la viabilidad de la gobernanza descentralizada.
(2) Digitalización de la confianza e interpretación económica
La confianza es la piedra angular de DeFi. Desde la perspectiva económica, la confianza es un "activo intangible", pero su valor puede hacerse explícito a través del diseño de mecanismos. En las plataformas DeFi, la confianza suele depender de la tecnología (como los contratos inteligentes) y la gobernanza (como las DAO). Sin embargo, el fracaso de la gobernanza de Dexx ha llevado a una doble erosión de la confianza de los usuarios en la tecnología y la plataforma. En el estudio de la confianza en ecosistemas de blockchain se demuestra que la transparencia y la seguridad son dos pilares fundamentales para establecer confianza en plataformas DeFi. Cuando una plataforma ofrece auditorías en tiempo real, código abierto y funciones de gobernanza dinámica, la confianza de los usuarios es 35%-50% mayor que en plataformas que carecen de estas funciones.
III. Soluciones representadas por Hibit: doble garantía técnica y de gobernanza
3.1 Ventajas clave de Hibit
(1) Seguridad y escalabilidad de Layer-2
Hibit ha construido una infraestructura Layer-2 con más de 100,000 líneas de código, diseñada específicamente para mejorar la seguridad y escalabilidad. Sus contratos inteligentes han pasado por una verificación formal rigurosa e incorporan mecanismos de defensa dinámica (como bloqueos temporales y límites de transacción) para prevenir eficazmente vulnerabilidades como los ataques de reentrada.
(2) Monederos no custodiados e identidad descentralizada
Hibit ofrece monederos no custodiados (Hibit ID), eliminando el riesgo de fallos únicos y filtraciones de claves privadas. Además, la plataforma asegura la identidad de los usuarios y la seguridad de los activos a través de tecnología de identidad descentralizada (DID).
(3) Plan de compensación para usuarios afectados
En la gestión posterior al evento de Dexx, Hibit lanzó proactivamente un plan de compensación a través de airdrops para los usuarios afectados. Esto no solo ayudó a los usuarios a recuperar sus pérdidas, sino que también encontró un verdadero estándar técnico para la reestructuración de la confianza en toda la industria.
(4) Integración de un sistema de monitoreo AI en tiempo real
Hibit asegura la transparencia y el cumplimiento del flujo de fondos mediante herramientas AI que mejoran la privacidad, sin comprometer los derechos de privacidad de los usuarios.
IV. Perspectivas futuras:
4.1 El arte del equilibrio entre descentralización y seguridad
El futuro de las finanzas descentralizadas radica en cómo equilibrar la tensión inherente entre descentralización y seguridad. Por un lado, la descentralización es el valor central de DeFi, ya que mejora la transparencia y la eficiencia al eliminar intermediarios tradicionales; por otro lado, la descentralización completa a menudo significa falta de un mecanismo de coordinación central, lo que puede resultar en una mayor complejidad técnica y fallas en la gobernanza. Esta contradicción forma la "paradoja de la descentralización" en la aplicación práctica: la sobre-descentralización lleva a que la plataforma dependa completamente de decisiones comunitarias y autonomía, lo que resulta en una lenta capacidad de respuesta y dificultad para reparar vulnerabilidades ante ataques; la sobre-centralización implica que la plataforma introduce componentes centralizados para simplificar procesos técnicos y de gestión, lo que hace que pierda su esencia descentralizada y aumenta el riesgo de fallos únicos. En el futuro, las plataformas DeFi necesitarán una estrategia de "descentralización progresiva", que encuentre el mejor equilibrio entre tecnología e innovación en gobernanza.
(1) Promoción de la verificación distribuida
Un mecanismo de verificación distribuido es una vía técnica efectiva que asigna la validación de transacciones a múltiples nodos o miembros de la red, reduciendo la posibilidad de fallos únicos. Por ejemplo, los puentes tradicionales entre cadenas pueden introducir mecanismos de criptografía de umbral (Threshold Cryptography) para garantizar que ningún nodo individual pueda controlar todo el proceso de verificación, completando así la función de firma de umbral más segura para soluciones entre cadenas.
(2) Introducción de seguros de contratos inteligentes
El seguro de contratos inteligentes es una herramienta financiera defensiva contra las vulnerabilidades de contratos inteligentes y ataques externos. La plataforma puede introducir mecanismos de seguro descentralizados como Nexus Mutual para proteger los fondos de los usuarios. Este tipo de seguro se realiza a través de reservas distribuidas y aseguramiento en cadena, protegiendo los fondos de los usuarios mientras se mejora la estabilidad del sistema.
(3) Diseño de modelos de gobernanza dinámica
La innovación en los modelos de gobernanza es fundamental para equilibrar la descentralización y la seguridad. La gobernanza dinámica (Dynamic Governance) es un enfoque de gobernanza ajustable: cuando el sistema está en estado normal, la plataforma toma decisiones transparentes mediante un modelo de organización autónoma descentralizada (DAO); mientras que en caso de eventos inesperados, el sistema activa mecanismos de emergencia que concentran temporalmente los permisos en nodos de confianza, respondiendo rápidamente a la crisis. Este mecanismo de doble vía no solo mejora la flexibilidad de la plataforma, sino que también refuerza la seguridad sin sacrificar el valor de la descentralización.
4.2 Gestión de riesgos y confianza del usuario
El incidente de Dexx destaca la vulnerabilidad de la confianza del usuario en DeFi. La confianza es la piedra angular de las finanzas descentralizadas, pero también es la parte más susceptible a daños. Una vez que los activos de los usuarios sufren pérdidas, el costo de reconstruir la confianza es mucho mayor que la inversión necesaria para construir la confianza inicial. Por lo tanto, las futuras plataformas DeFi deben elevar la gestión del riesgo y la protección del usuario a un núcleo estratégico y optimizar desde tres niveles: tecnología, gobernanza y ecosistema.
(1) Innovación tecnológica: reducción del riesgo sistémico
La tecnología es la primera línea de defensa en la gestión de riesgos, y es el verdadero núcleo de seguridad arraigado en el producto. A continuación se presentan las direcciones de investigación que la industria necesita desarrollar en el futuro, y en las que Hibit ha estado trabajando:
- Verificación formal de contratos inteligentes
Según los datos del Blockchain Research Institute, en 2024 más del 70% de las vulnerabilidades en DeFi podrían evitarse mediante herramientas de verificación formal. Sin embargo, la tasa de adopción actual es solo del 25%. En el futuro, la promoción y mejora de las herramientas de verificación formal será una tarea importante para las plataformas DeFi.
- Criptografía de umbral
La gestión de claves centralizada de Dexx es una de las principales fuentes de su vulnerabilidad. Al adoptar un mecanismo de gestión de claves descentralizado, la plataforma puede reducir significativamente el riesgo de ataques únicos de hackers y lograr la interoperabilidad más segura.
- Sistema de alerta de riesgos en cadena
Combinando tecnologías de análisis de AI y blockchain, se puede establecer un sistema de monitoreo de riesgos en cadena en tiempo real. Por ejemplo, la herramienta Chainalysis KYT (Know Your Transaction) lanzada en 2023 puede detectar transacciones anómalas en tiempo real, proporcionando un 90% de advertencias anticipadas sobre riesgos potenciales para la plataforma. El equipo de Hibit ha realizado desarrollos y actualizaciones adicionales sobre estas herramientas.
(2) Innovación en gobernanza: establecer un ecosistema de confianza
El surgimiento de las DAO trae un gran potencial para la gobernanza de las plataformas DeFi, pero en su práctica actual existen desventajas como la ineficiencia y la dispersión del poder. Al optimizar la estructura de gobernanza de las DAO, se puede aumentar la capacidad de las plataformas para mantener la confianza del usuario:
- Gobernanza de múltiples niveles: clasificar a los usuarios, desarrolladores e inversores institucionales en diferentes niveles de gobernanza y otorgar diferentes ponderaciones de voto a cada grupo. Este diseño no solo mejora la eficiencia de la gobernanza, sino que también puede equilibrar mejor los intereses de todas las partes.
- Herramientas de transparencia para la gobernanza descentralizada: por ejemplo, herramientas como Snapshot pueden proporcionar transparencia en la votación, permitiendo a los usuarios ver claramente la participación y los niveles de apoyo de cada decisión, garantizando así una verdadera descentralización.
(3) Mecanismos de protección del usuario: fortalecer la base de confianza
La mejora de los mecanismos de protección del usuario es crucial para reconstruir la confianza. A continuación se presentan algunas medidas viables:
- Seguro en cadena y reservas de capital
Los mecanismos de seguro en cadena descentralizados (como InsurAce) pueden proporcionar compensación a los usuarios en caso de ataques de hackers o vulnerabilidades de contratos inteligentes. Al mismo tiempo, las plataformas deben establecer mecanismos de reservas de capital suficientes para enfrentar riesgos sistémicos potenciales.
- Fondo de compensación para víctimas
Para eventos significativos, como el ataque de hackers a Dexx, la plataforma podría establecer un fondo de compensación específico para proteger los intereses de los usuarios. Similar al plan de compensación total lanzado por Hibit, esta medida no solo garantiza efectivamente la confianza del usuario, sino que también demuestra el sentido de responsabilidad social de la plataforma.
Conclusión:
El incidente de hackeo de Dexx, aunque es una catástrofe, también señala la dirección para el futuro desarrollo de DeFi. Desde mejoras técnicas hasta innovaciones en gobernanza, desde la protección del usuario hasta la regulación de la industria, cada paso hacia adelante en DeFi requiere una reflexión más profunda y una práctica más sistemática. Y las plataformas representadas por Hibit están liderando a DeFi hacia una nueva era más segura y confiable con tecnología avanzada y verdadera descentralización.
Si DeFi es una "revolución industrial" en el mundo financiero, el incidente de Dexx es un importante accidente de seguridad y advertencia. En el futuro, no solo necesitamos una verdadera "descentralización", sino que debemos utilizar tecnologías más sólidas y una gobernanza más inteligente para lograr este ideal. Deseamos que los constructores de la industria se unan a nosotros para construir este hermoso ideal y futuro.