Инцидент с хакерами Dexx стал как землетрясение, шокировавшее индустрию web3, заставившее всю область web3 и DeFi пережить беспрецедентный шок. Этот инцидент не только выявил глубокие уязвимости в технологической архитектуре обычных децентрализованных бирж (DEX), но и вызвал кризис доверия к децентрализованным финансам и переосмысление — пользователи понесли огромные убытки, репутация индустрии была подорвана, и даже некоторые начали сомневаться, может ли финансовое видение безопасности, эффективности и справедливости, пропагандируемое DeFi, быть действительно реализовано.
Однако кризис часто становится моментом углубления понимания и возможности изменений. От технологий до управления, от теории до практики, этот инцидент предоставляет нам возможность переосмыслить DeFi. Мы начнем с самого инцидента и, сочетая анализ событий, теоретические исследования и прогнозы будущих технологических трендов, глубоко проанализируем инцидент с хакерами Dexx и обсудим, как продукты и решения безопасности, представленные Hibit, могут продвигать DeFi к истинной зрелости.
I. Обзор инцидента с хакерами Dexx
1.1 Основные детали инцидента Dexx
Согласно открытой информации, убытки Dexx от атаки составили до 40 миллионов долларов, и эта цифра продолжает расти, тысячи пользователей понесли убытки — в 4 часа утра 16 ноября 2024 года официально было выпущено предупреждение: наблюдается перемещение токенов пользователей, и несколько профессиональных аудиторских команд уже приступили к анализу и расследованию. В 18:40 того же дня DEXX выпустил заявление: 1. Команда уже взаимодействовала с правоохранительными органами из нескольких регионов; 2. Надеется установить связь с хакером; 3. Команда SlowMist уже подключилась, чтобы подсчитать ущерб всех пользователей и проследить за движением средств хакеров; 4. Учитываются дальнейшие меры для пользователей. Однако до сих пор не было получено наилучшего решения. После анализа команды Hibit, атака сосредоточилась на использовании следующих типов уязвимостей:
(1) Уязвимости смарт-контрактов: атаки повторного входа
Хакеры многократно извлекали средства через уязвимость "повторного входа" в смарт-контракте ликвидного пула Dexx. Атака повторного входа — это распространенная уязвимость смарт-контрактов, когда контракт позволяет внешние вызовы до обновления своего внутреннего состояния, злоумышленник может многократно вызывать эту функцию для извлечения активов. Эта проблема обычно возникает из-за недостатка верификации (формальной верификации) и аудита на этапе разработки кода.
(2) Централизованная система управления ключами была взломана
Несмотря на то, что Dexx утверждает, что является полностью децентрализованной платформой, управление ключевыми операциями (такими как эмиссия монет и вывод средств) по-прежнему зависит от централизованных серверов, а фактические операции с кошельками Dexx осуществляются через управляемые кошельки, что создает серьезные уязвимости в безопасности. Следовательно, Dexx не является по-настоящему децентрализованным DEX, и именно поэтому его проблемы с безопасностью остаются в центре внимания — эти серверы стали основными целями атак хакеров. Как только серверы были взломаны, злоумышленники получили контроль над основными функциями платформы и приватными ключами пользователей.
(3) Отсутствие механизма верификации транзакций и системы противодействия отмыванию денег (AML)
Механизм верификации транзакций Dexx не смог своевременно обнаружить аномальные большие выводы средств и частые транзакционные действия. Из-за отсутствия мониторинга в реальном времени и инструментов анализа больших данных платформа не смогла быстро остановить утечку средств, когда хакеры начали действовать. Более того, хакеры использовали технологии повышения конфиденциальности (такие как крипто-миксеры), чтобы быстро перевести средства из платформы, что выявило недостатки Dexx в системе противодействия отмыванию денег и способности отслеживать транзакции.
1.2 Убытки пользователей и влияние на рынок
Тысячи пользователей понесли прямые убытки, некоторые даже потеряли все свои инвестиционные активы. Последствия инцидента привели к резкому снижению ликвидности платформы Dexx, и доверие ко всему рынку DeFi было серьезно подорвано. Согласно данным команды Hibit, после этого инцидента средний ежедневный объем торгов на всех DEX снизился на 15%, а активность пользователей уменьшилась на 20%.
Этот ряд последствий показывает, что проблемы безопасности являются не только техническими вызовами, но и нижней границей доверия пользователей. Одна уязвимость безопасности может мгновенно разрушить доверие, накопленное платформой на протяжении многих лет.
II. Теоретический анализ: суть и риски децентрализованных финансов
2.1 Теоретическая основа экономики децентрализации
(1) Экономика транзакционных издержек: парадокс эффективности децентрализации
Теоретической основой децентрализованных финансов (DeFi) является экономика транзакционных издержек (Transaction Cost Economics, Coase, 1937). Коуз предложил, что снижение посреднических этапов может значительно снизить транзакционные издержки. Однако на практике в DeFi мы наблюдаем своего рода "парадокс эффективности": хотя посредники были исключены, новые риски и издержки возникли.
Например, инцидент с хакерами Dexx выявил уязвимости смарт-контрактов, и этот технологический риск стал новой транзакционной издержкой. Пользователи, использующие платформы DeFi, должны принимать неопределенность, возникающую из-за атак хакеров, ошибок смарт-контрактов и сбоев в управлении платформой. Согласно исследованию 2023 года (Xu et al., Journal of Blockchain Research), средние транзакционные риски DeFi на 30%-50% выше, чем в традиционных финансах, что напрямую связано со сложностью смарт-контрактов и уязвимостью децентрализованной архитектуры.
(2) Дисбаланс между доходностью капитала и перераспределением рисков
С точки зрения современной теории портфеля (Modern Portfolio Theory, Markowitz, 1952), идеальное состояние децентрализованных финансов заключается в повышении эффективности распределения капитала за счет децентрализации и без посредников. Однако инцидент с хакерами Dexx выявил проблему дисбаланса между доходностью капитала и распределением рисков. Поскольку платформы DeFi часто зависят от поставщиков ликвидности (LP) для поддержки пулов капитала, как только платформа подвергается атаке, потери концентрируются на обычных пользователях, а не на стороне платформы или поставщика услуг. Кроме того, исследование 2024 года (Zhang et al., DeFi Risk Assessment) показало, что потери пользователей на платформах DeFi составляют более 80% от общих убытков от хакерских атак, в то время как в традиционной финансовой системе это явление относительно низко. Этот механизм перераспределения рисков ставит под серьезный вопрос логику диверсификации рисков платформ DeFi.
2.2 Анализ архитектуры компьютеров и безопасности
(1) Уязвимости смарт-контрактов: теория и практика
Смарт-контракты являются основой DeFi, однако слабости в их коде приводят к частым инцидентам с безопасностью. В 2024 году исследование, проведенное Liu et al. и опубликованное в ACM Computing Surveys, обобщило распространенные типы уязвимостей смарт-контрактов, особенно атаки повторного входа (такие, как те, с которыми столкнулся Dexx). Исследование показало, что более 45% инцидентов с безопасностью DeFi связаны с уязвимостями кода смарт-контрактов, что в основном связано с тем, что команды разработчиков не имеют инструментов формальной верификации и динамического мониторинга.
- Формальная верификация: проверка смарт-контрактов на соответствие заданным спецификациям с помощью математических моделей может значительно снизить количество дефектов кода. Luu et al. (2016) в "Будущем Ethereum" указали, что формальная верификация имеет решающее значение для безопасности сложных смарт-контрактов. Однако в настоящее время менее 20% платформ DeFi используют эту технологию, что заставляет многие платформы по-прежнему полагаться на традиционные аудиты кода и не в состоянии справиться с высокосложными атаками.
- Динамические механизмы защиты: например, временные замки и лимиты на транзакции являются эффективными средствами против крупных аномальных сделок. Но в Dexx эти механизмы полностью отсутствовали, что позволило злоумышленникам быстро вывести значительные средства за короткое время.
(2) Децентрализация и инновации в управлении ключами
Централизованное управление ключами Dexx является основной уязвимостью этого инцидента. В отличие от этого, такие методы, как пороговая криптография, предлагают более безопасные решения для децентрализованного управления ключами: этот подход позволяет разбивать ключи на несколько частей, которые хранятся и совместно проверяются несколькими узлами. Даже если один из узлов будет взломан, ключ останется в безопасности. В 2023 году совместное исследование IBM и Hyperledger показало, что в децентрализованных системах с применением пороговой криптографии риск единичной точки отказа снижен более чем на 70%.
(3) Технологии аутентификации, устойчивые к фишингу и социальному инжинирингу
Несмотря на постоянное улучшение технической защиты, атаки социального инжиниринга по-прежнему остаются одной из основных угроз DeFi. Исследования показывают, что около 40% инцидентов с хакерами связаны с фишинг-атаками. Технологии аутентификации, устойчивые к фишингу, такие как стандарты FIDO2 и AI для поведенческого анализа, могут значительно снизить риск, вызванный ошибками пользователей. Например, FIDO2 предоставляет многофакторный опыт аутентификации без паролей с помощью биометрических технологий и аппаратных ключей для аутентификации. В 2024 году Crypto.com полностью интегрировала стандарт FIDO2 в свой кошелек, что привело к снижению случаев кражи аккаунтов на 65%.
2.3 Теория управления и механизмы доверия платформ DeFi
(1) Динамическое управление и децентрализованная автономия
Инцидент Dexx отражает серьезные недостатки на уровне управления. Несмотря на то, что платформа заявляет о децентрализации, ее фактический механизм принятия решений сильно централизован, что не позволило быстро реагировать в случае инцидента. Это явление "псевдодецентрализации" довольно распространено в индустрии DeFi. DAO предоставляет мощное решение. Путем голосования держателей токенов, DAO не только повышает прозрачность, но и создает пространство для участия пользователей в управлении платформой. Например, модель управления, используемая MakerDAO, успешно предотвращала множество серьезных рисков, доказывая осуществимость децентрализованного управления.
(2) Цифровизация доверия и экономическая интерпретация
Доверие является основой DeFi. С экономической точки зрения доверие — это "невидимый актив", но его ценность может быть явно выражена через механизм проектирования. На DeFi платформах доверие обычно зависит от взаимодействия технологий (таких как смарт-контракты) и управления (таких как DAO). Тем не менее, сбой управления Dexx привел к двустороннему разрушению доверия пользователей к технологиям и платформе. Исследования доверия в экосистемах блокчейна показывают, что прозрачность и безопасность являются двумя основными столпами, на которых строится доверие платформы DeFi. Когда платформа предлагает аудит в реальном времени, открытый код и динамические функции управления, уровень доверия пользователей выше на 35%-50%, чем у платформ, лишенных этих функций.
III. Решения, представленные Hibit: двойная защита технологий и управления
3.1 Основные преимущества Hibit
(1) Безопасность и масштабируемость Layer-2
Hibit построил собственную инфраструктуру Layer-2 с более чем 100,000 строк кода, специально для повышения безопасности и масштабируемости. Его смарт-контракты прошли строгую формальную верификацию и встроенные динамические механизмы защиты (такие как временные замки и лимиты на транзакции), эффективно предотвращая уязвимости, подобные атакам повторного входа.
(2) Невладеющие кошельки и децентрализованные идентификаторы
Hibit предлагает невладеющие кошельки (Hibit ID), исключая риски единой точки отказа и утечки приватных ключей. Кроме того, платформа использует технологии децентрализованных идентификаторов (DID) для обеспечения безопасности идентичности и активов пользователей.
(3) План компенсации для пострадавших пользователей
В послеинцидентной обработке событий Dexx, команда Hibit активно внедрила план компенсации для пострадавших пользователей. Это не только помогло пользователям компенсировать убытки, но и дало всей индустрии возможность найти настоящую технологическую планку для восстановления доверия в индустрии.
(4) Интеграция системы мониторинга AI в реальном времени
Hibit обеспечивает прозрачность и соблюдение при движении средств с помощью инструментов AI с повышением конфиденциальности, не нарушая прав пользователей на конфиденциальность.
IV. Перспективы на будущее:
4.1 Искусство "баланса" между децентрализацией и безопасностью
Будущее децентрализованных финансов заключается в том, как сбалансировать естественное напряжение между децентрализацией и безопасностью. С одной стороны, децентрализация является основной ценностью DeFi, повышая прозрачность и эффективность за счет исключения традиционных посредников; с другой стороны, полная децентрализация часто означает отсутствие центрального координационного механизма, что может привести к увеличению технической сложности и сбоям в управлении. Эта противоречие в реальном применении создает "парадокс децентрализации": чрезмерная децентрализация: платформа полностью зависит от решений сообщества и самоуправления, что приводит к медленной реакции и трудностям в своевременном устранении уязвимостей при атаках. Чрезмерная централизация: платформа вводит централизованные компоненты для упрощения технологий и управления, теряя суть децентрализации и увеличивая риск единой точки отказа. В будущем платформам DeFi потребуется стратегия "постепенной децентрализации", которая найдет оптимальный баланс между технологиями и управлением.
(1) Продвижение распределенной верификации
Распределенный механизм верификации является эффективным технологическим путем, который распределяет верификацию транзакций между несколькими узлами или участниками сети, уменьшая вероятность единичной точки отказа. Например, традиционные межсетевые мосты могут внедрить механизм пороговой криптографии, чтобы гарантировать, что ни один отдельный узел не может контролировать весь процесс верификации, тем самым завершив наиболее безопасную кросс-сетевую схему пороговой подписи.
(2) Введение страхования смарт-контрактов
Страхование смарт-контрактов является защитным финансовым инструментом против уязвимостей смарт-контрактов и внешних атак. Платформа может обеспечить защиту средств пользователей, внедрив децентрализованный механизм страхования, аналогичный Nexus Mutual. Это страхование реализуется через распределенные резервы и страхование на блокчейне, что не только защищает средства пользователей, но и повышает стабильность системы.
(3) Проектирование динамической модели управления
Инновации в модели управления имеют ключевое значение для балансировки между децентрализацией и безопасностью. Динамическое управление (Dynamic Governance) — это регулируемая модель управления: когда система находится в нормальном состоянии, платформа использует модель децентрализованной автономной организации (DAO) для прозрачного принятия решений; а в случае возникновения чрезвычайных ситуаций система инициирует экстренные механизмы, временно сосредотачивая полномочия на доверенных узлах, чтобы быстро реагировать на кризис. Эта двойная система не только повышает гибкость платформы, но и усиливает безопасность, не теряя ценности децентрализации.
4.2 Управление рисками и доверие пользователей
Инцидент Dexx подчеркивает уязвимость доверия пользователей в DeFi. Доверие является основой децентрализованных финансов, но также является наиболее уязвимой частью. Как только активы пользователей теряются, стоимость восстановления доверия намного превышает затраты на создание первоначального доверия. Поэтому будущие DeFi платформы должны повысить управление рисками и защиту пользователей до стратегического уровня и оптимизировать на трех уровнях: технологии, управления и экосистемы.
(1) Технологические инновации: снижение системного риска
Технология является первой линией защиты в управлении рисками и настоящим ядром безопасности, встроенным в продукт. Вот направления, которые индустрия должна развивать в будущем и в которых Hibit проводит глубокие исследования:
- Формальная верификация смарт-контрактов
Согласно данным Института исследований блокчейна, в 2024 году более 70% уязвимостей DeFi можно предотвратить с помощью инструментов Формальной Верификации. Однако текущий уровень их использования составляет всего 25%. В будущем популяризация и улучшение инструментов формальной верификации станут важной задачей для платформ DeFi.
- Пороговая криптография
Dexx централизованное управление ключами является одним из источников его уязвимостей. Применяя децентрализованный механизм управления ключами, платформа может значительно снизить риск одиночных точечных атак хакеров и обеспечить максимальную безопасность межсетевых операций.
- Система предупреждения рисков на блокчейне
Объединив технологии AI и анализа блокчейна, создайте систему мониторинга рисков на блокчейне в реальном времени. Например, инструмент Chainalysis KYT (Know Your Transaction), выпущенный в 2023 году, может в реальном времени обнаруживать аномальные транзакции, предоставляя платформе 90% потенциальных рисков для раннего предупреждения. Команда Hibit на основе этих инструментов провела дальнейшую разработку и модернизацию.
(2) Инновации в управлении: создание экосистемы доверия
Восход DAO принес огромный потенциал в управление платформами DeFi, однако в его текущей практике существуют недостатки, такие как низкая эффективность и распыление власти. Оптимизация структуры управления DAO может усилить способность платформы поддерживать доверие пользователей:
- Многоуровневое управление: разделение пользователей, разработчиков и институциональных инвесторов на разные уровни управления и предоставление каждой группе различных весовых голосов. Такой подход не только повышает эффективность управления, но и лучше учитывает интересы всех сторон.
- Инструменты прозрачности децентрализованного управления: например, такие инструменты, как Snapshot, могут предоставить прозрачность голосования, позволяя пользователям четко видеть уровень участия и поддержки каждого решения, что дополнительно гарантирует истинную децентрализацию.
(3) Механизмы защиты пользователей: укрепление доверия
Улучшение механизмов защиты пользователей критически важно для восстановления доверия. Вот несколько возможных мер:
- Страхование на блокчейне и капитальные резервы
Децентрализованный механизм страхования на блокчейне (например, InsurAce) может предоставить компенсацию пользователям в случае хакерских атак или уязвимостей смарт-контрактов. В то же время платформа должна создать достаточный механизм капитальных резервов для реагирования на потенциальные системные риски.
- Фонд компенсации для жертв
В случае серьезных инцидентов, таких как атака хакеров Dexx, платформа может создать специальный компенсационный фонд для защиты интересов пользователей. Подобно полному плану компенсации, предложенному Hibit, такая инициатива не только эффективно защищает доверие пользователей, но и демонстрирует социальную ответственность платформы.
Заключение:
Инцидент с хакерами Dexx, хотя и является катастрофой, также указывает на направление будущего развития DeFi. От технологических улучшений до инноваций в управлении, от защиты пользователей до нормирования индустрии, каждый шаг вперед для DeFi требует более глубокого понимания и более системной практики. Платформы, подобные Hibit, с передовыми технологиями и истинной децентрализацией, ведут DeFi к более безопасной и надежной эре.
Если DeFi является "индустриальной революцией" в мире финансов, то инцидент Dexx стал важным инцидентом безопасности и предупреждением. В будущем нам нужно не только действительно "децентрализовать", но и использовать более прочные технологии и более мудрое управление, чтобы реализовать эту идею. Пусть строители индустрии вместе с нами создадут эту прекрасную идею и будущее.
