Інцидент з хакерством Dexx став подібним до землетрусу, що шокував індустрію web3, спричинивши безпрецедентний вплив на всю сферу web3 і DeFi. Цей інцидент не тільки виявив глибокі вразливості в технічній архітектурі звичайних децентралізованих бірж (DEX), але й викликав кризу довіри та нове переосмислення децентралізованих фінансів - користувачі зазнали значних збитків, репутація галузі постраждала, і навіть деякі почали сумніватися, чи може бути досягнута безпечна, ефективна та справедлива фінансова перспектива, яку пропагує DeFi.
Однак криза часто є також можливістю для поглиблення усвідомлення та змін. Від технологій до управління, від теорії до практики, цей інцидент надав нам можливість переосмислити DeFi. Ми розглянемо сам інцидент, поєднуючи аналіз подій, теоретичні дослідження та прогнози щодо майбутніх технологічних тенденцій, щоб глибоко проаналізувати інцидент з хакерством Dexx і дослідити, як продукти та рішення безпеки, представлені Hibit, можуть сприяти справжній зрілості DeFi.
I. Огляд інциденту з хакерством Dexx
1.1 Основні деталі інциденту Dexx
Згідно з публічною інформацією, Dexx зазнав збитків у розмірі до 40 мільйонів доларів, і ця цифра продовжує зростати, тисячі користувачів зазнали втрат - 16 листопада 2024 року о 4 ранку офіційно було видано попередження: зафіксовано випадки перенесення токенів користувачів, і кілька професійних аудиторських команд вже почали аналіз і перевірку. О 18:40 того ж дня DEXX випустив заяву: 1. Команда вже зв'язалася з правозахисними органами в кількох місцях; 2. Сподіваємося на зв'язок з хакерами; 3. Команда SlowMist вже підключилася, щоб оцінити всі втрачені кошти користувачів та рух коштів хакера; 4. Обговорюються подальші рішення для користувачів. Але до теперішнього часу не було отримано найповнішого рішення. Після аналізу команди Hibit, атака зосередилася на використанні кількох типів вразливостей:
(1) Вразливості смарт-контрактів: атака повторного входу
Зловмисники через смарт-контракт ліквідності Dexx, що містив "вразливість повторного входу", багаторазово витягували кошти. Атака повторного входу є поширеною вразливістю смарт-контрактів, коли контракт дозволяє зовнішній виклик перед оновленням свого внутрішнього стану, хакер може багаторазово викликати цю функцію для завершення виведення активів. Ця проблема зазвичай виникає через відсутність верифікації (Formal Verification) та аудиту на етапі розробки коду.
(2) Централізована система управління ключами була зламаною
Хоча Dexx стверджує, що є повністю децентралізованою платформою, управління ключовими операціями (такі як випуск монет і виведення коштів) все ще залежить від централізованих серверів, а фактична робота гаманців Dexx є управлінською, що має серйозні вразливості в безпеці. Тому Dexx не є справжнім децентралізованим DEX, і саме через це його проблеми з безпекою стали очевидними - ці сервери стали основними цілями атак хакерів. Як тільки сервери були зламані, зловмисники отримали контроль над основними функціями платформи та приватними ключами користувачів.
(3) Відсутність механізмів верифікації транзакцій та систем протидії відмиванню грошей (AML)
Механізм верифікації транзакцій Dexx не зміг своєчасно виявити аномальні великі виводи та часті транзакції. Оскільки не використовувалися інструменти моніторингу в реальному часі та великі дані, платформа не змогла швидко зупинити витік коштів, коли хакер почав діяти. Крім того, хакери використовували технології підвищення конфіденційності (такі як крипто-міксери) для швидкого виведення коштів з платформи, виявляючи недоліки Dexx у системі протидії відмиванню грошей та можливостях відстеження транзакцій.
1.2 Збитки користувачів та вплив на ринок
Тисячі користувачів зазнали прямих втрат, навіть втратили всі свої інвестиційні активи. Відлуння події призвело до різкого зменшення ліквідності платформи Dexx, і довіра до всього ринку DeFi отримала серйозний удар. Згідно з даними команди Hibit, після цього інциденту середній щоденний обсяг торгів на всіх DEX впав на 15%, а активність користувачів зменшилася на 20%.
Цей ряд наслідків свідчить про те, що проблеми безпеки є не лише технічними викликами, але й критично важливими для довіри користувачів. Одна вразливість безпеки може миттєво зруйнувати довіру, накопичену платформою протягом багатьох років.
II. Теоретичний аналіз: сутність та ризики децентралізованих фінансів
2.1 Теоретичні основи економіки децентралізації
(1) Економіка витрат на транзакції: парадокс ефективності децентралізації
Однією з теоретичних основ децентралізованих фінансів (DeFi) є економіка витрат на угоди (Transaction Cost Economics, Coase, 1937). Коас зазначив, що завдяки зменшенню посередницьких ланок витрати на угоди можуть бути суттєво знижені. Однак на практиці DeFi ми спостерігаємо так званий «парадокс ефективності»: хоча посередники були усунені, нові ризики та витрати з'являються.
Наприклад, інцидент з хакерством Dexx виявив вразливість смарт-контрактів, яка стала новим ризиком для витрат на транзакції. Користувачі, використовуючи DeFi платформи, повинні брати на себе невизначеність, викликану атаками хакерів, помилками смарт-контрактів і невдачами в управлінні платформами. Згідно з дослідженням 2023 року (Xu et al., Journal of Blockchain Research), середні витрати на ризики транзакцій DeFi вищі на 30%-50% у порівнянні з традиційними фінансами, що прямо пов'язано з складністю смарт-контрактів та вразливістю децентралізованої архітектури.
(2) Дисбаланс між прибутковістю капіталу та перенесенням ризиків
З точки зору сучасної теорії портфелів (Modern Portfolio Theory, Markowitz, 1952), ідеальним станом децентралізованих фінансів є підвищення ефективності розподілу коштів через диверсифікацію та безпосередні угоди без посередників. Однак інцидент з хакерством Dexx виявив дисбаланс між прибутковістю капіталу та розподілом ризиків. Оскільки платформи DeFi часто залежать від постачальників ліквідності (LPs) для підтримки пулів капіталу, як тільки платформа піддається атаці, втрати концентруються на звичайних користувачах, а не на стороні платформи або постачальника технологій. Крім того, дослідження 2024 року (Zhang et al., DeFi Risk Assessment) показало, що втрати користувачів складають понад 80% від загальних збитків від атак хакерів у платформах DeFi, тоді як в традиційній фінансовій системі цей показник значно нижчий. Ця механіка переносу ризику ставить під серйозний виклик логіці розподілу ризику в платформах DeFi.
2.2 Аналіз комп'ютерної та безпекової архітектури
(1) Вразливості смарт-контрактів: теорія та практика
Смарт-контракти є ядром DeFi, але їх вразливість у дизайні коду призводить до частих інцидентів з безпекою. У 2024 році дослідження Liu та інших, опубліковане в ACM Computing Surveys, підсумувало поширені типи вразливостей смарт-контрактів, особливо атаки повторного входу (як ту, що зазнав Dexx). Дослідження вказує, що понад 45% інцидентів з безпекою DeFi пов'язані з вразливостями коду смарт-контрактів, що головним чином викликано відсутністю у команди розробників інструментів формальної перевірки та динамічних механізмів моніторингу.
- Формалізована перевірка: шляхом використання математичних моделей для перевірки відповідності смарт-контрактів специфікаціям, можна значно знизити дефекти коду. Luu et al. (2016) у "Майбутньому Ethereum" зазначили, що формалізована перевірка має вирішальне значення для безпеки складних смарт-контрактів. Проте наразі менше 20% платформ DeFi використовують цю технологію, внаслідок чого багато платформ продовжують покладатися на традиційні аудити коду, які не можуть ефективно реагувати на атаки високої складності.
- Динамічні механізми захисту: наприклад, часові замки (Timelocks) та обмеження на транзакції (Transaction Caps) є ефективними заходами для боротьби з аномальними великими транзакціями. Але в Dexx ці механізми повністю відсутні, що дозволяє зловмисникам швидко витягувати великі суми грошей протягом короткого часу.
(2) Децентралізація та інновації в управлінні ключами
Централізоване управління ключами Dexx є основною вразливістю цього інциденту. На відміну від цього, такі рішення, як порогова криптографія (Threshold Cryptography), пропонують більш безпечні рішення для децентралізованого управління ключами: цей метод дозволяє розділити ключ на кілька частин, які утримуються кількома вузлами та співпрацюють для верифікації. Навіть якщо один з вузлів буде зламано, ключ залишиться в безпеці. У 2023 році спільне дослідження IBM та Hyperledger показало, що децентралізовані системи, які використовують порогову криптографію, знижують ризик одноточкових збоїв на понад 70%.
(3) Технології аутентифікації для захисту від фішингу та соціальної інженерії
Хоча технічні заходи безпеки постійно вдосконалюються, атаки соціальної інженерії залишаються однією з основних загроз для DeFi. Дослідження показують, що близько 40% атак хакерів пов'язані з фішингом (Phishing). Технології аутентифікації, що протистоять фішингу, такі як стандарт FIDO2 та AI для поведінкового аналізу, можуть значно знизити ризики, пов'язані з помилками користувачів. Наприклад, FIDO2 через біометричні технології та апаратні ключі аутентифікації забезпечує безпарольний досвід багатофакторної аутентифікації. У 2024 році Crypto.com повністю інтегрував стандарт FIDO2 у свій гаманець, що зменшило випадки крадіжок акаунтів на 65%.
2.3 Теорія управління та механізм довіри платформ DeFi
(1) Динамічне управління та децентралізоване самоуправління
Інцидент Dexx відображає серйозні недоліки на рівні управління. Незважаючи на те, що платформа стверджує про децентралізацію, реальний механізм прийняття рішень є надто централізованим, не дозволяючи швидко реагувати на події. Це явище "псевдодецентралізації" не є рідкісним у індустрії DeFi. DAO надає потужне рішення. Через голосування власників токенів, DAO не лише підвищує прозорість, але й створює простір для участі користувачів в управлінні платформою. Наприклад, модель управління MakerDAO успішно уникла кількох серйозних ризиків, доводячи доцільність децентралізованого управління.
(2) Цифровізація довіри та економічний аналіз
Довіра є основою DeFi. З економічної точки зору, довіра є формою "нематеріального активу", але її цінність може бути явною через механізми дизайну. У DeFi платформах довіра зазвичай залежить від технологій (таких як смарт-контракти) і управління (такого як DAO). Однак, провал управління Dexx призвів до подвійного руйнування довіри користувачів до технології та платформи. Дослідження "Довіра в екосистемах блокчейн" показує, що прозорість і безпека є двома основними стовпами для встановлення довіри в DeFi платформах. Коли платформа забезпечує аудити в реальному часі, відкритий код і динамічні функції управління, довіра користувачів вища на 35%-50% в порівнянні з платформами, які не мають цих функцій.
III. Рішення, представлені Hibit: подвійна гарантія технологій та управління
3.1 Основні переваги Hibit
(1) Безпека Layer-2 та масштабованість
Hibit побудував понад 100 тисяч рядків коду власної інфраструктури Layer-2, спеціально для підвищення безпеки та масштабованості. Її смарт-контракти пройшли сувору формалізовану перевірку та містять динамічні механізми захисту (такі як часові замки та обмеження на транзакції), що ефективно запобігає вразливостям, подібним до атак повторного входу.
(2) Некеровані гаманці та децентралізовані ідентичності
Hibit пропонує некеровані гаманці (Hibit ID), усуваючи ризики одноточкових збоїв та витоку приватних ключів. Крім того, платформа забезпечує безпеку ідентичностей користувачів за допомогою технології децентралізованої ідентичності (DID).
(3) Програма компенсації для постраждалих користувачів
Після інциденту Dexx ми в Hibit активно запровадили програму компенсацій у вигляді аеродропів для постраждалих користувачів. Це не лише допомогло користувачам компенсувати втрати, але й стало поштовхом для індустрії знайти справжні технологічні еталони для відновлення довіри в галузі.
(4) Інтеграція системи моніторингу AI в реальному часі
Hibit за допомогою моніторингу транзакцій в реальному часі та засобів AI для підвищення конфіденційності забезпечує прозорість та відповідність руху коштів, не порушуючи при цьому права на конфіденційність користувачів.
IV. Перспективи на майбутнє:
4.1 "Мистецтво балансу" між децентралізацією та безпекою
Майбутнє децентралізованих фінансів полягає в тому, як знайти баланс між децентралізацією та безпекою. З одного боку, децентралізація є основною цінністю DeFi, підвищуючи прозорість і ефективність шляхом видалення традиційних посередників; з іншого боку, повна децентралізація часто означає відсутність центрального механізму координації, що може призвести до зростання складності технологій та провалів в управлінні. Ця суперечність в реальному застосуванні формує "парадокс децентралізації": надмірна децентралізація: платформа повністю залежить від рішень громади та автономії, що призводить до повільної реакції, а під час атак важко швидко усунути вразливості. Надмірна централізація: платформа запроваджує централізовані компоненти для спрощення технологій та управлінських процесів, втрачаючи свою децентралізовану суть, що підвищує ризики одноточкових збоїв. У майбутньому платформи DeFi потребують стратегії "поступової децентралізації", тобто шляхом кооперативної інновації технологій і управління знайти найкращу точку балансу між цими елементами.
(1) Просування розподіленої перевірки
Розподілена механіка перевірки є ефективним технологічним шляхом, яка зменшує ймовірність одноточкових збоїв шляхом розподілу перевірки транзакцій серед кількох вузлів або членів мережі. Наприклад, традиційні міжланцюгові мости можуть запровадити механізм порогової криптографії, щоб гарантувати, що жоден окремий вузол не може контролювати весь процес верифікації, тим самим реалізуючи найбезпечнішу функцію підпису з пороговою криптографією на міжланцюговому рівні.
(2) Введення страхування смарт-контрактів
Страхування смарт-контрактів (Smart Contract Insurance) є фінансовим інструментом захисту від вразливостей смарт-контрактів та зовнішніх атак. Платформи можуть забезпечити захист коштів користувачів, впроваджуючи децентралізовані механізми страхування, подібні до Nexus Mutual. Це страхування реалізується через розподілені резерви і страхування на ланцюгу, підвищуючи стабільність системи, захищаючи кошти користувачів.
(3) Дизайн динамічної моделі управління
Інновації в управлінських моделях є критично важливими для балансу між децентралізацією та безпекою. Динамічне управління (Dynamic Governance) є регульованим способом управління: коли система знаходиться в нормальному стані, платформа використовує модель децентралізованих автономних організацій (DAO) для прозорих рішень; коли виникають надзвичайні ситуації, система активує механізм надзвичайного реагування, тимчасово зосереджуючи повноваження в надійних вузлах, щоб швидко реагувати на кризу. Така двосмугова модель не лише підвищує гнучкість платформи, але й зміцнює безпеку без втрати цінності децентралізації.
4.2 Управління ризиками та довіра користувачів
Інцидент Dexx підкреслив вразливість довіри користувачів в DeFi. Довіра є основою децентралізованих фінансів, але також є найбільш вразливою частиною. Як тільки активи користувачів зазнають втрат, витрати на відновлення довіри значно перевищують витрати на формування початкової довіри. Тому, майбутні DeFi платформи повинні підняти управління ризиками та захист користувачів до стратегічного ядра, оптимізуючи ці аспекти з технологічної, управлінської та екологічної точок зору.
(1) Технічні інновації: зниження системного ризику
Технологія є першою лінією захисту управління ризиками, а також справжнім безпечним ядром продукту. Ось кілька напрямків, над якими майбутня індустрія повинна зосередити зусилля, також це напрямки, над якими глибоко працює Hibit:
- Формалізована перевірка смарт-контрактів
Згідно з даними Blockchain Research Institute, у 2024 році більше 70% вразливостей DeFi можна уникнути за допомогою інструментів Формальної Перевірки. Однак нинішній рівень впровадження складає лише 25%. У майбутньому поширення та вдосконалення інструментів формальної перевірки стане важливим завданням для платформ DeFi.
- Порогова криптографія
Централізоване управління ключами Dexx є одним з коренів його вразливостей. Впроваджуючи механізм децентралізованого управління ключами, платформа може значно знизити ризики одноточкових атак хакерів, а також реалізувати найбезпечніші міжланцюгові операції.
- Система попередження ризиків на ланцюгу
Об'єднуючи технології AI та аналізу блокчейну, створити систему моніторингу ризиків на ланцюгу в реальному часі. Наприклад, інструмент Chainalysis KYT (Know Your Transaction), запущений у 2023 році, може виявляти аномальні угоди в реальному часі, надаючи платформі 90% потенційних ризиків у формі попереджень. А команда Hibit на основі цих інструментів продовжила розробку та вдосконалення.
(2) Інновації в управлінні: створення екосистеми довіри
Виникнення DAO створило величезний потенціал для управління платформами DeFi, але в його поточній практиці є недоліки в ефективності та розподілі влади. Оптимізація структури управління DAO може посилити здатність платформи підтримувати довіру користувачів.
- Багаторівневе управління: розділити користувачів, розробників та інституційних інвесторів на різні рівні управління та надати кожній групі різні ваги голосування. Такий дизайн не лише підвищує ефективність управління, але й краще враховує інтереси всіх сторін.
- Інструменти прозорості децентралізованого управління: такі як Snapshot, які можуть забезпечити прозорість голосування, дозволяючи користувачам чітко бачити участь і підтримку кожного рішення, що ще більше забезпечує справжню децентралізацію.
(3) Механізми захисту користувачів: зміцнення основи довіри
Удосконалення механізмів захисту користувачів є критично важливим для відновлення довіри. Ось кілька можливих заходів:
- Страхування на ланцюгу та капітальні резерви
Децентралізовані механізми страхування на ланцюгу (наприклад, InsurAce) можуть забезпечити компенсацію користувачам у разі атаки хакерів або вразливостей смарт-контрактів. Водночас платформи повинні створити достатні механізми капітальних резервів для протидії потенційним системним ризикам.
- Фонди компенсацій для жертв
Щодо серйозних подій, таких як атака на Dexx, платформи можуть створити спеціальні фонди компенсацій для захисту інтересів користувачів. Подібно до повного компенсаційного плану, запропонованого Hibit, такі заходи не тільки ефективно захищають довіру користувачів, але й демонструють соціальну відповідальність платформи.
Заключення:
Інцидент з хакерством Dexx, хоч і став катастрофою, також вказав шлях до майбутнього розвитку DeFi. Від технологічних покращень до інновацій в управлінні, від захисту користувачів до галузевих стандартів, кожен крок уперед для DeFi потребує глибшого усвідомлення та систематичної практики. А платформи, представлені Hibit, ведуть DeFi до нової ери більшої безпеки та довіри.
Якщо DeFi є «промисловою революцією» у фінансовому світі, то інцидент Dexx є важливою безпечною катастрофою та попередженням. У майбутньому нам потрібно не лише справжня «д decentralization», але й більш надійна технологія та мудріше управління для досягнення цієї ідеї. Нехай індустрія Builder'ів працює з нами над будівництвом цього прекрасного ідеалу та майбутнього.
\u003ct-187/\u003e \u003ct-189/\u003e