დეცენტრალიზებული ფინანსების (DeFi) სამყაროში მორიგი ინციდენტი დაფიქსირდა. StakeDAO-ს ქსელში მომხდარი თავდასხმის შედეგად, ჰაკერმა Arbitrum-ის ქსელში 5.4 ტრილიონზე მეტი vsdCRV ტოკენი შექმნა. მიუხედავად იმისა, რომ ქაღალდზე ეს აქტივები 763 მილიარდ დოლარად ფასდებოდა, თავდამსხმელის რეალური ნადავლი მხოლოდ 91 000 დოლარს შეადგენს.

რა მოხდა რეალურად?

ბლოკჩეინის უსაფრთხოების ფირმა PeckShield-ის მონაცემებით, თავდამსხმელმა ტოკენების ნაწილი 43.7 Ether-ში (ETH) გაცვალა. ეს თანხა მან დაუყოვნებლივ გადაიტანა Ethereum-ის ქსელში. ანალიტიკურმა პლატფორმა EmberCN-მა დაადასტურა, რომ ჰაკერმა რეალურად მხოლოდ 16.83 მილიონი vsdCRV-ის რეალიზება შეძლო, რადგან დანარჩენ ტოკენებს ბაზარზე შესაბამისი ლიკვიდობა არ გააჩნდათ.

უსაფრთხოების ხარვეზი თუ მართვის პრობლემა?

Sodot-ის თანადამფუძნებლის, შალევ კერენის განმარტებით, აღნიშნული ინციდენტი სმარტ-კონტრაქტების ხარვეზს არ უკავშირდება. პრობლემა დეველოპერული გასაღების (deployer key) არაუსაფრთხო მართვაშია. ერთადერთი პირადი გასაღები, რომელიც კონფიგურაციის ფუნქციებს აკონტროლებდა, დაუცველი აღმოჩნდა.

თავდამსხმელმა გასაღების გამოყენებით vsdCRV-ის ბრიჯის კონფიგურაცია შეცვალა და ის საკუთარ კონტრაქტზე მიაბა. სულ რაღაც 25 წამში, ჰაკერმა LayerZero-ს მეშვეობით Arbitrum-ის ქსელში ტოკენების მასიური ემისიის ბრძანება გაუშვა.

DeFi-ს მთავარი გამოწვევა

ეს შემთხვევა კიდევ ერთხელ უსვამს ხაზს განსხვავებას ტოკენის ნომინალურ ღირებულებასა და მის რეალურად გატანად (extractable) ღირებულებას შორის. ჰაკერებს შეუძლიათ შექმნან ნებისმიერი რაოდენობის კრიპტოვალუტა, თუმცა მათი ფულად ერთეულებში კონვერტაცია მხოლოდ არსებული ლიკვიდობის ფარგლებშია შესაძლებელი.

StakeDAO-მ მომხმარებლებს ოფიციალურად მოუწოდა, თავი შეიკავონ vsdCRV-თან ნებისმიერი სახის ურთიერთქმედებისგან. ექსპერტები კი აფრთხილებენ DeFi პროტოკოლებს, რომ აუდიტირებული კონტრაქტები საკმარისი არ არის, თუ ოპერაციული გასაღებები კვლავ „ერთპუნქტიან წარუმატებლობად“ (single point of failure) რჩება. მრავალხელმოწერიანი (multi-sig) დაცვის სისტემების არარსებობა თანამედროვე პროტოკოლებისთვის კრიტიკულ საფრთხეს წარმოადგენს.