Manuel Aráoz, co-fondatorul OpenZeppelin care a petrecut ani de zile în centrul securității crypto, spune acum că riscurile de securitate în DeFi sunt suficient de severe încât consideră că „tot DeFi-ul” este nesigur. Într-o postare pe X din 26 mai, a spus că le-a recomandat prietenilor și familiei să iasă din pozițiile DeFi, inclusiv expunerea la nume mari precum Aave, MakerDAO și Compound.

Asta e o avertizare care lovește diferit când vine de la un insider în securitate decât de la un critic extern. În plus, vine într-un moment în care finanțele descentralizate sunt deja sub presiune din cauza unei creșteri a exploatărilor, atacurilor pe bridge-uri și breșelor legate de portofele.

Aráoz a legat avertismentul său de ceea ce a descris ca o dezechilibru profund în securitatea contractelor inteligente. Apărătorii, a argumentat el, trebuie să prindă fiecare defect. Atacatorii au nevoie doar de o singură fereastră.

Aráoz spune că tot DeFi-ul este nesigur

Mesajul lui Aráoz a fost direct. El a spus că acum vede „tot DeFi-ul” ca fiind nesigur, ceea ce marchează o schimbare notabilă de ton de la o figură asociată strâns cu apărarea sistemelor crypto, mai degrabă decât cu respingerea lor.

El a spus că le-a recomandat prietenilor și familiei să părăsească pozițiile DeFi. Detaliul acesta contează pentru că transformă o critică generală a pieței într-o judecată de risc personal. Aceasta nu a fost formulată ca o îngrijorare teoretică. În schimb, a fost prezentată ca un sfat pentru cei care au bani pe masă.

Raționamentul său s-a centrat pe structura luptei în sine. Aráoz a spus că există un dezechilibru continuu între atacatori și apărători în securitatea contractelor inteligente. În cuvintele lui, „Agenții de codare sunt supranaturali în a găsi vulnerabilități, iar securitatea contractelor inteligente este prea asimetrică.” El a adăugat că apărătorii trebuie să repare fiecare bug, în timp ce atacatorii au nevoie doar de o exploatare pentru a fura fonduri.

Aceasta este o distilare clară a motivului pentru care riscurile de securitate DeFi au devenit o problemă atât de centrală pentru sector. Chiar și protocoalele bine cunoscute pot părea solide până când o eroare ratată, un design slab al unei punți sau o cheie compromisă transformă o slăbiciune tehnică într-un eveniment de pierdere în masă.

Hack-urile DeFi din aprilie subliniază cazul pentru prudență

Contextul avertismentului lui Aráoz este brutal. Aproape 630 de milioane de dolari au fost furați din protocoale DeFi în aprilie, conform datelor citate de The Block și DefiLlama. DefiLlama a înregistrat de asemenea 27 de cazuri de exploatare DeFi doar în aprilie.

Mai multe protocoale majore au fost afectate. Kelp DAO a pierdut aproximativ 293 de milioane de dolari după ce atacatorii au vizat o vulnerabilitate a punții cross-chain. Drift a suferit pierderi de aproximativ 285 de milioane de dolari după un atac de inginerie socială care se spune că a durat șase luni. Euler a fost, de asemenea, lovit de o exploatare majoră care a drenat aproximativ 197 de milioane de dolari.

Atacurile nu s-au oprit când calendarul s-a schimbat. Maiul a înregistrat deja 25 de exploatări până acum, deși pierderile raportate au fost mai mici decât în aprilie.

  • Verus Network a pierdut 11,6 milioane de dolari după ce puntea sa Ethereum a fost compromisă.

  • Polymarket a dezvăluit o breșă de securitate de 573.200 de dolari care ar putea fi implicată cu o cheie privată compromisă legată de operațiunile interne ale portofelului.

De ce aceste riscuri de securitate DeFi contează pentru piața mai largă

Semnificația aici depășește o lună proastă pentru hackeri și victime. Când o figură de vârf în securitate spune că DeFi este nesigur și piața se uită la sute de milioane în pierderi, încrederea în sine devine parte din poveste.

Asta contează pentru că DeFi funcționează pe baza a mai mult decât cod. Funcționează pe încrederea în protocoale, punți, controale ale portofelului și ideea că riscurile sunt gestionate suficient de bine pentru ca utilizatorii să rămână în sistem. Odată ce această încredere se slăbește, capitalul începe să iasă.

Ciclul curent ridică de asemenea o întrebare mai dificilă pentru industrie: dacă auditurile tradiționale ale contractelor inteligente sunt încă suficiente într-un mediu în care atacatorii pot acționa mai repede, automatiza mai mult din procesul lor de căutare și exploata vulnerabilitățile operaționale dincolo de codul în sine. La rândul său, avertismentul lui Aráoz are o greutate suplimentară. El nu spune doar că hack-urile se întâmplă. El argumentează că modelul defensiv poate fi în urmă.

Cadrul cu patru straturi al OpenZeppelin răspunde amenințării

La începutul acestei luni, OpenZeppelin a încercat să răspundă la această problemă cu un cadru mai structurat. Pe 12 mai, firma a lansat „Cele Patru Straturi ale Riscului DeFi”, un model destinat să ajute instituțiile să evalueze riscurile legate de protocoalele financiare descentralizate și expunerea la active digitale.

Mesajul din spatele acelui cadru a fost clar: auditurile singure nu mai sunt suficiente.

În schimb, modelul indică o poziție de securitate mai largă construită în jurul monitorizării continue a amenințărilor, controalelor operaționale și apărării stratificate. Această schimbare este importantă pentru că multe dintre incidentele recente nu au fost povești simple cu o eroare. Au implicat vulnerabilități ale punților, inginerie socială și posibile compromisuri ale cheilor, toate acestea situându-se în afara unei mentalități înguste de „auditează codul o dată și trimite-l”.

În termeni practici, asta înseamnă că riscurile de securitate DeFi nu mai sunt doar o problemă pentru dezvoltatori. Ele devin o problemă completă care atinge designul protocoalelor, operațiunile echipelor, controalele trezoreriei și monitorizarea activă după lansare.

TVL scade pe măsură ce încrederea se slăbește

Răspunsul pieței s-a arătat deja în cifre. Valoarea totală blocată în protocoalele DeFi a scăzut cu aproximativ 14% de la mijlocul lunii aprilie.

Această scădere a dus valoarea TVL DeFi de la aproape 172 de miliarde de dolari la aproximativ 148 de miliarde de dolari în această perioadă.

Acesta este al doilea motiv major pentru care avertismentul contează. TVL nu este doar o metrică de titlu. Reflectă dacă traderii și investitorii sunt dispuși să își păstreze activele în protocoale în ciuda presiunii crescânde din partea hack-urilor DeFi și a altor incidente de securitate. O scădere de această dimensiune sugerează că cel puțin o parte din capital se retrage în timp ce utilizatorii reevaluează riscul.

Pentru investitori și echipele de protocoale, semnalele de avertizare se aliniază acum din mai multe direcții simultan: un fondator de securitate proeminent spune că nu mai are încredere în sector, aproape 630 de milioane de dolari pierduți într-o singură lună, 27 de exploatări în aprilie și o alunecare vizibilă a capitalului blocat. Această combinație este greu de ignorat.

Testul mai mare pentru DeFi acum este dacă modelele de apărare stratificate și controalele operaționale mai puternice pot restabili încrederea înainte ca următoarea rundă de atacuri să facă și mai mult rău.