Безпека DeFi-протоколів: нові стандарти та виклики
Наприкінці лютого 2025 року криптобіржу ByBit зламали – хакери змінили логіку смарт-контракту і підмінили інтерфейс підпису. Цей злом став найбільшим в історії крипторинку – з гаманця біржі було виведено монети ETH на ~$1,5 млрд.
І хоч біржа не є DeFi-протоколом, проте використовує криптографічні методи, а її випадок порушує питання безпеки активів у сучасному цифровому світі.
На відміну від традиційних фінансів із закритою системою та встановленим захистом, DeFi-сектор працює в децентралізованому просторі, вразливості якого – від експлойтів до простих людських помилок – можуть призвести до серйозних втрат.
У цій статті я розповім як DeFi-протоколи вирішують ці проблеми та які методи захисту використовують сьогодні. Також ми розглянемо, чи здатний DeFi відповідати вимогам регуляторів, які виклики чекають на індустрію і які стандарти безпеки розвиватимуться в найближчому майбутньому.
Основна проблема DeFi
Сфера децентралізованих фінансів зростає з кожним роком – мільйони людей по всьому світу використовують її для збереження і примноження накопичень поза впливом банків, держав і недоліків фіатних валют – інфляції, підконтрольності ЦБ.
DeFi-системи використовують для розрахунків, торгівлі, інвестицій, кредитування, позик, пасивного доходу. Обсяг коштів у цих протоколах, особливо на тлі зростаючого ринку, привертає шахраїв і хакерів, що тільки підсилює ризики безпеки.
Важливо розуміти, що інфраструктура DeFi будується поверх технологічного рівня Web2, тобто «класичного інтернету», а отже, ризики, притаманні йому, притаманні і децентралізованим протоколам. При цьому природа DeFi значно знижує поріг входу для розробки протоколів, що оброблятимуть мільйони доларів – їх можна запустити без знання методів захисту, без особливого досвіду і навіть без ліцензії.
Усе це збільшує ризики, перетворюючи їх із низькорівневих проблем Web2-світу на критичну проблему для DeFi. І в міру розвитку сектору і зростання його обсягів дедалі частіше лунають заклики до впровадження нових стандартів і нормативних правил.
Нові стандарти безпеки DeFi-протоколів
Як ми вже зрозуміли, у сфері децентралізованих фінансів немає загальних стандартів, а їхнє розроблення розпочалося лише нещодавно. Наприклад, у липні 2024 Enterprise Ethereum Alliance опублікувала першу версію EEA DeFi Risk Assessment Guidelines – стандарту для оцінювання та контролю ризиків. Ще один – Crypto Security Standard.
Головний фактор зростання безпеки DeFi-протоколів у 2025 році – нові технології:
- Критичний момент – захист смарт-контрактів. Для їхнього контролю використовується формальна верифікація – метод математичного доказу коректності коду, що дає змогу гарантувати безпеку і передбачуваність. Цей метод відрізняється від тестування тим, що не просто перевіряє код на прикладах, а строго доводить, що він працює за заданими правилами у всіх можливих ситуаціях.
- Багаторівневі механізми. Інструменти, що дають змогу обмежувати або зупиняти операції в разі виявлення підозрілої активності – наприклад, тимчасові блокування (Time-Locks) і автоматичні переривники (Circuit Breakers). А також «пісочниці» (Sandbox – тестування контрактів в ізольованому середовищі).
- Zero-Knowledge Proofs. Технологія доказів з нульовим розголошенням дає змогу підтверджувати достовірність інформації без її фактичного розкриття, що підвищує рівень приватності користувачів і знижує ризики крадіжки коштів. Їх було реалізовано ще 2012 року, але вони пройшли великий шлях від механізму для анонімних операцій до рішень для безпечної аутентифікації та ідентифікації.
- Багатосторонні обчислення (MPC) – криптографічний метод, який дає змогу кільком учасникам спільно керувати одним криптогаманцем без розкриття повної версії його приватного ключа. Цей ключ розділяється на кілька частин (shards) і розподіляється між різними учасниками або пристроями.
У 2025 році можна очікувати інтеграцію AI як рішень для моніторингу DeFi і пошуку аномалій у режимі реального часу. Такі рішення вже існують, але перебувають у зародковому стані. Також важливою віхою в забезпеченні безпеки можуть стати модульні блокчейни, як Polkadot і Cosmos, що дає змогу протоколам DeFi обирати оптимальні рішення, покращуючи свою масштабованість і захист.
Ще один майбутній потенційний стандарт – правила регуляторів.
Чи може DeFi відповідати правилам регуляторів
З кожним роком межа між криптовалютним і традиційним світом стає дедалі більш розмитою – банки впроваджують блокчейн, акції перетворюються на токени, а криптовалюти з’являються у формі фондів і ETF на звичайних фондових ринках.
Усе це змушує регуляторів спробувати підпорядкувати галузь під свої правила на догоду безпеці. Але чи можлива відповідність DeFi вимогам регуляторів?
З технічного погляду для їхнього контролю немає жодних інструментів. Блокчейн і смарт-контракти децентралізовані, вони знаходяться буквально скрізь, але поза кожною юрисдикцією. При цьому на відміну від централізованих систем, де кожна дія може бути скасована, операції в блокчейні захищені від скасування і коригування.
З нормативного погляду, набрання чинності регламентами, такими як MiCA в ЄС, встановить єдині вимоги до безпеки, що укупі з такими стандартами, як EEA DeFi Risk Assessment Guidelines і CCSS, створить можливість для балансу між дотриманням нормативних вимог і збереженням децентралізації.
DeFi «поза стандартами» не зникнуть і вибір між ними залишиться за користувачем.
Чи впливає розвиток безпеки DeFi на CeFi-платформи
Повертаючись до інциденту навколо біржі ByBit, хотілося б відповісти на запитання, чи впливає розвиток методів безпеки в DeFi-секторі на CeFi (біржі, сервіси)?
Однозначна відповідь – так. Цей вплив проявляється в кількох ключових аспектах.
- Посилення стандартів. CeFi-платформи починають переймати підхід DeFi до безпеки – використовують багаторівневі механізми моніторингу операцій, тимчасові блокування (time-locks) і автоматичні переривники (Circuit Breakers).
- Підвищення довіри. CeFi-біржі тепер частіше пропонують некастодіальні рішення, дозволяючи користувачам зберігати кошти на особистих гаманцях, як у DeFi. Також вони підвищують прозорість своїх резервів через блокчейн. Яскравий приклад – розвиток Proof-of-Reserves (криптографічно підтверджені дані про резерви).
- Зростання гібридних рішень (DeFi + CeFi). Binance, OKX та інші CEX-біржі вже впроваджують децентралізовані гаманці та смарт-контракти для забезпечення прозорості та гнучкості операцій. А такі рішення, як MPC і ZKP, що використовуються в DeFi, також інтегруються для збільшення рівня захисту кастодіальних рішень.
Розвиток захисту DeFi-протоколів впливає на всю індустрію і робить її безпечнішою. Це стосується як централізованих бірж, як Binance, ByBit і OKX, так і унікальних платіжних рішень, таких як сервіс Trustee Plus і криптовалютні картки для розрахунків.
Підбиваємо підсумки
2024 року в Бангкоку відбувся щорічний саміт, присвячений безпеці DeFi і технологій на основі блокчейна – уже втретє він зібрав в одному місці хакерів і розробників протоколів для обговорення заходів щодо забезпечення захисту індустрії.
І судячи зі зростання його спільноти, розуміння безпеки блокчейна і DeFi зростає – знання про це стають більш доступними і поширеними. Це стосується як довідкових матеріалів для авторів протоколів, так і даних для користувачів. Наприклад, якщо раніше однією з головних точок злому цифрових гаманців було неналежне зберігання ключів, то у 2024 році кількість таких випадків знизилася.
Про зниження кількості зломів у DeFi говорить і Hacken’s 2024 Web3 Security Report – у попередньому році втрати індустрії перевищили $2,9 млрд на всіх видах платформ. Але при цьому втрати в DeFi знизилися на 40%, а експлойти кросчейн-мостів досягли історичного мінімуму. Водночас кількість успішних атак на CeFi зросла.
З розвитком стандартів безпеки, а також впровадженням нових технологій і методів аудиту, DeFi -протоколи можуть забезпечити рівень захисту, який можна порівняти з традиційними фінансовими системами. Це відкриває нові можливості для підвищення довіри до децентралізованих фінансів, створюючи міцне підґрунтя для їхнього подальшого розвитку, а також зростання стабільності та захищеності всієї галузі.