سوءاستفاده‌های دیفای سازندگان را به تقویت کنترل‌های اضطراری وا می‌دارد

آندره کرونیه، بنیان‌گذار Flying Tulip، استدلال می‌کند که بخش بزرگی از آنچه بسیاری آن را امور مالی غیر متمرکز با نام اختصاری دیفای می‌نامند، دیگر به معنای دقیق کلمه DeFi نیست. کرونیه در مصاحبه‌ای با Cointelegraph گفت که بسیاری از پروتکل‌ها به «تیم‌هایی که کسب‌وکارهای انتفاعی اداره می‌کنند» با قراردادهای قابل ارتقا، زیرساخت آف‌چین و کنترل‌های عملیاتی رسمی تبدیل شده‌اند، نه کد درون‌زنجیره‌ای صرفاً تغییرناپذیر.

کرونیه معتقد است این تغییر، مدل امنیتی اساسی این حوزه را دگرگون می‌کند. در حالی که DeFi اولیه بر قراردادهای هوشمند تغییرناپذیر متکی بود، سیستم‌های جدیدتر به‌طور فزاینده‌ای بر ارتقاهای پروکسی، کنترل‌های چندامضایی، ارائه‌دهندگان زیرساخت و پروتکل‌های پاسخ انسانی تکیه دارند. کرونیه اعلام کرد: «فکر می‌کنم آنچه امروز داریم، از جمله Flying Tulip، دیگر DeFi نیست. این امور مالی غیر متمرکز نیست. تیم‌هایی هستند که کسب‌وکارهای انتفاعی اداره می‌کنند.»

این اظهارات در حالی مطرح می‌شود که صنعت با موجی از اکسپلویت‌های آوریل روبرو است که گفتگوی امنیتی را فراتر از حسابرسی قرارداد هوشمند به پرسش‌هایی درباره ریسک عملیاتی می‌کشاند. Flying Tulip اخیراً یک قطع‌کننده مدار برداشت معرفی کرده که هدف آن تأخیر یا صف‌بندی برداشت‌ها در زمان خروج‌های غیرعادی است. این اقدام پس از حوادث پرسروصدایی که Drift Protocol و یک پلتفرم ری‌استیکینگ مرتبط به نام Kelp را درگیر کرد، انجام شد؛ حوادثی که با هم مقیاس زیان‌ها را در ده‌ها و صدها میلیون دلار نشان دادند.

بر اساس گزارش Cointelegraph، بخش امور مالی غیر متمرکز با نام اختصاری دیفای با زیان‌هایی حدود ۲۸۰ میلیون دلار برای Drift Protocol و تقریباً ۲۹۳ میلیون دلار مرتبط با سناریوی Kelp دست‌وپنجه نرم کرده است. این ارقام، هرچند تنها معیار ریسک نیستند، به بحث گسترده‌تری درباره چگونگی ایمن‌سازی وجوه کاربران در محیط‌هایی که مکانیک‌های درون‌زنجیره‌ای را با وابستگی‌های آف‌چین ترکیب می‌کنند، دامن زده‌اند.

مهم‌تر از همه، این بحث نه تنها بر کد، بلکه بر حاکمیت، مسیرهای ارتقا و تاب‌آوری کل مدل تهدید متمرکز است که افراد، فرآیندها و پشته‌های فناوری که از قراردادهای مستقر پشتیبانی می‌کنند را در بر می‌گیرد.

نکات کلیدی

• پارادایم امنیتی DeFi از کد درون‌زنجیره‌ای تغییرناپذیر در حال گسترش است تا فرآیندهای ارتقا، حاکمیت چندامضایی و زیرساخت آف‌چین را به عنوان عوامل ریسک حیاتی در بر گیرد.
• کنترل‌های اضطراری مانند قطع‌کننده‌های مدار به‌طور فزاینده‌ای به عنوان شبکه‌های ایمنی بالقوه تلقی می‌شوند، اما نگرانی‌هایی درباره ریسک تمرکز و احتمال ایجاد سطوح حمله جدید مطرح می‌کنند.
• دیدگاه‌های صنعت درباره تعادل صحیح بین حفاظ‌های خودکار و مداخله انسانی متفاوت است؛ هدف کماکان به حداقل رساندن نقاط ضعف انسان‌محور با حفظ امنیت وجوه است.
• ناظران و تماشاگران دنیای مالی سنتی این تحول را به عنوان زمینی برای تمرین تاب‌آوری می‌بینند، با ارتقاها و همکاری‌های میان‌پروژه‌ای که اکوسیستم DeFi قوی‌تری را شکل می‌دهند.
• عملاً، کاربران و سازندگان باید نحوه اجرای حاکمیت، تایم‌لاک‌ها و کنترل‌های ارتقا را زیر نظر داشته باشند و چگونگی تعامل این مکانیسم‌ها با قابلیت همکاری بلاک چین میان زنجیره‌ای و امنیت پل را رصد کنند.

چشم‌انداز امنیتی در حال تحول: از کد تا کنترل‌ها

در ارزیابی کرونیه، دنیای امور مالی غیر متمرکز با نام اختصاری دیفای از تمرکز صرف بر حسابرسی قراردادهای تغییرناپذیر به بررسی اینکه چه کسی می‌تواند کد را تغییر دهد، چگونه تغییرات تأیید می‌شوند و آیا تایم‌لاک‌ها یا تأییدیه‌های چندامضایی برای محافظت در برابر ارتقاهای عجولانه یا مخرب وجود دارند، تغییر کرده است. او تأکید کرد که بررسی‌های حسابرسی هنوز ضروری هستند اما اگر مکانیسم‌های حاکمیت و ارتقای یک سیستم توسط یک عامل مخرب قابل بهره‌برداری یا دستکاری باشند، کافی نیستند.

کرونیه به Cointelegraph گفت: «تمرکز در سراسر صنعت هنوز بسیار بر جنبه قرارداد است و نه جنبه‌ای شبیه‌تر به TradFi.» او به اکسپلویت‌های اخیری اشاره کرد که از نقاط ضعف به سبک Web2 سنتی—دسترسی به زیرساخت، مهندسی اجتماعی و سایر بردارهای انسان‌محور—بهره بردند، به عنوان شواهدی که امنیت باید فراتر از حسابرسی قرارداد هوشمند گسترش یابد.

برای رسیدگی به ریسک ارتقا، کرونیه قطع‌کننده مدار Flying Tulip را به عنوان یک توقف استراتژیک، نه یک انسداد دائمی، توصیف کرد. هدف این است که «به ما زمان واکنش بدهد» در برابر خروج‌های غیرعادی سرمایه. سیستم طراحی شده تا برداشت‌ها را برای یک بازه زمانی—حدود شش ساعت برای پیکربندی Flying Tulip، و بالقوه بیشتر برای تیم‌های کوچک‌تر با توزیع جغرافیایی محدود—متوقف کند. او قطع‌کننده مدار را به عنوان یک لایه در یک دفاع چندلایه‌ای، در کنار حسابرسی‌ها، تایم‌لاک‌ها و کنترل‌های چندامضایی توزیع‌شده، قاب‌بندی کرد.

با این حال، دیدگاه‌های صنعت درباره مطلوبیت و طراحی کنترل‌های اضطراری متفاوت بود. مایکل اگوروف، بنیان‌گذار Curve Finance و Yield Basis، به Cointelegraph گفت که حوادث اخیر ریسک‌های تمرکز و وابستگی‌های آف‌چین را نشان می‌دهند، نه باگ‌های خالص قرارداد. او هشدار داد که یک قطع‌کننده مدار می‌تواند خودش به یک آسیب‌پذیری تبدیل شود اگر مکانیسم به امضاکنندگان قدرت تغییر کد یا مسدود کردن برداشت‌ها در حالت مخرب را بدهد.

اگوروف از طراحی‌های DeFi که بتوانند بدون نیاز به مداخله دستی در برابر شوک‌ها مقاومت کنند، دفاع کرد. او گفت: «هدف طراحی DeFi باید به حداقل رساندن نقاط شکست انسان‌محور باشد، نه افزودن به آن‌ها.» در دیدگاه او، یک سیستم تاب‌آور باید حتی زمانی که برخی بازیگران مخرب هستند، به‌طور ایمن به کار خود ادامه دهد و وابستگی به مداخله ممتاز را کاهش دهد.

واکنش‌های صنعت: تاب‌آوری، تمرکز و مسیر پیش رو

حوادث آوریل همچنین مشارکت نهادهای مالی سنتی را به دنبال داشته است. Standard Chartered یادداشتی منتشر کرد که اپیزود Kelp را به عنوان نشانه‌ای از دردهای رشد DeFi به جای یک نقص مهلک قاب‌بندی می‌کرد. این بانک برجسته کرد که افزایش کل نقدینگی از ائتلاف DeFi United از ۳۰۰ میلیون دلار فراتر رفت و ارتقاهای در جریان—مانند Aave V4 و Ethereum Economic Zone—را که هدفشان سخت‌تر کردن اکوسیستم و کاهش وابستگی به جریان‌های فناوری میان زنجیره‌ای مبتنی بر پل است، مورد توجه قرار داد.

این بانک توجه فزاینده به غیر متمرکز شدن و وابستگی‌های آف‌چین را به عنوان یک تحول طبیعی برای فضایی که هنوز در مراحل اولیه بلوغ خود است، توصیف کرد. با گنجاندن این درس‌ها، حامیان استدلال می‌کنند، DeFi می‌تواند تاب‌آوری عملیاتی و حمایت از کاربر را در طول زمان بهبود بخشد، حتی در حالی که پایگاه کد اصلی همچنان یک نقطه تمرکز حیاتی باقی می‌ماند.

فعالیت جمع‌آوری سرمایه DeFi United—که بر اساس سایت ائتلاف بیش از ۳۲۱ میلیون دلار جمع‌آوری یا تعهد شده گزارش شده—نشان‌دهنده فشار گسترده‌تری برای هماهنگ کردن جریان سرمایه و حاکمیت به روش‌هایی است که دفاع‌ها و نقدینگی را برای سناریوهای بازیابی تقویت می‌کند. نتیجه‌گیری کلی برای سازندگان و سرمایه‌گذاران روشن است: کنترل ریسک در DeFi از یک مسئله صرفاً کدمحور به یک برنامه جامع در حال گذار است که امنیت درون‌زنجیره‌ای را با حاکمیت قوی، پاسخ به حوادث و قابلیت اطمینان فناوری میان زنجیره‌ای ترکیب می‌کند.

معنای این موضوع برای سازندگان و کاربران

تغییری که کرونیه توصیف می‌کند پیامدهای عملی برای توسعه‌دهندگان، سرمایه‌گذاران و کاربران دارد. اول، قابلیت ارتقا دسته جدیدی از ریسک را معرفی می‌کند که باید با حاکمیت شفاف، مسیرهای ارتقای روشن و کنترل‌های دسترسی سختگیرانه کاهش یابد. پروژه‌هایی که بر الگوهای پروکسی یا کلیدهای ادمین تکیه دارند باید افشای قوی و بررسی‌های امنیتی دقیق فرآیندهای ارتقای خود را نشان دهند.

دوم، تأکید فزاینده بر ریسک عملیاتی، اهمیت زیرساخت آف‌چین و وابستگی‌های شخص ثالث را ارتقا می‌دهد. حسابرسی‌ها می‌توانند صحت کد را تأیید کنند، اما یک ارائه‌دهنده زیرساخت مخرب یا یک کمپین مهندسی اجتماعی موفق هنوز می‌تواند وجوه را به خطر بیندازد. این واقعیت از زیرساخت متنوع، مدیریت دسترسی سختگیرانه و سیستم‌های افزونه برای کاهش نقاط شکست منفرد دفاع می‌کند.

سوم، بحث درباره قطع‌کننده‌های مدار تنشی بین امنیت و تمرکز را برجسته می‌کند. در حالی که مکانیسم‌های توقف می‌توانند از زیان‌های آبشاری در رویدادهای شدید جلوگیری کنند، آن‌ها همچنین یک لایه متمرکز معرفی می‌کنند که اگر با دقت طراحی نشود، می‌تواند سیاسی شود یا مورد سوءاستفاده قرار گیرد. اجماع در میان بسیاری از سازندگان این است که هر کنترل اضطراری باید شفاف، قابل حسابرسی و دارای محدودیت‌های زمانی روشن باشد که بردارهای سوءاستفاده را محدود کند.

برای سرمایه‌گذاران، این پویایی‌ها به معنای بازتنظیم مدل‌های ریسک است. قوی‌ترین پروژه‌های DeFi در سال‌های آینده ممکن است آن‌هایی باشند که معماری‌های حاکمیتی جامع، پروتکل‌های مهاجرت و ارتقای قوی، و برنامه‌های صریح پاسخ به حوادث که آسیب‌پذیری‌های انسان‌محور را به حداقل می‌رسانند و در عین حال دسترسی و اعتماد کاربر را حفظ می‌کنند، نشان دهند.

آنچه باید در آینده دنبال کرد

با جذب این درس‌ها توسط صنعت، ناظران نظاره‌گر تحول چارچوب‌های امنیتی جدید خواهند بود. انتظار می‌رود آزمایش مداوم با قطع‌کننده‌های مدار، ارتقاهای قفل‌شده با زمان و حاکمیت چندطرفه ادامه یابد، همه با هدف کاهش ریسک‌های هم درون‌زنجیره‌ای و هم آف‌چین. ناظران و بازیگران مالی سنتی احتمالاً فرآیندهای حاکمیت و کنترل‌های عملیاتی را موشکافی خواهند کرد و به دنبال تدوین بهترین شیوه‌هایی خواهند بود که بتوانند با رشد این بخش مقیاس پیدا کنند.

خوانندگان باید نظارت کنند که چگونه پروتکل‌های اصلی DeFi قابلیت ارتقا را با تغییرناپذیری متعادل می‌کنند و چگونه پل‌ها و زیرساخت فناوری میان زنجیره‌ای برای به حداقل رساندن نقاط شکست منفرد تکامل می‌یابند. گفتگوی جاری پیرامون تاب‌آوری—که کد، حاکمیت و ریسک عملیاتی را در بر می‌گیرد—شکل خواهد داد که کدام پروژه‌ها پذیرش گسترده‌تری کسب می‌کنند و چقدر سریع این بخش می‌تواند از شوک‌های آینده بازیابی شود.

این مقاله در اصل با عنوان DeFi Exploits Spur Builders to Harden Emergency Controls در Crypto Breaking News منتشر شد—منبع مورد اعتماد شما برای اخبار کریپتو، اخبار Bitcoin و به‌روزرسانی‌های بلاک چین.