Upplysning
Åsikter och uppfattningar som uttrycks här tillhör endast författaren och representerar inte nödvändigtvis åsikterna hos redaktionen på crypto.news.
DeFi Under Attack
DeFi är under attack – men inte från de hot som branschen är van vid att försvara sig mot. Medan utvecklare noggrant skannar kodrader för sårbarheter har angripare förändrat taktik och utnyttjar ekonomiska svagheter som förblir oupptäckta under felfri programmering.
Ett exempel är JELLY-tokenutnyttjandet på Hyperledger, där angripare lyckades stjäla mer än 6 miljoner dollar från Hyperledgers försäkringsfond. Detta utnyttjande orsakades inte av kodfel, utan av spelbara incitament och för lågt prissatta risker som ingen hade granskat.
Bristande Granskning
DeFi-cybersäkerhet har kommit långt. Granskningar av smarta kontrakt, som är utformade för att fånga buggar i mjukvarukod, är idag normen. Men det är hög tid att bredda omfattningen av granskningar bortom enbart koden. Granskningar av smarta kontrakt är i grunden otillräckliga om de inte också analyserar ekonomiska och spelteoretiska risker.
Branschens överhuvudtaget beroende av granskningar som enbart fokuserar på kod är både föråldrat och farligt, och lämnar projekt sårbara för en oändlig cykel av attacker.
I mars 2025 överfölls Hyperliquids börs, vars kontrakt hade granskats, av ett utnyttjande på 6 miljoner dollar som involverade deras JELLY-token. Angriparna hittade ingen bugg i koden; de konstruerade en kortslutning genom att utnyttja Hyperliquids egen likvidationslogik, pumpade priset på JELLY och manipulerade plattformens riskparametrar.
Ekonomiska Manipulationer
Fallet med Hyperliquid demonstrerar att oklanderlig kod inte kan rädda ett projekt vars grundläggande antaganden är tveksamma. Kort före incidenten med JELLY blev Polter Finance av med 12 miljoner dollar genom en flashlånattack. Angriparen tog ett flashlån och manipulerade projektets prisoracle, vilket lurade systemet att behandla värdelösa säkerheter som miljarder i värde.
Dessa händelser är inte isolerade; de utgör ett växande mönster inom DeFi. Traditionella granskningar fokuserar på om ”koden gör vad den ska”, men vem kontrollerar om ”vad den ska göra” är rimligt under fientliga omständigheter?
Behov av Ekonomisk Granskning
Riktigt rigorösa granskningar inkluderar spelteoretisk och ekonomisk analys, vilket innebär att granska aspekter som avgiftsmekanismer, likvidationsformler, säkerhetsparametrar och styrningsprocesser. Revisorerna måste ställa sig frågan:
”Givet dessa regler, hur kan någon dra nytta av att böja dem?”
För att säkerställa en heltäckande säkerhet bör protokollgrundare kräva att revisorer granskar alla komponenter i ett handelssystem, inklusive implicit logik och off-chain-komponenter.
Frågor att Ställa
Som grundare eller investerare är det avgörande att ställa följande frågor till dina revisorer:
- Vad gäller orakelmanipulation?
- Hur betraktas likviditetskrisscenarier?
- Har ni analyserat tokenomiken för attackvektorer?
Kostnaden för dessa blinda fläckar är helt enkelt för hög. Att införliva ekonomisk och spelteoretisk analys är inte bara ”trevligt att ha”; det är en fråga om överlevnad för DeFi-projekt.
Avslutning
Vi behöver utveckla en kultur där kodgranskning och ekonomisk granskning går hand i hand för varje större protokoll. Låt oss höja ribban nu – innan vi tvingas lära oss en annan läxa som kostar flera miljoner dollar.
