شکاف امنیتی میان پلتفرم‌های DeFi و CeFi؛ دیفای در ۳ ماهه اول سال ۳۳۶ میلیون دلار از دست داد!

در سه ماهه اول سال ۲۰۲۴، حوزه دیفای (DeFi) ۳۳۶ میلیون دلار را به دلیل هک و کلاهبرداری از دست داده است. این موضوع، بحث امنیت این پلتفرم‌ها را بیش از همیشه مطرح کرده است؛ چرا که در همین بازه زمانی، پلتفرم‌های متمرکز آسیب‌پذیری نداشته‌اند.

به گزارش والکس و به نقل از کریپتو نیوز، طبق گزارشی از Immunefi، رقم کلی زیان دیفای از هک و کلاهبرداری نسبت به سه ماهه اول ۲۰۲۳ حدود ۲۳.۱ کاهش داشته است. در آن زمان مقدار این خسارت بالغ بر ۴۳۷,۴۸۳,۵۴۳ دلار بود. با این حال، CeFi در همین بازه زمانی بدون آسیب بوده است.

به طور کلی، در ۶۱ حادثه خسارات وارد شده است که دو حادثه بزرگ هک بریج اوربیت (Orbit bridge) و Munchables، به تنهایی ۴۳٪ از کل ضررهای این سه ماه را تشکیل می‌دهند.

این موضوع، زمینه را برای یک تحقیق فوری در مورد آینده امور مالی غیرمتمرکز فراهم کرده است. در زمان نگارش این مطلب، بیش از ۱۰۰ میلیارد دلار سرمایه در پروتکل‌های دیفای قفل شده است. این میزان سرمایه برای هکرها و کلاهبرداران وسوسه‌انگیز است.

سوال این است که دیفای با وجود موج نوآورانه‌ای که این حوزه را پیش می‌برد، آیا می‌تواند همزمان امنیت خود را افزایش دهد؟ یا اینکه به دلیل ماهیت ذاتی خود باید برای همیشه از CeFi عقب بماند؟

نقاط قوت و ضعف‌های امنیتی دیفای؛ منبع باز و بدون مجوز

مسئله اساسی در قلب مشکلات امنیتی دیفای در پایه‌های این حوزه نهفته است: ماهیت منبع باز و بدون مجوز پلتفرم‌های دیفای و همچنین وب ۳ این ویژگی‌ها که برای شفافیت و فراگیری لازم هستند، این پلتفرم‌ها را در معرض خطر بیشتری برای سوءاستفاده قرار می‌دهند. توانایی وب ۲ برای بازگشت به روال سابق، خاموش کردن سرورها و پیاده‌سازی سیستم‌های مجاز، امنیت بیشتری را برای آن فراهم می‌کند. در مقابل، ماهیت غیرمتمرکز و بدون مجوز وب ۳ چالش‌های بزرگ‌تری به همراه دارد.

ماهیت منبع باز دیفای مستلزم آن است که کد زیربنایی آن جهت بررسی دقیق، آشکارا برای همه قابل دسترسی باشد. این شفافیت، آسیب‌پذیری قابل‌توجهی ایجاد می‌کند و به هکرها امکان می‌دهد تا کد آن را با دقت مطالعه کرده و نقاط ضعف احتمالی آن را پیدا کنند. در نتیجه، برخلاف موسسات مالی سنتی که از فناوری اختصاصی و سیستم‌های محافظت شده استفاده می‌کنند، دیفای مکانیسم‌های داخلی خود را در معرض دید همگان قرار می‌دهد.

علاوه بر این، جنبه بدون مجوز دیفای نیز به این معنی است که هر کسی می‌تواند با پروتکل‌ها تعامل داشته باشد و قراردادهای هوشمند جدید را بدون نیاز به تایید و بررسی دقیق مستقر کند. البته کاهش موانع ورود یک شمشیر دولبه است. از یک طرف، نوآوری و دسترسی را ترویج می کند، اما به عوامل مخرب نیز اجازه می‌دهد تا کدهای خود را مستقر کرده و از نقص‌های موجود به سرعت سوءاستفاده کنند.

در مقابل، مؤسسات متمرکز می‌توانند برای حفاظت از دارایی‌های خود به ترکیبی از فناوری اختصاصی و تبعیت از قوانین اتکا کنند. سیستم‌های آن‌ها به مراتب کمتر در دسترس عموم است و کشف نقاط ضعف را برای هکرها بسیار دشوارتر می‌کند. به علاوه، پلتفرم‌های CeFi از شیوه‌های مرسوم مانند حسابرسی‌های منظم، کنترل‌ دقیق دسترسی‌ها و طرح‌های جامع برای واکنش به حادثه سود می‌برند؛ اقداماتی که اغلب در فضای همیشه در حال تکامل دیفای انجام نمی‌شود.

سرعت نوآوری در مقابل ملاحظات امنیتی

حوزه دیفای همواره در حال تکامل است و این موضوع باعث شده دائما پروتکل‌ها و ویژگی‌های جدید معرفی شوند. با این حال، ضرورت توسعه سریع نوآوری و لزوم رقابت، اغلب بررسی ملاحظات امنیتی را تحت‌الشعاع قرار می‌دهد.

از این رو، هر چند رشد دیفای به همراه عرضه  پروتکل‌های جدید گزینه‌های بیشتری را در اختیار کاربران قرار می‌دهد، اما دامنه آسیب‌پذیری‌ها را نیز افزایش داده است. در نتیجه، میلیاردها دلار سرمایه و تعداد فزاینده‌ای از کاربران جدید در اولین گام‌های آزمایشی خود در یک محیط مالی جدید در معرض خطر هستند.

مؤسسات CeFi رویکرد سرعت کمتر و سنجیده‌تر را اتخاذ کرده‌اند. پلتفرم‌های CeFi با بهره‌گیری از سال‌ها تجربه و بهترین شیوه‌های امنیت سایبری، حفاظت از دارایی‌های مشتری و حفظ یکپارچگی سیستم و سرمایه‌گذاری هنگفت در اقدامات امنیتی را در اولویت قرار می‌دهند. همچنین، آنها به طور معمول تحت حسابرسی‌های جامع امنیتی توسط شرکت‌های مستقل شخص ثالث، اغلب به صورت سالانه یا دوسالانه، قرار می گیرند. به عنوان مثال، کوین بیس مدعی است سیستم‌ها و زیرساخت‌های خود را هر سه ماه یک بار توسط شرکت‌های امنیتی برتر حسابرسی می‌کند. به علاوه، پلتفرم‌های CeFi معمولا دارای برنامه‌های پاسخگویی به حادثه و توانایی مسدود کردن یا بازیابی سریع دارایی‌ها در صورت هک یا نقص امنیتی هستند.

تفاوت قابل ملاحظه بین نوآوری سریع DeFi و رویکرد امنیتی CeFi، چالش اساسی پیش روی امور مالی غیرمتمرکز را برجسته می‌کند. تیم‌های پروژه‌های دیفای با هرسوءاستفاده از آسیب پذیری‌های جدید، مجبور به اصلاح اشکالات بوده و همیشه از نظر امنیت یک قدم عقب هستند.

شکاف امنیتی دیفای چگونه بسته می‌شود؟

اگر دیفای ایمنی را در هر مرحله از توسعه پروژه‌های خود در نظر نگیرد، مشکلات آن ادامه خواهد داشت و سرمایه کاربران و یکپارچگی اکوسیستم را به خطر می‌اندازد. به همین دلیل است که دیفای باید دستخوش یک تغییر اساسی شود تا از وجود امنیت در همه جوانب، از ساخت قراردادهای هوشمند گرفته تا طراحی رابط‌ها اطمینان حاصل شود.

یک تحول فرهنگی و استراتژیک لازم است تا توسعه‌دهندگان، حفاظت از کاربر، سرمایه‌گذاری در حسابرسی، برنامه‌های باگ بانتی (Bug bounty) و پاسخگویی به حوادث را در اولویت قرار دهند. در حالی که نسل جدیدی از شرکت‌های امنیتی وب ۳ با بهره‌گیری از قدرت هوش مصنوعی و تجزیه و تحلیل بلاک‌چین روی کار آمده‌اند، راه‌حل‌های آن‌ها در مقیاس واقعی هنوز محقق نشده است.

بنابراین، ممکن است بهبود معنی‌دار و پایدار در ایمنی دیفای در آینده نزدیک حاصل نشود، زیرا ایجاد توازن بین تمرکززدایی، دسترسی و امنیتِ قوی زمان‌بر است.

همچنین، مسئولیت تعهد به امنیت بر عهده پلتفرم‌هاست. تنها در این صورت است که می‌توان امیدوار بود شکاف فزاینده امنیتی کاهش یافته و اعتماد کاربران را بازگرداند. شاید همین کاربران که به تدریج از خطرات بیشتر آگاه می‌شوند، در نهایت را از پروتکل‌هایی که با آنها در تعامل هستند، استانداردهای بالاتری درخواست کنند.