DeFi-rünnakud vähenesid 80 %, kuid uueks ohuks kujunesid mitmeahelad vigad

Desentraliseeritud rahandus on muutunud viis aastat tagasi oluliselt turvalisemaks. Uus ülevaade protokollide kaotustest aastatel 2020–2025 toetab seda väidet suure arvuga.

Tööstuslaadne DeFi-kaotus tippes 2022. aastal 2,62 miljardi dollari väärtuses ja langes 2024. aastaks umbes 80% – 534 miljoni dollari väärtuses. Sildade rünnakud, mis kunagi põhjustasid pealkirju miljoni dollari suuruse kaotusega, moodustavad täna vaid väikese osa aastasest kokkuarvestusest. Tänapäevase rünnaku keskmine kahju on umbes veerand sellest, mis oli tippajal.

Kaotused langesid, kuigi ahelaid ja kasutajaid oli rohkem

Andmete rõõmupäev on see, et odavad ja korduvad rünnakud on enamasti juba tehniliselt ära kujundatud. Kokku kaotused langesid kahe aastaga 80%, isegi kui DeFi TVL jätkas tõusu. Ühe juhtumi keskmine kaotus langes 2022. aastal 6 miljoni dollari väärtusest 2025. aastal 1,5 miljoni dollari väärtuseks – 75% langus.

Unikaalsete juhtumite arv tõusis 2025. aastal 83-ni. Rünnakuid toimub rohkem, kuid igaüks teeb palju vähem kahju. See ongi umbes see, milleks turvalisusvaldkonna täiskasvanud staadium peaks välja nägema.

Sildad olid 2021. ja 2022. aastal määravaks nõrgaks kohaks. Ainult teisel aastal põhjustasid üheksa silda rünnakut 1,9 miljardi dollari kaotust. Ronin Bridge’i rünnak põhjustas üksi 624 miljoni dollari kaotuse. Silda rünnakud moodustasid sel aastal 73% kõigist DeFi-kaotustest. 2025. aastaks oli siltade osakaal süvenenud 3%-ni. Parandatud kontrollimehhanismid, deentraliseeritud valideerijate komplektid ning liikumine poole võimaldavaid omaette ristahela sõnumeid (native cross-chain messaging) aitasid seda kategooriat vähendada.

Flash-laenude rünnakud läbisid sama languse tee. Nad moodustasid 2020. aastal 54% kõigist kaotustest. 2025. aastaks olid nad alla 1%. Protokollid võtsid vastu kaitsemeetmeid, mis olid spetsiaalselt kohandatud sellele rünnakutüübile: ajas kaalutud keskmised hinnad, Chainlink’i orakli integratsioonid, reentrancy-kaitse ja disainid, mis eeldavad, et ründaja saab manipuleerida hindu ühes aatomilises tehingus.

Privaatvõtmete kompromitteerumine järgis samuti sarnast langust. See langes 2022. aastal 28,7%-lt 2025. aastal 8,1%-ni. Iga ülalmainitud kategooria vähenes, kuna tööstus tunnistas korduvat mustrikat ja loobis standardseid lahendusi.

Mis jäi alles, on raskem kaitsta

Üldiste rünnakute sulgemine jäi taga palju keerukam kategooria. 2025. aastal pärines 89,1% DeFi-kaotustest protokolli loogikarünnakutest. Need on kooditasemelised puudused, mis on spetsiifilised ühe rakenduse konkreetsele disainile. Silda rünnak sisaldab äratuntavaid usalduse eeldusi. Flash-laenude rünnak kuulub tuntud tehnikate perekonda. Mõlemat saab kaitsta taaskasutatavate musterlahendustega.

Protokolli loogikaviga on olemuselt eripäraline. See tekib ühe konkreetse koodibaasi matemaatilisest mudelist, ligipääsukontrollidest või kompositsioonivalikutest. Seda on süstemaatiliselt raske kaitsta, kuna iga juhtum on omaette mõistatus.

Mitmeahelaline paigaldus muudab vigu kriisideks

Mitmeahelaline paigaldus muudab ühe sellise eripärase vea täielikuks kriisiks. Suured protokollid paigaldavad sageli sama koodi Ethereumile, Base’ile, Arbitrumile, Polygonile, OP Mainnet’ile ja Sonicule. Üksainus vigu võib korraga tühjendada fondid kõigil neil võrgustikel, kus seda käivitatakse.

See ilmnes 2024. aasta novembris, kui Balanceri V2 Composable Stable Pools tühjenesid umbes 128 miljoni dollari väärtuses vähem kui poole tunniga kuuel blokiahelal korraga. Check Point Researchi andmetel kasutas ründaja poolte invariantse matemaatika aritmeetilise täpsuse veat. Ta nihutas tokenite bilansi ümarduspiiri kohale ja kettis seejärel massiivseid vahetusi, kuni need väikesed vead kogunesid täielikuks tühjenemiseks.

Sama tõvega leiduvad lepingud olid paigaldatud Ethereumile, Arbitrumile, Base’ile, Polygonile, Sonicule ja OP Mainnet’ile. Rünnak jõudis kõigile neile korraga, sest vigu oli sisestatud koodi ise sisse ja seda koodi oli kõikjal kopeeritud. Üksteist eraldi auditit ei suutnud seda tuvastada.

ImmuneFi raport joonistab otsest seost umbes 611 miljoni dollari väärtuses Poly Networki rünnakuga 2021. aastal ja Balanceriga 2025. aastal. Poly Network oli nurjumine süsteemide vahelises ühenduspunktis. Balancer oli sama loogika, mis nurjus identselt võrkudes, mis jagasid koodi, allkirjastajate teed ja verifitseerimise eeldusi.

Turvalisuse mõõtmine on muutunud

Kui ahel saab suurte protokollide vaikimisi paigalduskartal, siis see katab enda külge kõigi oma hostide riskipinna. Raport omistab iga mõjutatud ahela kogu kaotuse mitmeahelalisest rünnakust. Osalejad kõigil kuuel võrgustikel olid täielikult mõjutatud.

Polygoni, OP Mainnet’i, Base’i ja Sonicu 2025. aasta rünnakute andmed on tugevalt mõjutatud Balanceri kaskaadist. Raport välistab täielikult keskendatud vahetusplatvormide (CEX) nurjumised. Aasta suurim üksik vararünnak – 1,5 miljardi dollari väärtuses Bybiti rünnak, mille FBI omistas Põhja-Koreale – loetakse hooldusnurjumiseks, mitte protokolli nurjumiseks.

Kaotuste suhe TVL-ga põhjustas turvalisima taseme suurtes ökosüsteemides Ethereumil umbes 0,42%, Solanal 0,42% ja BNB Chainil 0,33%. Need kolm suurimat DeFi ökosüsteemi viitavad sellele, et skaala ja turvalisus on koos paranenud.

Kaotus võib nüüd tekkida rakenduses, kus on vigu importitud mujalt. Mugavus, mis muudab mitmeahelalisi rakendusi atraktiivseks, teeb selle vea ülesehitusest kohalikust ülesehituseks jagatud. Krüptovaluutad loodi eraldi ahelad osaliselt selleks, et vältida sõltuvust ühestainsast süsteemist. Samade populaarsete protokollide käivitamine kõigil neil ahelatel on taas loonud koncentratsiooni, millest need ahelad pidiid vabanema.

Järgmine suur juhtum võib esialgu päeva päeval väike välja näha – üksainus loogikaviga laialt levitatud protokollis. Selle tegelik suurus avaneb alles siis, kui inimesed märkavad, et sama haavatav kood oli terve aeg paigaldatud poole kümne võrgustiku peale.

Postitus „DeFi rünnakud langevad 80%, kuid mitmeahelalised vigad ilmuvad uue riskina“ ilmus esmakordselt TheCryptoUpdates’is.