Минулого року сталося щось досить серйозне у світі DeFi, що, ймовірно, багато хто не усвідомлював повністю. Протокол Resolv зазнав хакерської атаки, яка виявила критичну вразливість у управлінні приватними ключами, і масштаб інциденту був досить показовим щодо того, як насправді працює безпека в цих протоколах.

Що сталося, було просто: хтось зміг зламати приватний ключ з дозволами на емісію і, використовуючи це, створив приблизно 80 мільйонів токенів USR без будь-якої підтримки. USR — це стабільна монета протоколу, тож уявіть тиск, який це створює на ціну. Це не була помилка у коді смарт-контракту, а збій інфраструктури поза ланцюгом. Це і є цікаве тут, бо багато вважають, що якщо код пройшов аудит, то все гаразд. Але реальність складніша.

Що ж спрацювало, так це реакція команди. Вони виявили аномальну активність досить швидко і застосували аварійне призупинення контракту. Потім вони спалили приблизно 9 мільйонів фальшивих токенів, які знаходилися на гаманці зловмисника. Це був стратегічний хід: зменшити тиск на продаж і обмежити потенційний збиток. В кінцевому підсумку підтверджені втрати склали близько 500 тисяч доларів, що у порівнянні з 80 мільйонами створених токенів свідчить про досить ефективну роботу систем моніторингу.

Але це відкриває глибшу дискусію про безпеку у DeFi. Протокол керував приблизно 141 мільйоном активів усього, тож хоча підтверджені втрати були обмежені, хакерська атака показала, чому управління приватними ключами — найслабше місце. Експерти вже роками говорять одне й те саме: мультипідпис, апаратні модулі безпеки, ротація ключів. Але, очевидно, не всі впроваджують це з необхідною строгостю.

Можливо, хтось отримав доступ до приватного ключа через фішинг, шкідливе програмне забезпечення на машинах розробників або щось подібне. Вектор атаки майже завжди один: люди. І це набагато важче аудитувати, ніж смарт-контракт.

Такий інцидент завжди має ширші наслідки. Тимчасово він впливає на довіру до менш відомих алгоритмічних стабільних монет, що зазвичай вигідно більш усталеним і регульованим емісорам. Також він прискорює дискусію щодо регуляторного нагляду, оскільки регулятори використовують такі випадки як аргумент для більш жорсткого контролю.

Урок, який залишився зрозумілим, — технологічні інновації у крипто повинні супроводжуватися такою ж складною операційною безпекою. Недостатньо лише аудиту контрактів, якщо ваша адміністративна інфраструктура зламано. Майбутнє ймовірно включатиме більш просунуті системи виявлення у реальному часі та автоматичні дисюктори, які зупинятимуть підозрілі дії до того, як втрутиться людина.

Для спільноти DeFi цей хак протоколу Resolv був неприємним, але необхідним нагадуванням про те, що ризики не завжди знаходяться там, де ми очікуємо.