Экс-CTO Ripple предостерегает о проблемах безопасности в DeFi после анализа RLUSD

Экс-CTO компании Ripple Дэвид Шварц заявил, что его анализ дизайнов мостов DeFi для RLUSD выявил повторяющуюся проблему, которая, возможно, стала причиной инцидента с KelpDAO и rsETH. По его словам, критические меры безопасности существуют, но команды часто склоняются к более легким конфигурациям, поскольку они проще в эксплуатации и быстрее масштабируются.

Анализ дизайнов мостов DeFi

В серии публикаций на платформе X Шварц сообщил, что он оценил множество систем мостов DeFi для потенциального использования RLUSD, сосредоточив внимание «почти исключительно» на безопасности и рисках. Он отметил, что проблема не в отсутствии инструментов. Многие системы уже предлагают надежные защиты против тех сбоев, которые сейчас обсуждаются в контексте KelpDAO. Однако эти защиты часто сопряжены с определенными трудностями.

Проблемы с безопасностью мостов

«Одной из вещей, которые я заметил, является то, что большинство схем были очень хорошо спроектированы и имели действительно сильные механизмы защиты от атак, подобных той, что, похоже, произошла с KelpDAO и rsETH», — написал Шварц. «Тем не менее, я заметил, что они, как правило, фактически рекомендовали не использовать наиболее важные механизмы безопасности, поскольку это влечет за собой затраты на удобство и операционную сложность». Он подчеркнул, что не говорит о том, что команды мостов не имеют функций безопасности на бумаге. Он утверждает, что некоторые бизнес-модели построены вокруг того, чтобы делать эти функции необязательными, даже когда активы, которые они защищают, могут вырасти до таких размеров, что компромисс становится неприемлемым.

Конкуренция и проектирование стимулов

«Их рекламный слоган заключался в том, что у них есть лучшие функции безопасности, но они просты в использовании и масштабировании, если вы не используете функции безопасности», — отметил он. «У меня есть забавное предчувствие, что часть проблемы будет заключаться в том, что KelpDAO выбрал не использовать ключевые функции безопасности LayerZero из соображений удобства. Я надеюсь, что я ошибаюсь». Шварц также поднял более широкий вопрос о проектировании стимулов. Если приложения могут выбирать свои собственные предположения о доверии, конкуренция может склоняться к менее затратным настройкам, а не к более надежным. Этот момент был явно поднят представителем сообщества XRP, который утверждал, что позволение приложениям определять свою собственную безопасность неизбежно приведет к «гонке на дно».

Проблемы с ответственностью и повторяющиеся ошибки

Шварц частично возразил, отметив, что более простые настройки могут иметь смысл, когда стоимость еще невелика или когда активы уже обеспечены доверенным эмитентом и могут быть заморожены. Однако он также предположил, что в открытых крипторынках временные упрощения имеют тенденцию становиться постоянными. «Это становится безумно сложным. Я бы сказал, что, вероятно, нет», — ответил экс-CTO Ripple на вопрос о том, могут ли проекты столкнуться с ответственностью за убытки. «Но вся индустрия мостов DeFi заражена людьми, использующими умеренные меры безопасности, потому что «нам просто нужно, чтобы это заработало, мы улучшим это позже», что приводит к защите огромных сумм денег, и эти улучшения никогда не происходят». Он также выразил недовольство по поводу привычки индустрии переучиваться на одних и тех же уроках после каждого краха. «Мы могли бы подождать, пока у нас не будет идеального решения, но это не тот выбор, который сделали все», — сказал Шварц. «Поэтому время от времени у нас будет крупный сбой, а затем все будут осторожны в течение месяца или двух, и цикл повторится».

Структурные проблемы DeFi

В целом Шварц рассматривает проблему как структурную: DeFi продолжает пытаться масштабировать кросс-цепочную ликвидность, прежде чем она решит, как управлять рисками мостов на уровне, который требует доверия к чужим деньгам. Даже Шварц, защищая некоторые более узкие применения более простых настроек мостов, признал, что децентрализованное управление остается неподходящим для жестких решений безопасности, связанных с рисками хранения. Фоном для этих обсуждений стал инцидент с rsETH 18 апреля, когда злоумышленник использовал мост rsETH, работающий на LayerZero, и вывел 116 500 rsETH, стоимость которых составила примерно 290 миллионов долларов. Guardian Aave затем заморозил рынки rsETH и wrsETH на всех платформах, где этот актив был представлен, подчеркивая, что Aave сам по себе не был взломан, и что проблема касалась актива, а не кредитного протокола.

Последствия инцидента с rsETH

Aave позже заявил, что все пулы оставались операционными, но заморозка остановила новые депозиты и новые заимствования против залога rsETH, пока ситуация оценивалась. Этот инцидент быстро превратился в более широкий риск DeFi, поскольку rsETH был интегрирован в кредитные рынки, поднимая новые вопросы о стандартах залога, выборе конфигурации мостов и о том, является ли удобство первоочередным фактором, который по-прежнему недооценен в рамках всей системы. На момент публикации XRP торговался по цене 1,40 доллара.

Заключение

В свете недавних событий, связанных с безопасностью в DeFi, важно, чтобы разработчики и команды мостов пересмотрели свои подходы к проектированию и реализации систем безопасности. Учитывая растущие объемы средств, находящихся под управлением в DeFi, игнорирование критических мер безопасности может привести к серьезным последствиям. Дэвид Шварц поднимает важные вопросы о том, как балансировать между удобством и безопасностью, и как структурные проблемы в DeFi могут повлиять на будущее всей отрасли. Инцидент с KelpDAO и rsETH служит напоминанием о том, что безопасность должна оставаться приоритетом, а не второстепенным аспектом в разработке финансовых технологий.