У інтерв’ю з BeInCrypto, Купер Сканлон, співзасновник Movement Labs, висловив занепокоєння щодо вразливостей у блокчейн-інфраструктурі, зокрема недоліків у традиційних смартконтрактах, таких як Ethereum (ETH). Він наголосив, що ці слабкі місця становлять серйозну загрозу для майбутнього глобальних фінансів.
Його зауваження з’явилися на тлі боротьби криптоіндустрії з хвилею шахрайств і зломів, які завдали значної шкоди та підірвали довіру до сектора.
Співзасновник Movement Labs висловлює думку щодо ризиків смарт-контрактів
Сканлон зазначив, що недоліки у смартконтрактах призвели до втрат на мільярди лише у 2024 році. За даними SolidityScan, у 2024 році криптозломи склали 1,4 мільярда доларів, охоплюючи 149 окремих інцидентів.
Важливо зазначити, що цього року криптоспільнота стала свідком одного з найбільших зломів в історії, коли Bybit стала мішенню. Хакери вивели 1,5 мільярда доларів, переважно в Ethereum, з платформи. Вони скористалися вразливістю одноразового підпису транзакції, обійшовши безпеку гаманця для несанкціонованих зняттів.
Крім того, на початку березня агрегатор децентралізованих бірж (DEX) 1inch також зазнав критичного зламу через недолік у смартконтракті Fusion v1 resolver, що ще раз підкреслює вразливості, які переслідують сектор.
Сканлон підкреслив, що ці інциденти не є поступовими зниженнями, а катастрофічними втратами, які відбуваються за секунди після експлуатації вразливостей. Ситуація стає серйознішою, враховуючи зростаючу інтеграцію блокчейну з традиційними фінансовими системами.
«Якщо фінансові інститути інтегрують смартконтракти в платіжні системи та ринки капіталу, не вирішуючи потенційні недоліки, ми підвищуємо ризик у значно ширших системах», сказав він BeInCrypto.
Співзасновник також підкреслив небезпечну помилкову думку про безпеку смартконтрактів – віру в те, що успішний аудит гарантує безпеку. Сканлон стверджує, що аудити виявляють лише невелику частину потенційних вразливостей і часто не враховують складніші вектори атак.
Крім того, він підкреслив щоденну частоту цих зломів. Виконавчий директор зазначив, що за останні два місяці було виявлено три основні помилки повторного входу. Він попередив, що ці інциденти не є ізольованими, а вказують на глибші архітектурні недоліки.
«Якщо розробка продовжиться на Ethereum з використанням коду Solidity, ці загрози, на жаль, погіршаться протягом наступних п’яти років, оскільки зростає прийняття блокчейну. Більша інтеграція з традиційними фінансами означає цілі з вищою вартістю, тоді як зростаюча складність створює більше поверхні для атак», прокоментував Сканлон.
Для контексту, помилка повторного входу – це вразливість у смартконтрактах, коли зовнішній виклик, зроблений контрактом, може повернутися до контракту до завершення початкового виконання. Це дозволяє зловмиснику неодноразово виконувати функцію, потенційно виводячи кошти або маніпулюючи контрактом у непередбачуваний спосіб. Відомим прикладом є злом DAO у 2016 році.
Співзасновник Movement Labs також згадав атаку на Kyber як приклад того, як простий переповнення цілого числа може призвести до катастрофічних наслідків. Проте він визнав, що жоден розробник або аудитор не може реально виявити вразливості на такому детальному рівні в тисячах рядків коду Solidity. Сканлон стверджував, що кожен традиційний протокол має ці внутрішні ризики.
«Оскільки великі банки, платіжні процесори та біржі будують на цих системах, вразливості, які раніше впливали лише на криптоентузіастів, тепер загрожують ширшій фінансовій екосистемі», він наголосив.
Щоб вирішити ці ризики, він вважає, що рішення полягає у відході від застарілих архітектур і прийнятті більш безпечних, сучасних дизайнів. Він звернув увагу на використання Movement Labs мови програмування Move.
Сканлон пояснив, що вона усуває загальні вразливості завдяки своєму ресурсно-орієнтованому дизайну та формальній верифікації. За його словами, Move спеціально розроблена для запобігання цілим класам вразливостей.
«Move представляє революційне покращення порівняно з існуючими платформами смартконтрактів», Сканлон відстоював.
Розумні контракти та фінансові системи: шлях до інтеграції
На тлі цих ризиків Сканлон стверджував, що блокчейн-мережі потребують стандартизованих протоколів безпеки. Однак він наголосив, що традиційні моделі не можуть бути безпосередньо застосовані.
Він окреслив, що перед інтеграцією децентралізованих систем фінансові інститути повинні спочатку зрозуміти унікальні виклики безпеки, які ставить блокчейн.
«Фінансові інститути, які прагнуть інтегрувати децентралізовані системи, повинні розуміти, що блокчейн-транзакції не можуть бути скасовані. Це означає, що в блокчейні експлойти часто є незворотними. Ця фундаментальна різниця вимагає повного переосмислення управління ризиками, але також вказує на унікальну цінність децентралізованої технології», Сканлон розповів BeInCrypto.
Сканлон також звернув увагу на необхідність еволюції регуляторних підходів. Він зазначив, що традиційні фінанси та децентралізовані системи більше не є окремими сферами — вони стають все більш інтегрованими.
Проте він зазначив, що більшість чинних регуляторних рамок залишаються вкоріненими в застарілих питаннях. Вони здебільшого зосереджені на традиційних питаннях, таких як дотримання вимог «Знай свого клієнта» (KYC) та боротьба з відмиванням грошей (AML), а також захист інвесторів.
Ці рамки, попередив Сканлон, ігнорують глибші технологічні ризики, які можуть спричинити системні збої у світі блокчейну. Що, за його словами, потрібно індустрії, так це ясність.
«Уряди повинні працювати над встановленням чітких законів щодо блокчейну загалом, щоб інноватори та розробники мали ресурси та спокій для створення безпечних, захищених ланцюгів та додатків», — зауважив Сканлон.
Він стверджував, що увага має бути зосереджена на створенні середовища, де інновації в галузі безпеки можуть процвітати, а не на впровадженні універсальних стандартів.
Чому людська психологія сприяє успіху шахрайств
Окрім вирішення вразливостей у інфраструктурі смартконтрактів, Сканлон також обговорив зростання кількості шахрайств з мемкоїнами, які поширені на платформах соціальних мереж. Нещодавно хакери націлилися на багатьох знаменитостей, експертів індустрії та політичних лідерів, захоплюючи контроль над їхніми обліковими записами в X для просування шахрайських токенів.
Сканлон пояснив, що ці інциденти зростають через асиметричні винагороди, які вони приносять. З мінімальними технічними зусиллями шахраї можуть отримати значні прибутки.
«Ці атаки соціальної інженерії принципово відрізняються від вразливостей смартконтрактів. Вони експлуатують людську психологію, а не недоліки коду», — поділився Сканлон з BeInCrypto.
Для боротьби з цими загрозами Сканлон наголосив, що платформи соціальних мереж потребують більш досконалих систем виявлення для ідентифікації скомпрометованих облікових записів та запобігання просуванню шахрайств. Він також закликав до покращення аналітики на ланцюгу для виявлення та позначення підозрілих контрактів токенів до того, як вони наберуть обертів.
Він підкреслив важливість покращення ресурсів для перевірки легітимності проектів. Крім того, він запропонував, щоб протоколи включали більш сильні заходи перевірки.
Сканлон підсумував, що довгострокове рішення полягає в покращенні технологій. Він наголосив на необхідності культивування екосистеми, яка пріоритетно ставить безпеку на кожному рівні, від проектування коду до користувацького досвіду. Сканлон стверджував, що спільнота повинна бути на першому місці. Тому захист її від цих загроз є надзвичайно важливим.
Дисклеймер
Відповідно до принципів проєкту Trust Project, ця авторська стаття представляє точку зору автора і не обов'язково відображає погляди BeInCrypto. BeInCrypto залишається прихильником прозорої звітності та дотримання найвищих стандартів журналістики. Читачам рекомендується перевіряти інформацію самостійно і консультуватися з професіоналами, перш ніж приймати рішення на основі цього контенту. Зверніть увагу, що наші Загальні положення та умови, Полiтика конфіденційності та Дисклеймер були оновлені.
