a16z Crypto предупреждает: DeFi следует отказаться от «превосходства кода», чтобы приоритетом стала нормативная база для борьбы с рисками уязвимостей на сумму 6.49 миллиардов долларов

20 января поступила информация: венчурная компания a16z Crypto опубликовала новые взгляды на безопасность, призывая протоколы децентрализованных финансов (DeFi) постепенно отказаться от долгосрочной концепции «Код — закон» (Code is Law) и перейти к принципам «Нормы — прежде всего» (Norms First), чтобы снизить риск возникновения частых уязвимостей. По данным, за последний год в индустрии DeFi из-за ошибок в коде и уязвимостей контрактов было нанесено ущерба на сумму уже 649 миллионов долларов, что делает вопросы безопасности ключевым барьером для зрелости отрасли.

Старший специалист по безопасности в a16z Crypto Daejun Park отметил, что в настоящее время DeFi по-прежнему в основном полагается на модель «послеисправления», то есть обновление или исправление после использования уязвимости. Такой подход становится все менее жизнеспособным на фоне увеличения масштабов средств. Он подчеркнул, что протоколы должны на этапе проектирования внедрять стандартизированные и исполнимые нормы поведения, прямо включать ограничения безопасности в логику работы системы, а не полностью полагаться на выполнение кода по заранее заданному сценарию.

Так называемый «приоритет норм» заключается в использовании предустановленных проверок неизменности и ограничений во время выполнения, чтобы ограничить допустимый диапазон действий протокола. Если транзакция вызывает аномальный режим или нарушает установленные правила, система может автоматически откатиться или прервать выполнение. Park отметил, что по опыту прошлых атак большинство уязвимостей отклоняются от нормального поведения во время исполнения, и наличие механизма принудительных норм позволяет блокировать атаки на ранних стадиях.

Эта дискуссия вновь выходит на передний план, связана с несколькими крупными инцидентами безопасности. Даже протоколы, функционирующие много лет, не могут полностью исключить риск уязвимостей, что подчеркивает структурные недостатки подхода, основанного исключительно на «коде — все решает». В то же время, с развитием искусственного интеллекта, который помогает хакерам сканировать уязвимости контрактов, безопасность DeFi сталкивается с новыми вызовами.

Однако в отрасли также отмечают, что «приоритет норм» — не универсальное решение. Дополнительные проверки во время выполнения могут увеличить стоимость газа и снизить конкурентоспособность протоколов с низкими затратами. Кроме того, не все пути атак можно заранее свести к правилам, некоторые сложные или редкие уязвимости все еще могут обходить механизмы проверки.

Тем не менее, все больше протоколов начинают внедрять проверки неизменности и формальные методы верификации для повышения устойчивости систем. В условиях расширения индустрии переход от «Кода — все решает» к «Нормам — прежде всего» рассматривается как важный шаг к зрелости DeFi и привлечению долгосрочного капитала.