Взлом Kelp DAO на $292 млн обнажил уязвимости DeFi и усилил требования к безопасности

Эксплойт Kelp DAO на $292 млн и последующие потрясения на рынках криптокредитования пришлись на момент, когда децентрализованные финансы (DeFi) пытаются стать ближе к институциональным деньгам. Инцидент совпал с тем, что компании с Уолл-стрит активнее заходят в ончейн-сегмент, и показал: отдельные элементы инфраструктуры по-прежнему хрупки, а до масштабного участия институтов работы еще много. За несколько недель до атаки гигант частного кредитования Apollo Global Management (APO), управляющий $900 млрд, заключил стратегическое партнерство с Morpho для поддержки рынков кредитования, включая опцион на приобретение governance-токенов протокола. Примерно в тот же период крупнейший в мире управляющий активами BlackRock (BK) вывел на децентрализованную биржу Uniswap свой токенизированный фонд денежного рынка. По словам источников в отрасли, взлом вряд ли остановит продвижение традиционных финансов (TradFi) в ончейн, но подчеркнул, что именно DeFi нужно исправить до прихода более крупных пулов капитала. Ник Черни, руководитель по инновациям в Janus Henderson (около $500 млрд под управлением), отметил, что DeFi-платформы предлагают новые способы более эффективно использовать капитал, а "первопроходцы всегда сталкиваются с рисками". Он добавил, что сбои вроде эксплойта Kelp DAO способны замедлить темп, но одновременно вынуждают индустрию улучшаться. "Это точно лежачий полицейский, но не тупик", — сказал Черни. В долгосрочной перспективе, по его оценке, уже формируется сдвиг: токенизированные активы реального мира — фонды, облигации и кредитные инструменты — начинают служить опорой DeFi-рынков, привнося юридические рамки и контроль рисков, выстроенные TradFi за десятилетия. Подобные эпизоды могут ускорить этот переход, считает Черни. Для специалистов по безопасности вывод звучит жестче: текущих механизмов защиты недостаточно. "DeFi и ончейн-управление активами работают в среде с крайне враждебной моделью угроз", — заявил Пол Вижендер, руководитель направления безопасности в Gauntlet. "Система настолько защищена, насколько защищено ее самое слабое звено". Эта логика подталкивает рынок к более комплексной обороне. По словам Вижендера, подход zero trust — когда ни один компонент системы изначально не считается безопасным — становится практически неизбежным. На практике это означает многослойную защиту: непрерывный мониторинг, более строгие ограничения, встроенные резервные механизмы, отказ от опоры на единственный "предохранитель". Евгений Гохберг, основатель управляющей компании цифровыми активами Re7 Capital, заявил, что многие отраслевые "лучшие практики" пора перевести в разряд обязательного минимума. Среди них — timelock для ключевых действий управления, более жесткий контроль multisig, более строгие требования к обеспечению и усиленные меры защиты мостов, которые остаются одной из самых частых точек отказа в DeFi. "Индустрия должна воспринимать это как базовые требования, а не как best practice", — подчеркнул он. Генеральный директор Centrifuge Labs Бхаджи Иллюминати считает, что происходящее — часть ускоренной эволюции финансовой инфраструктуры. "У TradFi были десятилетия, чтобы нарастить слои защиты", — сказала она. "DeFi делает то же самое, но в куда более сжатые сроки". Чтобы институты могли распределять капитал в DeFi в значимых объемах, по ее словам, должны быть выполнены несколько условий. Первое — ясность: инвестор должен точно понимать, чем владеет, при наличии проверяемого обеспечения и юридических конструкций, отражающих реальные риски. Второе — надежность: смарт-контракты, оракулы и процессы управления должны работать предсказуемо и поддаваться аудиту. Третье — ликвидность, сохраняющая устойчивость под нагрузкой, чтобы капитал мог входить и выходить без искажения рынков. "Открытость и безопасность не противоречат друг другу", — сказала Иллюминати. "Цель — сделать доверие явным и проверяемым". Она добавила, что дальше каждый уровень DeFi-стека должен считать безопасность приоритетом номер один, и это становится особенно важным "в эпоху искусственного интеллекта". Читайте также: ИИ усугубляет проблему безопасности криптоиндустрии, предупреждает CTO Ledger