Aztec Connect’i rünnak näitab, miks vanad DeFi-lepingud võivad endiselt olla ohtlikud

Vanal Aztec Connecti leping on taas tõstatanud tuttava DeFi riski: loobitud infrastruktuur ei lähe ohtlikust vähem ohtlikuks lihtsalt seetõttu, et toode pole enam aktiivne.

TL;DR

• Teatati, et vananenud Aztec Connecti lepingut oli rünnatud umbes 2,1 miljoni dollari eest.
• See probleem illustreerib püsivat DeFi probleemi: vanad lepingud võivad jääda elusse isegi pärast toote sulgemist.
• Suurem õppetund on see, et sulgemine nõuab aktiivset riskihaldust, mitte lihtsalt teadet kasutajatele, et nad peaksid lahkuma.

Probleem „vananenud“ märgistusega

Ohutusuuringute teadlase postitus avaldas võimaliku rünnaku Aztec Connectile, kus arvatakse, et umbes 2,1 miljonit dollarit üle kantud muutumatu (immutable) nutikas lepingust. Üksikasju tuleb siiski hoolikalt käsitleda, sest esmane allikas on teadlase avaldus, mitte täielik pärast-sündmuste analüüs (post-mortem). Kuid üldine probleem on juba selge: vanad DeFi lepingud võivad jääda elusse, rahaga täidetud ja rünnatavaks palju pärast seda, kui enamik kasutajaid neist enam ei mõtle.

Tavalises tarkvaras kaob vananenud toode tavaliselt aeglaselt ära. Kasutajad lõpetavad selle allalaadimise, ettevõtted lõpetavad selle toe ja lõpuks kaob see taustale.

DeFi ei tööta nii. Nutikas leping võib jääda ahelas igavesti. Kui see sisaldab vahendeid või kui sellele on mingil viisil juurdepääs vahenditele, siis seda saab ikka rünnata. Esipind võib olla kadunud. Meeskond võib olla edasi liikunud. Dokumentatsioon võib kasutajatel paluda vahendid välja võtta. Kõik see ei ole aga oluline rünnakutele suunatud inimesele, kes vaatab otse lepingut.

Muutumatus on kaheotsmeline

Aztec Connecti juhtum on eriti ebamugav, sest lepingut kirjeldatakse muutumatuna. DeFis peetakse muutumatust sageli tunnuseks. See tähendab, et kasutajatel ei pea olema usaldust meeskonna vastu, et see hiljem reegleid ei muudaks.

Kuid muutumatus eemaldab ka hädaolukorras kasutatavad võimalused.

Kui elus lepingus esineb probleem ja administraatorikontroll puudub, ei pruugi meeskonnal olla võimalust lepingut peatada, uuendada või parandada. See võib jätta kasutajad sõltuvusse sellest, kas vahendid on juba välja võetud ning kas ülejäänud väärtust saab kaitsta muude vahenditega.

See on kompromiss, millega DeFi endiselt silmitsi seisab. Uuendatavus teeb tekkida usaldus- ja valitsemisriske. Muutumatus teeb tekkida reageerimisriske.

Vanade lepingute jaoks on vaja tegelikke sulgemiskavasid

Sellest juhtumist ei saa lihtsalt järeldada, et „vanad lepingud on halvad“. Järeldus on pigem see, et sulgemine tuleb käsitleda ohutusjuhtumena.

Vastutustundlik sulgemine peaks hõlmama korduvaid kasutajate hoiatusi, võimaluse korral väljavõtmiste tähtaegu, jälgimist pärast sulgemist, selget dokumentatsiooni ja avalikku riskikommunikatsiooni. Kui vanades lepingutes jääb olulisi vahendeid, peavad meeskonnad eeldama, et rünnakutele suunatud inimesed jälgivad neid endiselt.

See kehtib eriti privaatsuse, sildade (bridge), rollup’ide ja ristahela (cross-chain) süsteemide puhul, kus lepingute loogika võib olla keerulisem ja vigade ilmnemise viise ei pruugi tavalised kasutajad nii lihtsalt märkida.

Mida kasutajad sellest õppida saavad

Kasutajate jaoks on reegel lihtne: ärge jätkake vahendeid vananenud lepingutesse, kui sellel ei ole väga selget põhjust.

Kui protokoll palub kasutajatel vahendid välja võtta, võtke see tõsiselt. Kui esipind sulgub, ärge eeldage, et risk on läinud. Kui leping on vana, ei ole seda praeguses olekus auditeeritud või seda ei jälgita enam, võib olla turvalisem käsitleda seda kui vaenulikku infrastruktuuri.

Aztec Connecti insident on veel üks meenutus, et DeFi riskil on pikk „saba“. Tooted võivad kaduda turuvestlustest, samas kui nende lepingud jäävad ahelas olemas, ootamas, et keegi leiaks järgmise nõrga koha.

Allikad

• Ohutusuuringute teadlase avaldus
• Aztec ametlik veebisait