Offentliggjøring
Synspunktene og meningen som uttrykkes her tilhører utelukkende forfatteren og representerer ikke nødvendigvis synspunktene til redaksjonen i crypto.news.
DeFi under angrep
DeFi er under angrep—men ikke fra de truslene industrien er vant til å forsvare seg mot. Mens utviklere grundig skanner kodelinjer for sårbarheter, har angriperne endret taktikk, og utnytter økonomiske svakheter som ligger umerket under det som tilsynelatende er feilfri programmering.
For eksempel, utnyttelsen av JELLY-tokenet på Hyperledger, der angriperne klarte å siphonere over 6 millioner dollar fra Hyperledgers forsikringsfond, er et primært eksempel. Denne utnyttelsen skylden ikke på kodefeil, men på spillbare insentiver og latent risiko som ingen hadde undersøkt.
Begrensninger av smarte kontraktsrevisjoner
DeFi-cybersikkerhet har kommet langt. Revisjoner av smarte kontrakter—designet for å fange feil i programvarekoden—er nå normen. Men det er presserende å utvide omfanget utover bare kodelinjer. Revisjoner av smarte kontrakter er fundamental utilstrekkelige med mindre de også analyserer økonomiske og spillteoretiske risikoer.
Industriens overdrevne avhengighet av koderettede revisjoner er utdatert og farlig, og etterlater prosjekter sårbare for en uendelig syklus av angrep. I mars 2025 ble Hyperliquids børs, som hadde fått sine kontrakter revidert, angrepet av en utnyttelse på 6 millioner dollar som involverte sitt JELLY-token.
Angriperne fant ikke en bug i koden; de konstruerte en short squeeze ved å misbruke Hyperliquids egen likvidasjonslogikk, pumpet prisen på JELLY, og manipulerte plattformens risikoparametre.
Eksempler på angrep
Rett før JELLY-hendelsen ble Polter Finance, en utlånsprotokoll på Fantom, tappet for 12 millioner dollar gjennom et flash-lånsangrep, en annen vanlig type angrep som er avhengig av økonomiske faktorer, ikke kodefeil.
Angriperen opprettet flash-lån og manipulerte prosjektets prisorakel, og fikk systemet til å behandle verdiløse eiendeler som om de var milliarder i verdi. Koden utførte nøyaktig det den skulle, men designen var feil, noe som gjorde det mulig for en ekstrem prisbevegelse å konkursføre plattformen.
Manglende analyse av økonomiske risikoer
Denne utviklingen er ikke isolert; det er en del av et voksende mønster i DeFi. I sak etter sak utnytter kyndige motstandere protokoller ved å manipulere markedsinnganger, insentiver eller styringsmekanismer for å utløse utfall utviklerne ikke hadde forutsett.
Tradisjonelle revisjoner sjekker om «koden gjør det den skal», men hvem sjekker om «hva den skal gjøre» gir mening under fiendtlige forhold?
Behov for en ny tilnærming
Med DeFi-protokoller som lever i et dynamisk, fiendtlig miljø, er det kritisk at revisjoner fyller gapet og identifiserer sårbarheter i insentivdesign og økonomisk logikk.
Virkelig grundige revisjoner inkluderer spillteoretisk og økonomisk analyse, samt granskning av avgiftsmekanismer, likvidasjonsformler, eiendelparametre og styringsprosesser.
Protokollgründerne bør be revisorer undersøke alle komponentene i et handelssystem, inkludert implisitt logikk og off-chain komponenter, for å sikre omfattende sikkerhet.
Oppsummering
Som gründer eller investor er det kritisk å spørre revisorene: Hva med oracle-manipulering? Hva med likviditetskrisescenarier? Har du analysert tokenomics for angrepsvektorer? Kostnaden ved disse blinde punktene er rett og slett for høy.
Å inkludere økonomisk og spillteoretisk analyse er ikke bare en «fin å ha»; det er et spørsmål om overlevelse for DeFi-prosjekter. Vi trenger å dyrke en kultur der kodegjennomgang og økonomisk gjennomgang går hånd i hånd for hver større protokoll. La oss heve standarden nå—før enda en multimillion-dollar leksjon tvinger oss til å handle.
