Divulgação: As opiniões e opiniões expressas aqui pertencem apenas aos autores e não representam as opiniões ou opiniões do editorial do Crypto.News.
Defi está sob ataque, mas não das ameaças usadas pelo setor para defender. Os desenvolvedores examinam cuidadosamente as linhas de código em busca de vulnerabilidades, mas os invasores mudam de táticas e aproveitam as fraquezas econômicas despercebidas sob programação perfeita.
Por exemplo, um token de geléia explora em Hyperredgar, onde um atacante poderia suportar mais de US $ 6 milhões do Fundo de Seguros da Hyperredgar. Essa exploração não é causada por erros de codificação, mas por incentivos de treliça e riscos inestimáveis que ninguém examinou.
Defi cibersegurança percorreu um longo caminho. A auditoria de contratos inteligentes, projetada para capturar bugs no código de software, é o padrão atualmente. Mas você precisa estender esse intervalo além de apenas uma linha de código. As auditorias de contratos inteligentes são essencialmente insuficientes, a menos que você também analise os riscos econômicos e teóricos de jogos. A dependência excessiva da auditoria somente de código do setor é desatualizada e perigosa, e os projetos são vulneráveis a ciclos de ataque sem fim.
Ataques recentes impulsionam o risco de exploração econômica
Em março de 2025, a Hyperliquid Exchange, que auditou o contrato, foi emboscada por uma exploração de US $ 6 milhões contendo tokens de geléia. como? O atacante não encontrou erros no código. Eles projetaram uma abertura curta, abusando da lógica de liquidação da Hyperliquid, bombeando os preços da Jelly e manipulando parâmetros de risco na plataforma.
Em outras palavras, os designers de hiperlíquidos não fizeram preço de ações específicas do mercado. Esta é uma vigilância que as auditorias tradicionais não capturaram. O caso hiperlíquido mostra que os projetos não podem ser salvos baseados em suposições econômicas instáveis.
Pouco antes do incidente da geléia, o protocolo de empréstimos da Fantom, Polter Finance, foi lançado US $ 12 milhões no ataque de empréstimo flash. Esse é outro tipo comum de ataque que se baseia em economia que não codifica vulnerabilidades. O atacante pegou o empréstimo flash, manipulou o oráculo do preço do projeto e levou o sistema a tratar garantias indignas como bilhões de valor.
O código fez exatamente o que deveria ser, mas o design era falho, permitindo um balanço de preço extremo para falir a plataforma. A exploração provou ser tão devastadora que o projeto promissor, Polter Finance, foi forçado a fechar as operações.
Estes não são ataques/eventos isolados. Eles fazem parte do padrão de crescimento do defi. Em casos pós-caso, os inimigos inteligentes alavancam os protocolos, manipulando os mecanismos de entrada, incentivos ou governança do mercado para acionar os resultados que os desenvolvedores não esperavam. Vimos fazendas atingidas por brechas de recompensa, pinos estáveis atacados através de movimentos coordenados do mercado e fundos de seguro emitidos por extrema volatilidade.
Auditoria aprimorada por meio da análise econômica e de teoria dos jogos
As auditorias tradicionais verificam se “o código faz o que deve ser”, mas você verifica se “o que deve ser” faz sentido em condições adversárias? Ao contrário dos programas fechados, o Protocolo Defi vive em um ambiente dinâmico e hostil. Os preços flutuam, os usuários adaptam estratégias e protocolos se interconectam de maneiras complexas.
A maioria das equipes do Web3 possui engenheiros que podem capturar bugs de software durante o desenvolvimento, mas têm pouca experiência econômica interna. É importante que as auditorias preencham essa lacuna e identifiquem vulnerabilidades no design de incentivos e na lógica econômica.
Uma auditoria verdadeiramente rigorosa envolve o escrutínio de mecanismos de taxas, fórmulas de liquidação, parâmetros colaterais, processos de governança e muito mais. Eles disseram ao auditor: “Dadas essas regras, como alguém pode se beneficiar de dobrá -las?”
Por exemplo, durante uma auditoria conduzida pela Oak Security, descobrimos que os fundos de seguro em plataformas de troca permanente poderiam ser totalmente descarregados por volatilidade porque não consideraram o “risco de Vega” (sensibilidade ao protocolo à volatilidade) no modelo de precificação. Este não foi um bug de código, mas uma falha de design que causaria colapso no mercado turbulento. Apenas mergulhos profundos na teoria e economia dos jogos o capturaram. Felizmente, fomos capazes de sinalizar o problema antes do lançamento.
Essas explorações econômicas são bem documentadas e não são muito difíceis de encontrar, mas apenas superam quando o auditor faz as perguntas certas e pensa além do código na página.
Os fundadores precisam perguntar mais de seus auditores
Os fundadores do protocolo devem exigir que o auditor examine todos os componentes do sistema de negociação, incluindo lógica implícita e componentes fora da cadeia, para garantir uma segurança abrangente. No melhor cenário, toda a lógica de missão crítica é trazida para a cadeia.
Se você é um fundador ou investidor, é importante perguntar ao auditor. Que tal oraclemanipulação? E quanto aos cenários de trituração de liquidez? Você analisou a palestra Nêmica dos vetores de ataque? Se a resposta estiver silenciosa ou acenando, você precisa se aprofundar.
O custo desses pontos cegos é simplesmente muito alto. Não é apenas incorporado à análise econômica e da teoria dos jogos, como também não é “bom”. É uma questão de sobrevivência do projeto Defi. As revisões de código e as revisões econômicas precisam cultivar uma cultura que se acostuma a todos os protocolos -chave.
Levante a fasquia agora. Antes de outra lição de vários milhões de dólares, forçou nossas mãos.
Jan Philippe Fritz
Jan Philipp Fritche é o diretor -gerente da Oak Security, uma empresa de segurança cibernética especializada em auditoria da Web3. Antes de seu papel na segurança do Oak, o Dr. Fritz ganhou uma vasta experiência em econometria e modelagem de riscos, atendendo a posições em instituições como o Banco Central Europeu e Diuberlin. Ele é doutorado. Economia na Universidade Humboldt em Berlim.
