Ang Krisis sa Seguridad ng DeFi at Cryptocurrency
Ang decentralized finance (DeFi) at cryptocurrency sector ay patuloy na humaharap sa isang malaking krisis sa seguridad, kung saan ang mga hacker ay nag-aalis ng bilyon mula sa mga protocol sa nakakabahalang bilis. Sa unang kalahati ng 2025, umabot sa $2.1 bilyon ang mga crypto exploits, halos katumbas ng kabuuang pagkalugi ng 2024, at naglalagay sa industriya sa landas upang masira ang mga nakaraang taunang rekord. Gayunpaman, sa gitna ng kaguluhang ito, isang ibang kwento ang lumilitaw. Ang mga bug bounty program ay nagpapatunay na ang pagbibigay ng insentibo sa mga ethical hacker ay maaaring lubos na baguhin ang ekonomiya ng cybersecurity, na ginagawang mas kumikita ang depensa kaysa sa atake.
Ang $25 Bilyong Rebolusyon sa Depensa
Nawalan ang mga DeFi protocol ng higit sa $1.4 bilyon sa mga hack noong 2024, kasama ang mga pangunahing insidente tulad ng $300 milyon DMM exploit at $230 milyon WazirX breach. Ang pinakamalaking insidente ay nangyari sa Bybit sa simula ng taong ito, kung saan $1.4B ang ganap na naubos. Gayunpaman, ipinakita ng ulat ng Hacken noong 2024 ang 40% na pagbaba sa mga pagkalugi ng DeFi kumpara sa 2023, na pangunahing iniuugnay sa mga pinahusay na hakbang sa seguridad, kabilang ang mas matibay na mga bug bounty program.
Ang bisa ng pamamaraang ito ay dramatikong ipinakita nang pigilan ng mga protocol ang malalaking pagkalugi sa pamamagitan ng mga estratehikong pagbabayad. Ang pinakamalaking software bounty sa kasaysayan, $10 milyon na binayaran ng Wormhole para sa isang kritikal na kahinaan sa tulay, ay malamang na nakapagpigil ng bilyon-bilyong potensyal na pinsala. Ang Immunefi, ang nangungunang Web3 bug bounty platform, ay nasa gitna ng pagbabagong ito. Ang kumpanya ay nakapagbigay ng higit sa $120 milyon sa mga bounty payouts habang sinasabi nitong nakapagpigil ng higit sa $25 bilyon sa mga potensyal na hack sa higit sa 500 protocol.
Pagbabago ng Ekonomiya ng Cybersecurity
Cryptonews: Sa pamamagitan ng paggawa ng depensa na mas kumikita kaysa sa atake, talagang binago mo ang ekonomiya ng cybersecurity. Maaari mo bang ipaliwanag ang isang tiyak na kaso kung saan ito ay nakapagpigil ng isang malaking exploit, at ano ang maaaring nakaligtaan ng tradisyunal na pamamaraan ng seguridad?
Mitchell Amador: “Noong 2022, isang whitehat ang nag-ulat ng isang kritikal na bug sa Wormhole core bridge contract sa Ethereum. Ang bug na ito ay isang upgradeable proxy implementation self-destruct bug na maaaring nagdulot ng potensyal na pag-lock ng mga pondo ng gumagamit. Ipinahayag nila ito sa pamamagitan ng bug bounty program ng Wormhole, na pinangunahan ng Immunefi, at nakapagbigay kami ng $10 milyon na payout na walang nawalang pondo ng gumagamit. Ito ang pinakamalaking software bounty kailanman—isang halagang nagbabago ng buhay na nagsisilbing insentibo para sa mga hacker na responsableng iulat ang mga kahinaan sa halip na samantalahin ang mga ito. Maliit na halaga ito kung ikukumpara sa bilyon-bilyong pondo na maaaring nawala kung isang blackhat ang nakatagpo ng bug. Ang mga tradisyunal na audit, static at pre-launch, ay hindi nakikita ang mga post-deployment vulnerabilities sa dynamic na mga sistema ng DeFi. Ang aming patuloy na bug bounties ay ginagaya ang mga taktika ng blackhat sa etikal na paraan, nahuhuli ang mga hindi nakikita o hindi kayang makita ng mga audit.”
Mga Natatanging Hamon sa Seguridad ng Web3
CN: Binanggit mo na ang tradisyunal na cybersecurity ay nabibigo sa open-source na mundo ng Web3. Ano ang 2-3 pinaka-kritikal na blind spots na mayroon ang mga enterprise security teams kapag sinusubukan nilang i-secure ang mga DeFi protocol?
Amador: “Ang aspeto ng composability ay partikular na kritikal at madalas na hindi napapansin. Sa tradisyunal na pananalapi, ang mga sistema ay pangunahing nakahiwalay, ngunit ang mga DeFi protocol ay dinisenyo upang makipag-ugnayan sa isa’t isa tulad ng mga Lego blocks. Ito ay lumilikha ng exponential complexity kung saan ang isang kahinaan sa isang protocol ay maaaring mag-cascade sa buong ecosystem. Ang mga kamakailang datos mula sa pagsusuri ng Halborn ay nagpapakita na ang mga off-chain attacks ay nag-account para sa 80.5% ng mga ninakaw na pondo noong 2024. Gayunpaman, marami pa ring mga security teams ang nakatuon sa smart contract code sa halip na sa mas malawak na attack surface.”
Ang Human Side ng Negosasyon sa Hacker
CN: Kapag ikaw ay personal na nakikipag-ayos sa mga hacker na nakatagpo ng mga kritikal na kahinaan, ano ang talakayang iyon? Paano mo binabalanse ang pangangailangan ng agarang aksyon at ang pagtitiwala?
Amador: “Ang pag-asa sa pagbabago ng puso ng isang hacker ay hindi isang maaasahang estratehiya para sa seguridad ng protocol. Karamihan sa mga hacker ngayon ay nauunawaan na ang paghawak ng ninakaw na crypto ay mas maraming abala kaysa sa halaga nito. At ito ay dahil sa mas mahusay na on-chain forensics at ang napaka-totoong reputasyonal at legal na mga panganib ng paghawak ng mga marked funds. Mas madali para sa isang attacker na makipag-ayos nang tahimik at lumipat, sa halip na labanan ang patuloy na pagsusuri o maging pokus ng mga awtoridad. Ngunit huwag magkamali, ito ay hindi isang karaniwang kinalabasan.”
Paglipat ng Talento at Ebolusyon ng Seguridad
CN: Nakikita mong umaalis ang mga nangungunang talento sa seguridad mula sa tradisyunal na teknolohiya patungo sa crypto. Ano ang nagtutulak sa paglipat na ito, at paano ito nagbabago sa skill profile ng mga propesyonal sa seguridad?
Amador: “Ang talento ay lumilipat sa paghahanap ng tiwala at transparency na likas sa mga sistema ng Web3, mga insentibo sa pananalapi (tulad ng aming $10M para sa Wormhole), at pagkilala ng komunidad. Ang talento sa seguridad ay decentralized, blockchain-savvy, at economically-minded, na bumubuo ng mga collaborative na ‘swarms’ sa kaibahan sa mga nakahiwalay na tungkulin ng Web2.”
Mga Umuusbong na Banta at Legal na Frameworks
CN: Sa pagtingin sa mga protocol na iyong pinoprotektahan, ano ang isang umuusbong na attack vector na hindi pa masyadong pinag-uusapan ngunit dapat paghandaan?
Amador: “Ang oracle manipulation ay hindi gaanong napag-uusapan. Ang mga attacker ay maaaring samantalahin ang mahihinang data feeds upang lokohin ang mga kontrata, na nag-aalis ng mga pondo o nagdudulot ng destabilization sa mga stablecoin. Ang mga protocol ay nangangailangan ng multi-oracle redundancy at targeted bounties, ngunit marami ang hindi napapansin ang kritikal na single point of failure na ito.”
Etika at Hinaharap na Ebolusyon
CN: Sa higit sa $180 bilyon sa mga digital assets na nasa ilalim ng proteksyon sa higit sa 500 protocol, paano nakakaapekto ang iyong modelo sa pag-iisip ng ibang industriya tungkol sa pagbibigay ng insentibo sa pananaliksik sa seguridad?
Amador: “Ang aming higit sa $120 milyon sa mga payouts ay nagpapatunay na ang mga insentibong pinansyal ay epektibo. Ang pananalapi at pangangalaga sa kalusugan ay nag-aadopt din ng crowdsourced security, na na-inspire ng aming arbitration at proactive na modelo, na itinuturing ang seguridad bilang imprastruktura sa halip na isang gastos.”
CN: Limang taon mula ngayon, paano mo nakikita ang relasyon sa pagitan ng mga hacker, kumpanya, at seguridad na umuunlad lampas sa mga bug bounties?
Amador: “Ang mga kumpanya ay magbibigay-diin sa mga insentibong ekonomiya, nakikipagtulungan sa mga hacker bilang mga kasosyo. Ang on-chain arbitration ay magtatakda ng mga pamantayan ng pamamahala, na ginagawang patuloy at collaborative ang seguridad sa iba’t ibang industriya.”
