Alalahanin sa Seguridad ng Cryptocurrency
Ang mga alalahanin sa seguridad ng cryptocurrency ay lumalala matapos ipahayag ni Manuel Aráoz, co-founder ng OpenZeppelin, na inirerekomenda niya sa kanyang mga kaibigan at pamilya na umalis sa lahat ng posisyon sa decentralized finance (DeFi), kabilang ang mga pangunahing lending protocol. Sa isang post na inilathala noong Martes sa X, sinabi ni Aráoz na hindi na niya itinuturing na “ligtas ang lahat ng DeFi,” at binigyang-diin na ang balanse sa pagitan ng mga umaatake at mga tagapagtanggol ay masyadong nakahilig pabor sa mga hacker.
Babala ni Aráoz
“PSA: Itinuturing ko na ngayon na hindi ligtas ang lahat ng DeFi. Ang mga hacker ay tila superhuman sa paghahanap ng mga kahinaan, at ang seguridad ng smart contract ay masyadong asymmetric: kailangan ng mga tagapagtanggol na ayusin ang bawat bug habang ang mga umaatake ay nangangailangan lamang ng isang exploit upang nakawin ang mga pondo,” aniya.
Ipinahayag ni Aráoz ang kasalukuyang estado ng seguridad ng smart contract, na nagsasabing ang mga hacker ay naging “superhuman sa paghahanap ng mga kahinaan,” habang ang mga developer ay nahaharap sa isang sistema kung saan “kailangan ng mga tagapagtanggol na ayusin ang bawat bug habang ang mga umaatake ay nangangailangan lamang ng isang exploit upang nakawin ang mga pondo.”
Kasaysayan ng mga Pag-atake
Dumating ang mga komento ni Aráoz habang patuloy na humaharap ang industriya ng crypto sa isa sa mga pinaka-mapaminsalang panahon para sa mga DeFi exploit mula noong $1.5 bilyong Bybit hack noong Pebrero 2025. Ayon sa data mula sa DefiLlama, humigit-kumulang $629.7 milyon ang ninakaw mula sa mga DeFi protocol noong Abril lamang, na ginawang pinakamasamang buwan para sa mga hack na may kaugnayan sa crypto sa loob ng higit sa isang taon.
Dalawang pag-atake ang nag-ambag sa karamihan ng mga pagkalugi. Kabilang sa pinakamalaking insidente, ang Drift Protocol ay nawalan ng humigit-kumulang $285 milyon matapos umanong gumamit ang mga umaatake ng isang social engineering campaign na tumagal ng anim na buwan. Ang Kelp DAO ay nakaranas ng isa pang $293 milyong exploit na nakatali sa mga kahinaan sa imprastruktura ng kanilang cross-chain bridge. Malawak na iniuugnay ng mga mananaliksik sa seguridad at mga investigator ng blockchain ang parehong mga pag-atake sa mga grupong hacker na suportado ng estado ng North Korea.
Mga Insidente ng DeFi Exploit
Naitala ng DefiLlama ang 27 insidente ng DeFi exploit noong Abril. Sa parehong oras, ang kabuuang halaga na nakalakip sa mga DeFi protocol ay bumaba ng humigit-kumulang 14% mula sa mga antas ng kalagitnaan ng Abril, bumagsak mula sa halos $172 bilyon patungo sa humigit-kumulang $148 bilyon. Ang konsentrasyon ng mga pagkalugi ay nagmula sa mga kahinaan na may kaugnayan sa bridge, mga pagkukulang sa pribilehiyong pag-access, at mga operational na pagkakamali sa halip na mga nakahiwalay na coding bug lamang.
Sa labas ng dalawang pinakamalaking paglabag, patuloy na tinamaan ng ilang mas maliliit na pag-atake ang mga protocol sa buong buwan. Tulad ng naunang iniulat ng crypto.news, ang Wasabi Protocol ay nawalan ng humigit-kumulang $5.5 milyon sa mga network ng Ethereum, Base, Blast, at Berachain sa panahon ng isang aktibong exploit. Iniulat din ng move-to-earn platform na Sweat Economy ang mga pagkalugi ng humigit-kumulang $3.46 milyon matapos na maubos ng mga umaatake ang halos 65% ng kanilang liquidity pool sa loob ng wala pang 30 segundo.
Mga Patuloy na Insidente
Samantala, sa Sui blockchain, ang decentralized trading platform na Aftermath Finance ay nawalan ng halos $1.1 milyon sa USDC mula sa kanilang perpetuals platform. Sinabi ng blockchain security firm na Blockaid na ang umaatake ay nagsagawa ng 11 transaksyon sa loob ng humigit-kumulang 36 na minuto. Nadiskubre at itinaguyod ng Blockaid ang isang aktibong exploit sa Perpetuals kung saan ang USDC ay naubos sa 11 transaksyon sa ~36 na minuto ng umaatake.
Bagaman ang Mayo ay hindi nagbigay ng mga pagkalugi sa sukat na nakita noong Abril, patuloy ang mga insidente ng seguridad sa sektor ng DeFi. Kabilang sa mga pinakabagong kaso, ang Ethereum bridge ng Verus Network ay na-exploit para sa $11.6 milyon. Ang prediction market platform na Polymarket ay nagbigay din ng ulat ng $573,200 na paglabag noong nakaraang linggo na sinabi ng kumpanya na maaaring may kinalaman sa isang compromised private key na nakatali sa isang internal top-up wallet.
