Utraty DeFi maleją, ale błędy atakują sześć łańcuchów jednocześnie

Straty w sektorze DeFi gwałtownie zmalały od szczytu w 2022 roku, lecz pojawia się nowy rodzaj zagrożenia – taki, który pozwala na wykradanie środków z kilku łańcuchów jednocześnie. Straty związane z protokołami w całej branży spadły z poziomu 2,62 miliarda dolarów w 2022 roku do 534 milionów dolarów w 2024 roku, czyli o 80%. To istotna poprawa bezpieczeństwa DeFi.

Eksploity mostów, dawniej odpowiedzialne za spektakularne kradzieże sięgające miliardów dolarów, obecnie stanowią jedynie niewielką część całkowitych strat w DeFi. Na przykład 1,9 miliarda dolarów utraconych na skutek dziewięciu ataków na mosty w 2022 roku – w tym słynna kradzież 624 milionów dolarów z Ronin Bridge – zmalało do zaledwie 3% strat przewidywanych na 2025 rok.

Brzmi to uspokajająco, dopóki nie weźmiemy pod uwagę nowego, bardziej podstępnego zagrożenia: powtarzalnego wdrażania identycznych baz kodu na różnych łańcuchach. Ta architektoniczna wygoda zamienia pojedynczy błąd w kodzie w podatność obejmującą wiele systemów. Przykładem jest listopadowa kradzież 128 milionów dolarów z Balancer V2 Composable Stable Pools, która dotknęła sześć blockchainów jednocześnie – Ethereum, Arbitrum, Base, Polygon, OP Mainnet oraz Sonic.

Sprawcą był błąd precyzji arytmetycznej, który umożliwiał atakującym manipulację sald tokenów poprzez przesuwanie wartości na granice zaokrągleń, a następnie wzmacnianie drobnych błędów w łańcuchu swapów aż do całkowitego wyczyszczenia środków. Wada ta przeszła przez jedenaście audytów bezpieczeństwa, co pokazuje, jak subtelne i skomplikowane potrafią być współczesne luki w DeFi.

Choć mediana strat na jeden incydent spadła z 6 milionów dolarów w 2022 roku do 1,5 miliona dolarów w 2025 roku, liczba indywidualnych ataków – 83 w ubiegłym roku – faktycznie wzrosła. Ten trend wskazuje na dojrzewanie bezpieczeństwa: ataki są częstsze, ale wyrządzają mniejsze szkody.

Ryzyko jednak się nie znika, tylko zmienia formę. W miarę jak ataki obejmujące wiele systemów stają się możliwe dzięki replikacji kodu, rośnie powierzchnia ataku, co może wywołać wstrząsy systemowe przekraczające ramy pojedynczych projektów, a nawet całych ekosystemów.

Traderzy i deweloperzy powinni być czujni na zagrożenia wynikające z podatności przy wdrażaniu kodów na różnych łańcuchach. Przypadek Balancer pokazuje, że same audyty nie wystarczą. Strategia obronna musi wykraczać poza podstawowe kontrole i obejmować analizę współdzielonych baz kodu na wszystkich obsługiwanych blockchainach.

Ethereum pozostaje centrum większości tych ataków, co czyni zmiany jego zabezpieczeń szczególnie ważnymi. Inwestorzy powinni uważnie śledzić kolejne aktualizacje protokołów i cykle poprawek, zwłaszcza gdy protokoły powielają kod na wielu Layer-2 lub sidechainach.

W miarę jak DeFi coraz głębiej wpisuje się w środowiska multi-chain, kolejne poważne ataki mogą nie dotyczyć już pojedynczych awarii mostów w jednym łańcuchu, lecz równoczesnych załamań wywołanych jednym wspólnym błędem. To podnosi poprzeczkę dla firm audytorskich i zespołów protokołów w kreowaniu naprawdę odpornych na cross-chain luki zabezpieczeń.