Vuosikymmeniä DeFi-ala on käsitellyt turvallisuutta puhtaana teknisenä ongelmana – jotain, mitä voitiin ratkaista paremmalla koodilla, tiukemmilla auditoinneilla ja formaalisella verifioinnilla. Kuitenkin Drift-tapaus, jossa menetykset yltivät 270 miljoonaan dollariin, on mullistanut tämän käsityksen. Se osoittaa, että todelliset haavoittuvuudet eivät välttämättä sijaitse koodikannassa, vaan ne piilevät paljon monimutkaisemmissa, ihmisiin liittyvissä operaatioissa.
Drift-protokollan takana oleva tiimi on selventänyt, että hyökkäys ei ollut älykkään koodin manipulointia. Sen sijaan se toteutettiin monien maiden välillä tapahtuvien henkilökohtaisten tapaamisten ja huolellisesti rakennetun luottamuksen kautta. Väitetysti Pohjois-Korean toimesta toteutettu hyökkääjät eivät vain löytäneet järjestelmän heikkouksia; he integroituivat siihen. Tämä uusi uhkatyyppi pakottaa koko hajautetun rahoituksen ekosysteemin syvälliseen pohdintaan.
Alexander Urbelis, ENS Labsin tietoturva-johtaja (CISO), väittää, että itse kehystys on vanhentunut. "Meidän on lopetettava näiden kutsuminen 'hakoiksi' ja aloitettava kutsuminen oikein: tiedustelutoimintoiksi," Urbelis toteaa. "Ne ihmiset, jotka esiintyivät konferensseissa, jotka tapaivat Driftin kehittäjiä henkilökohtaisesti useissa maissa, jotka tallettivat miljoonan dollarin omaa rahaa luottamuksen rakentamiseksi – se on ammattitaito. Se on sitä, mitä odottaisi tapausvirkailta, ei hakkerilta."
Jos tämä kuvaus pitää paikkansa, Drift edustaa uutta toimintatapaa: hyökkääjät käyttäytyvät vähemmän opportunistisina hakkerina ja enemmänkin kärsivinä operaattoreina, jotka sijoittuvat sosiaalisesti ennen on-chain-hyökkäystä.
David Schwed, SVRN:n toimitusjohtaja ja entinen CISO, näkee Driftin tapauksen herättävänä varoituksena. Hän korostaa, että vaikka protokolla olisi tiukimmin auditoitu, se voi silti epäonnistua, jos joku kehittäjä kompromettoituu. "Nämä eivät ole yksinkertaisia hyökkäyksiä. Nämä ovat huolellisesti suunniteltuja, kuukausia kestäneitä operaatioita, joissa on omistettu resursseja, keinotekoisia identiteettejä ja tarkoituksellinen inhimillinen elementti. Se inhimillinen elementti on monille organisaatioille Akillespolvi," Schwed sanoo.
Monet DeFi-tiimit ovat pieniä, nopeasti liikkuvia ja perustuvat luottamukseen. Kun vain muutama yksilö hallitsee kriittistä pääsyä, yhden kompromettoiminen voi olla riittävä. Tämän vuoksi protokollat joutuvat päivittämään turvallisuusstrategioitaan. Jupiter, Solana-alustan suuri DeFi-alusta, on tunnistanut, että pelkkä koodin turvaaminen on nyt vain 'perusvaatimus'. He ovat laajentaneet käyttöä multisig- ja aikaviivemekanismeissa samalla kun he investoivat havainnointijärjestelmiin ja sisäiseen koulutukseen.
Kuitenkin, kuten Jupiterin COO Kash Dhanda huomauttaa, "turvallisuudella ei ole lopullista tilaa", ja itse tyytyväisyys on suurin riski. dYdX Labsin COO David Gogel vahvistaa, että kyseessä on tosiasia, että kryptoprojekteja kohteena ovat yhä enemmän valtion tukemat toimijat. Hän neuvoo kehittäjiä varautumaan sosiaaliseen suunnitteluun, mutta muistuttaa myös käyttäjiä, että riskin täydellinen poistaminen ei ole mahdollista.
Lopulta Drift-tapaus asettaa epämukavan johtopäätöksen: luottamus itsessään on muuttunut haavoittuvuudeksi. Lucas Bruder, Jito Labsin CEO, tiivistää: "Drift-haitta ei ollut koodin haavoittuvuus. Se oli kuuden kuukauden tiedustelutoiminto, joka hyödyntää ihmisten välistä luottamusta." Tämä tarkoittaa, että järjestelmien on suunniteltava olettaen kompromissi, ei vain virheet.
Turvallisuuden uusi keskiö on siirtymä kysymyksestä 'Miten protokolla toimii?' kysymykseen 'Miten se voi epäonnistua?'. Tämän uuden uhkakuvan mukainen lähestymistapa pakottaa koko DeFi-alan muuttamaan ajattelutapaansa, siirtäen vastuun osittain myös käyttäjille, jotka on kehotettu ymmärtämään protokollien tekninen rakenne ja hallintamekanismit.