Pomówmy o ryzyku związanym z decentralizacją kryptowalut
Decentralizacja ma kluczowe znaczenie w kontekście wartości kryptowalut. Oznacza wzrost zaufania i korzystanie z usług bez pośredników. Nic jednak nie jest za darmo, ponieważ decentralizacja wiąże się z poważnym ryzykiem, podkreślonym w ubiegłym tygodniu przez zhakowanie Wormhole na kwotę 320 mln USD. Może to zmniejszyć zaufanie do zdecentralizowanych aplikacji i przyczynić się do dalszych regulacji.
W sierpniu spółka Certus One, należąca do wiodącego animatora rynku Jump Crypto, spółki zależnej Jump Trading, uruchomiła Wormhole, protokół interoperacyjności umożliwiający użytkownikom transfer tokenów i korzystanie z aplikacji w różnych kryptowalutach, takich jak ethereum, solana czy terra. Aplikacja taka znana jest również jako most. Najpopularniejsza z nich – pod nazwą Wormhole – to most z ethereum do solany. Właśnie ten most w ubiegłym tygodniu znalazł się na celowniku hakerów, co przerodziło się w jeden z największych ataków na zdecentralizowany protokół finansowy na rynku kryptowalut.
Okradzenie Wormhole na kwotę 120 000 etherów
W środę hakerowi udało się okraść most Wormhole pomiędzy ethereum a solaną na kwotę 120 000 etherów, stanowiącą wówczas równowartość około 320 mln USD. W skrócie, haker był w stanie oszukać protokół tak, by wyglądało, że dana osoba zdeponowała ether w kontrakcie, aby wydać równowartość w wETH, czyli tokenizowanym etherze w sieci Solana zabezpieczonym rzeczywistym etherem za pośrednictwem Wormhole. Dysponując wETH w sieci Solana, haker powrócił do Wormhole, aby wymienić większość środków na rzeczywisty ether w sieci Ethereum. Problem polegał na tym, że ponieważ należące do hakera wETH nie były zabezpieczone, ether zabezpieczał pozostałe wETH. Haker wymienił pozostałe wETH na inne aktywa na zdecentralizowanych giełdach w sieci Solana, aby szybko pozbyć się niedostatecznie zabezpieczonych wETH.
Platforma Wormhole szybko zaoferowała hakerowi 10 mln USD nagrody za wykrycie błędu pod warunkiem, że zwróci środki. Haker jednak nie wydawał się zainteresowany, ponieważ Jump Crypto szybko dofinansowała Wormhole równoważną kwotą 120 000 etherów z własnych środków, informując na Twitterze: „Jump Crypto wierzy, że przyszłość należy do systemów opartych na wielu łańcuchach oraz w to, że Wormhole stanowi niezbędną infrastrukturę. Dlatego wymieniliśmy 120 tys. ETH, aby wyrównać straty członków naszej społeczności i zapewnić ich wsparcie dla dalszego rozwoju Wormhole”. Haker nie przeniósł jeszcze skradzionych etherów, a spieniężenie takiej kwoty będzie poważnym wyzwaniem, ponieważ nieliczne giełdy, brokerzy czy platformy OTC zdolne do upłynnienia takiej kwoty zamrożą ją natychmiast, gdy tylko trafi do ich portfela ethereum, ponieważ znają źródło tych środków.
Atak na Wormhole podkreśla ryzyko decentralizacji
W 2021 r. na skutek ataków na zdecentralizowane aplikacje utracono środki stanowiące równowartość 1,3 mld USD, czyli ponad dwukrotnie więcej niż w 2020 r., przy wzroście wartości zablokowanej w zdecentralizowanych aplikacjach. W efekcie zhakowanie Wormhole z pewnością nie jest pierwszym i ostatnim takim atakiem. Dowiodło to wrażliwości zdecentralizowanych aplikacji zarówno obecnie, jak i prawdopodobnie w najbliższych latach.
Ponadto należy podkreślić fakt, iż platforma Wormhole nie została opracowana przez nastolatka mieszkającego w piwnicy u rodziców. Została stworzona przez Jump Trading, jednego z największych animatorów rynku w zakresie akcji, opcji, kontraktów terminowych i kryptowalut. Jeżeli protokół opracowany przez korporację tej wielkości może zostać celem tak skutecznego ataku, można sobie wyobrazić, jakim wyzwaniem jest opracowanie bezpiecznych zdecentralizowanych aplikacji dla małego start-upu. Ponadto w sytuacji, gdy taki atak faktycznie dotyczyć będzie mniejszego start-upu, będzie to oznaczało natychmiastowy „koniec gry”, ponieważ w takim przypadku dofinansowanie protokołu na równowartość ponad 300 mln USD w etherze w mniej niż 24 godziny nie będzie możliwe. To ostatecznie ograniczy innowacyjność w obszarze kryptowalut, ponieważ mniej osób będzie skłonnych do zaryzykowania swojego start-upu i reputacji na tym rynku.
I tu dochodzimy do kwestii decentralizacji. Mimo iż decentralizacja ma kluczowe znaczenie w kontekście wartości kryptowalut, umożliwiając korzystanie z usług oferowanych zwykle przez różnych pośredników, takich jak przelewy międzynarodowe czy zdecentralizowany handel niewymienialnymi tokenami (NFT), stanowi również zauważalną słabą stronę rynku kryptowalut. Widać to w przypadku zdecentralizowanych ataków hakerskich, ponieważ autorzy i użytkownicy nie są w stanie odzyskać ukradzionych środków, w przeciwieństwie do systemu scentralizowanego, w którym przedmiotowa spółka często jest w stanie odwrócić transakcję. Oznacza to, że nadużycia i cyberataki mogą mieć proporcjonalnie znacznie gorsze konsekwencje w przypadku systemów zdecentralizowanych.
Czy rynek kryptowalut wyciągnie odpowiednie wnioski?
Po każdym ataku społeczność często stara się go przedstawić jako coś pozytywnego argumentując, że dany protokół wraz z innymi uczy się na konkretnym ataku, aby opracowywać protokoły odporne w przyszłości. Mimo iż argument dotyczący nauki jest prawdziwy, można sobie wyobrazić, na jak wiele sposobów różne zdecentralizowane aplikacje mogą być nadużywane, dlatego potencjalne opracowywanie zabezpieczonych zdecentralizowanych aplikacji poprzez fazę uczenia się nie stanowi szybkiego rozwiązania.
Można argumentować, że zdecentralizowane aplikacje przejdą tę samą fazę uczenia się i rozwoju, co np. portfele kryptowalutowe. Na wczesnym etapie funkcjonowania bitcoina dobre portfele nie istniały, co oznaczało, że wiele bitcoinów zostało bezpowrotnie utraconych w pierwszych latach jego istnienia. Trudno było wówczas wyobrazić sobie, że instytucje kiedykolwiek byłyby w stanie zaufać spółkom kryptowalutowym, aby przechowywać waluty warte miliardy. Obecnie nie jest to już niewyobrażalne. Wręcz przeciwnie, to się już dzieje. Cytując Sørena Kierkegaarda: „Życie można zrozumieć, patrząc nań tylko wstecz. Żyć jednak trzeba naprzód”.
Należy pamiętać, że pierwsze zdecentralizowane aplikacje wystartowały w 2018 r., jest to zatem w pewnym sensie nowe zjawisko. Oznacza to, że ta branża jest wciąż we wczesnej fazie uczenia się. Ponadto w ciągu ostatnich lat rozpoczął się szereg audytów kodu zdecentralizowanych aplikacji, takich jak OpenZeppelin, co dodatkowo poprawia bezpieczeństwo. Poza przeprowadzaniem audytów, spółka OpenZeppelin opublikowała ramy sprawdzonych inteligentnych kontraktów, które mają być wykorzystywane przez nowe zdecentralizowane aplikacje. Oznacza to, że w miarę dojrzewania tej branży mogą zostać opracowane różne ramy i infrastruktura, które będzie można wykorzystać w celu poprawy bezpieczeństwa aplikacji.
Z drugiej strony, nawet jeżeli branża w przyszłości będzie w stanie zagwarantować niemal zerowe ryzyko ataków, pozostaje pytanie, czy zwykli ludzie zaufają zdecentralizowanym aplikacjom, biorąc pod uwagę ich historię. Ponadto potencjalne konsekwencje ataków szybko się nasilają wraz ze wzrostem użytkowania i wartości zablokowanej w zdecentralizowanych aplikacjach. Może to doprowadzić do nałożenia surowych regulacji przez organy nadzoru, zanim branża będzie w stanie udowodnić, że korzystanie z jej aplikacji jest bezpieczne.
Więcej analiz dotyczących rynku kryptowalut jest dostępnych tutaj.
O autorze
Mads Eberhardt, analityk rynku kryptowalut, Saxo Bank. Analityk rynku kryptowalut w Saxo Bank. Zdobywał doświadczenie jako trader w Bitcoin Suisse AG i założyciel http://BetterCoins.dk (serwis przejęty przez Coinify).