Основатель Curve Finance о взломе, уязвимостях Web3 и будущем безопасности DeFi

После того как сайт Curve Finance подвергся масштабной атаке через захват DNS в начале месяца, в криптосообществе усилились опасения по поводу всё более изощрённых и комплексных методов, применяемых злоумышленниками. Компрометация соцсетей, эксплойты интерфейсов, уязвимости в смарт-контрактах — всё это отражает устойчивую и эволюционирующую угрозу, с которой сталкивается Web3-экосистема.

По мере роста популярности DeFi и криптовалют в целом, увеличивается и число тех, кто хочет нажиться на этом технологическом феномене. Атаки становятся, увы, почти неизбежным элементом ландшафта. В условиях постоянного давления возникает логичный вопрос: как строить устойчивость? Михаил Егоров, основатель Curve Finance, затронул эти и другие темы в эксклюзивном интервью изданию BeInCrypto.

Curve Finance реагирует на взлом

Крупнейшее хищение в истории криптоиндустрии произошло в этом году — и это был не единичный случай. Векторы атак на сектор децентрализованных финансов множатся: фишинг внутри команд Coinbase, уязвимости на уровне протокола в zkSync, а также громкий DNS-взлом в Curve Finance — всё это часть системной проблемы.

Егоров в интервью обозначил уязвимые места архитектуры Web3 и возможные пути выхода из ситуации.

«Проблемы с безопасностью в классическом интернете — вещь не новая. Но если во времена Web2 ущерб зачастую можно было локализовать и минимизировать, то в крипте ситуация иная: каждая транзакция финализируется почти мгновенно, откатов не предусмотрено. Поэтому планка требований к защите тут значительно выше, а текущая интернет-инфраструктура попросту не заточена под такие реалии», — пояснил он.

Curve Finance, один из самых известных децентрализованных обменников, уже не раз сталкивался с инцидентами на грани фатальных, что вынудило команду непрерывно адаптировать методы защиты. Тем не менее, в этом месяце очередной атаке подвергся официальный сайт протокола, и в результате команде пришлось сменить доменное имя.

По словам Егора, проблема — глубже, чем кажется. Речь идёт не просто о недочётах реализации, а о фундаментальных изъянах архитектуры современного веба.

«Считаю, что с технологической точки зрения мы сделали всё, что могли. Проблема была внешняя. Современная модель построения веб-приложений в своей основе уязвима. Нам необходимы десктопные приложения, изначально проектируемые с учётом требований безопасности», — резюмировал он.

Структурные слабости Web3 — унаследованы от Web2

Егоров детализировал несколько уязвимостей, которые способствовали атаке на Curve и аналогичным инцидентам в отрасли. В частности, даже децентрализованные Web3-приложения всё ещё опираются на централизованные компоненты — такие как DNS-регистраторы, обеспечивающие связь между доменом сайта и хостингом его интерфейса.

Если атакующий может обмануть, подкупить или захватить контроль над этими регистраторами — открывается опаснейший вектор атаки. Именно эта схема и была использована против Curve.

Но и это далеко не всё. Современные веб-приложения полагаются на тысячи микропакетов JavaScript, зачастую созданных сторонними разработчиками. Отсутствие систематического аудита этих зависимостей создаёт риск скрытого внедрения вредоносного кода, который способен обойти любую внешнюю проверку.

Проще говоря, Web3 остаётся уязвимым перед атаками, унаследованными от Web2.

Web3-проблемы требуют Web3-решений

По мнению Егора, индустрия должна совершить кардинальный разворот в своей инфраструктуре, чтобы действительно преодолеть подобные угрозы. Одно из возможных направлений — использование Ethereum Name Service (ENS) как децентрализованной альтернативы традиционному DNS.

Однако ENS всё ещё далёк от массового признания: браузеры не поддерживают его на базовом уровне, а значит, для рядового пользователя он неудобен и непривычен.

Даже если представить, что Curve удастся внедрить более безопасные методы взаимодействия, новое «лицо» Web3 может оказаться настолько отличным от привычного, что его будет трудно узнать.

Егоров упоминает, что в такой модели исчезает возможность монетизации через веб-трафик — вместо этого затраты на поддержание инфраструктуры ложатся на плечи протокольных команд, компенсируемые разве что ростом доверия со стороны институционалов.

«Такое приложение потребует колоссального объёма работы — придётся полностью переосмыслить пользовательский интерфейс DeFi, исключив веб-технологии. Скорее всего, оно не будет приносить прямой доход. Но, как мне кажется, существует реальный запрос на подобные решения, особенно среди организаций, оперирующих крупными объёмами пользовательских средств», — отметил он.

Радикальные, но реалистичные решения

Рассматриваемые меры кажутся экзотичными, но Егоров подчёркивает: всё это возможно реализовать уже сегодня, на базе имеющихся блокчейн-разработок. Он не апеллирует к фантастике — напротив, говорит о достижимом, пусть и трудоёмком пути.

Если атаки продолжат происходить с нынешней регулярностью, это может стать катализатором долгожданных реформ.

Curve Finance готова участвовать в создании Web3-будущего, свободного от уязвимостей, оставшихся в наследство от эпохи Web2. Но пока угрозы остаются, совет Егора таков: DeFi-протоколам стоит переориентироваться на создание десктопных приложений, минуя браузерную прослойку.

«Как я уже говорил, модель построения фронтендов через веб — это слишком небезопасно. Поверхность атаки огромна. Чтобы обеспечить реальную защиту, DeFi-проекты должны стремиться к собственным десктопным интерфейсам», — заключил основатель Curve.