" Согласно исследованию, из 429 токенов со структурами управления почти 75% имеют факторы риска, связанные с их контрактами, включая скрытых владельцев и кошельки со специальными разрешениями.
Только 16,6% проанализированных контрактов управляются мультиподписными кошельками, которым для подтверждения любой транзакции требуется до пяти разных закрытых ключей. Приложение рассматривается как инструмент для снижения рисков фишинга и взлома с использованием вредоносных программ, отмечается в отчете компании.
Кроме того, более 38% контрактов токенов управляются кошельком или внешней учетной записью, а это означает, что «кошелек может вызывать привилегированные функции контрактов в любое время». Согласно анализу De.Fi, степень риска может различаться в зависимости от предоставленных разрешений:
«Например, если кошелек может устанавливать комиссию за протокол только в разумных постоянных пределах, риска здесь нет. Но если он сможет заменить критические адреса, с которыми взаимодействует контракт, такие как ценовые оракулы и стратегии хранилищ, пользовательские активы подвергнутся прямой опасности».
Еще один тревожный сигнал, выявленный в 6,8% контрактов, — это скрытое право собственности, которое позволяет создателю контракта отозвать право собственности и наложить вето на голоса. Кроме того, только 10% токенов отказались от контрактов — это означает, что их создатели отказались от права изменять свой код или функции управления, тем самым усиливая децентрализацию.
«Тревожное количество проектов оставляет безопасность всей своей казны в руках одного владельца кошелька. В большинстве случаев эти владельцы скрыты, а это означает, что участник DAO не может проверить, кто управляет средствами. Это привело к миллиардам долларов, потраченным на уязвимости контроля доступа, эксплоиты и вытаскивание ковриков», — сказал Артем Бондаренко, технический руководитель De.Fi.
Токены управления — это тип криптовалюты, который предоставляет владельцам право участвовать в процессах принятия решений, связанных с проектом блокчейна, протоколом или децентрализованной автономной организацией (DAO). Одним из первых эмитентов токенов управления был основанный на Ethereum протокол Maker, позволяющий выпускать и погашать обеспеченный криптовалютами стейблкоин DAI. Держатели токенов Maker (MKR) принимают решения по управлению. Один токен соответствует одному голосу, и принимаются решения, набравшие наибольшее количество голосов.
База данных De.Fi Rekt показывает, что три крупнейших взлома управления привели к потерям в размере 414 миллионов долларов, включая атаку Beanstalk Farm с помощью флэш-кредита через предложение управления, эксплоит смарт-контракта Multichain и эксплоит Tornado Cash через вредоносное предложение.
«Однако важно отметить, что, хотя параметры управления могут указывать на то, что токен находится под угрозой, это не обязательно приводит к инциденту безопасности. Многие компании с токенами управления имеют специальные отделы и передовые методы обеспечения безопасности, которые не обязательно отслеживаются публично или в сети», — добавил Бондаренко.
Согласно анализу, примерно в 14% контрактов механизмы управления полностью отсутствуют или они не раскрываются.
блокчейн, криптовалюта, DeFi, бизнес, безопасность, взлом, токен управления, атака, эксплоит, мультиподпись, DAO
