DeFi в прошлом году был взломан на сумму 649 миллионов долларов, почему a16z призывает отказаться от принципа "код есть закон"

DeFi行业面临一个尴尬的现实：越来越多的漏洞被黑客利用。根据Slowmist报告，2025年DeFi协议因代码漏洞损失超6.49亿美元，即便是自2021年以来稳定运行的老牌项目Balancer也在2025年11月遭遇1.28亿美元的损失。在这样的背景下，a16z Crypto高级安全研究员Daejun Park近日发文呼吁业界进行一场范式转变：从"代码即法律"升级到"规范即法律"，通过标准化的安全规范来应对日益复杂的安全威胁。

Глубинные проблемы кризиса безопасности

Философия “код есть закон” в DeFi когда-то была её ключевым конкурентным преимуществом, подчеркивая полную децентрализацию и прозрачность кода. Но слабые стороны этой идеи становятся всё более очевидными: сам код может содержать уязвимости, и эти уязвимости часто обнаруживаются только после развертывания. Согласно опасениям разработчиков, хакеры всё чаще используют AI-инструменты для поиска таких уязвимостей, что делает традиционные методы аудита безопасности недостаточно эффективными.

По данным, масштаб проблемы нельзя недооценивать. Годовые потери в размере 6.49 миллиардов долларов означают, что каждый атакованный протокол сталкивается с огромным риском. Пример Balancer показывает, что даже проверенный годами код всё ещё может содержать незамеченные уязвимости.

Новый подход от a16z

Предложенное Daejun Park решение достаточно конкретное: использование проверок инвариантов (invariant checks) для жесткого кодирования мер безопасности. Проще говоря, в смарт-контрактах заранее определяются правила, которые нельзя нарушать, и при их нарушении транзакция автоматически откатывается.

Преимущества этого подхода:

• Возможность защиты в реальном времени во время выполнения, а не только после аудита
• Практически все известные уязвимости DeFi вызывают срабатывание таких проверок
• По сравнению с полной переработкой кода, внедрение обходится дешевле

Park отмечает, что этот метод способен остановить хакерскую атаку в момент её возникновения, кардинально меняя логику защиты DeFi.

Реальные вызовы

Однако, индустрия не полностью поддерживает этот подход. Согласно последним новостям, руководитель отдела безопасности Immunefi указал на две практические проблемы: во-первых, проверки инвариантов увеличивают газовые расходы транзакций, что может привести к оттоку пользователей; во-вторых, этот подход не является панацеей.

Соучредитель Asymmetric Research поставил под сомнение техническую сторону: сложность многих уязвимостей делает создание эффективных и при этом не вызывающих ложных срабатываний правил инвариантов сложной задачей. Иными словами, дизайн правил сам по себе — это отдельная сложность.

Уже предпринятые попытки

Стоит отметить, что эта идея не является полностью новой. Согласно информации, проекты Kamino и XRP Ledger уже начали внедрять проверки инвариантов. Это показывает, что, несмотря на существующие сложности, есть пионеры, которые исследуют этот путь.

Итоги

Призыв a16z отражает важный сдвиг в индустрии DeFi: от абсолютного стремления к децентрализации и “коду как закону” к более управляемой и безопасной модели “нормы как закона”. В условиях потерь в 6.49 миллиарда долларов в год такой переход кажется необходимым и срочным.

Однако внедрение этого подхода не обходится без проблем. Газовые расходы, сложность разработки правил — все это остаются актуальными вопросами. Более глубокий вопрос заключается в том, готова ли индустрия DeFi балансировать между безопасностью и децентрализацией. Это, вероятно, станет одной из ключевых тем для дальнейших обсуждений в ближайшее время.