DeFi минулого року був зламаний на 649 мільйонів доларів, чому a16z закликає відмовитися від принципу "код — це закон"

DeFi індустрія стикається з неприємною реальністю: все більше вразливостей використовуються хакерами. За даними звіту Slowmist, у 2025 році збитки від кодових вразливостей у DeFi-протоколах склали понад 6.49 мільярдів доларів США, навіть старі проєкти, такі як Balancer, які стабільно працювали з 2021 року, зазнали втрат у 2025 році на суму 1.28 мільярдів доларів у листопаді. У такому контексті старший дослідник з безпеки в a16z Crypto, Daejun Park, нещодавно опублікував заклик до галузі щодо здійснення парадигмальної зміни: перейти від концепції “код — це закон” до “нормативи — це закон”, використовуючи стандартизовані безпекові норми для протистояння все ускладнюваним загрозам безпеці.

Глибокі проблеми безпекової кризи

Філософія “код — це закон” у DeFi колись була її ключовою конкурентною перевагою, підкреслюючи повну децентралізацію та прозорість коду. Однак слабкі сторони цієї ідеї стають все більш очевидними: у коді можуть бути вразливості, які часто виявляються лише після розгортання. За словами розробників, хакери дедалі частіше використовують інструменти штучного інтелекту для пошуку таких вразливостей, що ускладнює традиційний аудит безпеки.

З даних видно, що масштаб проблеми дуже серйозний. Щорічні збитки у розмірі 6.49 мільярдів доларів означають, що кожен атакований протокол стикається з великим ризиком. Приклад Balancer ще раз підтверджує, що навіть перевірений роками код може містити непомічені вразливості.

Новий підхід від a16z

Daejun Park пропонує конкретне рішення: за допомогою перевірок незмінності (invariant checks) закодувати безпеку у смарт-контракти. Простими словами, у контракті заздалегідь визначаються правила, яких не можна порушувати. Якщо під час виконання транзакції ці правила порушуються, система автоматично скасовує цю транзакцію.

Переваги цього підходу:

• Можливість захисту в режимі реального часу під час виконання, а не лише після аудиту
• Більшість відомих вразливостей DeFi викликають ці перевірки
• В порівнянні з повним переписуванням коду, вартість впровадження є відносно низькою

Park зазначає, що цей метод може зупинити хакерські атаки у момент їхнього здійснення, кардинально змінюючи логіку безпеки у DeFi.

Реальні виклики

Однак галузь не одностайна щодо цього рішення. За останніми даними, керівник відділу безпеки Immunefi вказав на дві практичні проблеми: по-перше, перевірки незмінності збільшують газові витрати транзакцій, що може призвести до втрати користувачів; по-друге, цей підхід не є універсальним рішенням.

Співзасновник Asymmetric Research поставив під сумнів технічну сторону: складність багатьох вразливостей ускладнює створення правил незмінності, які ефективно виявляють атаки і при цьому не дають хибних спрацьовувань. Іншими словами, дизайн правил — це вже сама по собі складна задача.

Попередні спроби

Варто зазначити, що ця ідея не є цілком новою. За даними джерел, проєкти Kamino та XRP Ledger вже почали застосовувати перевірки незмінності. Це свідчить про те, що, хоча існують виклики, деякі гравці вже досліджують цей шлях.

Висновки

Заклик a16z відображає важливий поворот у розвитку DeFi: від абсолютної орієнтації на децентралізацію та концепцію “код — це закон” до більш контрольованої моделі безпеки “нормативи — це закон”. У світлі збитків у 6.49 мільярдів доларів цей перехід є необхідним і терміновим.

Проте впровадження цього рішення стикається з труднощами: високі газові витрати, складність розробки правил тощо. Глибше питання полягає в тому, чи готова індустрія DeFi зробити компроміс між безпекою та децентралізацією. Це, ймовірно, стане однією з ключових тем для обговорення у найближчий час.