Financa e decentralizuar po lulëzon − dhe rreziku i sigurisë po rritet

Kur u propozuar për herë të parë në 2008, kriptovaluta e parë, Bitcoin, kishte një qëllim të thjeshtë: të krijonte një monedhë digjitale të lirë nga bankat dhe qeveritë. Me kalimin e kohës, kjo ide u zhvillua në diçka shumë më të madhe: “financa të decentralizuara,” ose “DeFi.”

Me financat e decentralizuara, njerëzit tregtojnë, huazojnë dhe fitojnë interes mbi asetet kripto pa u mbështetur në ndërmjetës tradicionalë. Shërbimet DeFi funksionojnë në bllokzëra, të cilët janë kryesisht regjistra digjitale, dhe përdorin “kontrata të zgjuara” – kod automatik që automatikëson transaksionet financiare. Të dhjeta miliarda dollarë janë investuar në tregun DeFi.

Por me inovacionin vijnë edhe rreziqet. Mungesa e mbikëqyrjes së centralizuar e ka bërë kriptomonedhën, përfshirë financat e decentralizuara, një objektiv kryesor për hakerët dhe mashtruesit. Vetëm në vitin 2024, njerëzit humbën gati 1.5 miliardë dollarë amerikanë për shkak të shfrytëzimeve të sigurisë dhe mashtrimeve. Dhe ndryshe nga financa tradicionale, zakonisht nuk ka mënyrë për të rimarrë kriptomonedhën e vjedhur.

Si një shkencëtar kompjuterësh, unë dëshiroja të kuptoja më mirë se si njerëzit perceptojnë dhe përgjigjen ndaj këtyre rreziqeve. Prandaj kolegët dhe unë filluam me intervista të thelluara me 14 investitorë të kriptomonedhave, pastaj kryem një sondazh me gati 500 të tjerë për të konfirmuar gjetjet tona.

Studimi ynë zbuloi se njerëzit shpesh bënin të njëjtat gabime, të nxitur nga keqkuptime të përsëritura dhe boshllëqe në ndërgjegjësimin për sigurinë. Ja disa nga më të rëndësishmet.

Gabimi 1: Të mendosh se blockchain-i garanton sigurinë

Shumë njerëz na thanë se mendonin se financa e decentralizuar ishte e sigurt – por arsyetimi i tyre nuk ishte shumë bindës. Disa dukeshin sikur i përzinin financat e decentralizuara me teknologjinë blockchain vetë, e cila është projektuar për të siguruar që transaksionet janë rezistente ndaj manipulimeve përmes asaj që quhet "mekanizmat e konsensusit.” Një na tha se DeFi është i sigurt “sepse një haker do të duhej të anashkalonte të gjithë blockchain-in” për të vjedhur fondet.

Por shërbimet në blockchain janë ende të prekshme ndaj defekteve në implementim dhe dizajn. Këto përfshijnë shkelje të kontratave inteligjente, ku të këqijat shfrytëzojnë defekte në kodin e shërbimit, dhe sulme në front-end, ku ndërfaqja e përdoruesit ndryshohet për të drejtuar fondet në portofolin e një hakeri. Një sulm në front-end raportohet se ishte shkaku i një vjedhje të fundit prej 1.5 miliardë dollarësh në kriptomonedha.

Gabimi 2: Të mendosh se çelësat e sigurtë do të thonë fonde të sigurta

Një keqkuptim tjetër i zakonshëm është se DeFi është i sigurt nëse çelësat privatë ruhen mirë. Një çelës privat është një kod sekret që lejon dikë të aksesojë asetet e tij kripto. Është e vërtetë që në DeFi – ndryshe nga financa qendrore e kriptomonedhave ku një shkëmbim mban çelësat privatë – përdoruesit kanë kontroll të plotë mbi çelësat e tyre privatë.

Por edhe me menaxhimin perfekt të çelësave privatë, përdoruesit mund të humbasin fonde duke bashkëvepruar me platformat e komprometuara të DeFi. Kjo sepse mbrojtja e çelësave privatë mund të parandalojë vetëm sulmet direkte që synojnë aksesin në çelësin privat, si tentativat e phishing-ut.

Njerëzit me të cilët folëm gjithashtu dështuan të ndjekin praktikat më të mira për sigurimin e çelësave të tyre privatë. Përdorimi i një portofoli hardware – një pajisje fizike që ruan çelësat privatë jashtë linje – është një nga opsionet më të sigurta për të mbrojtur çelësat nga kërcënimet online. Megjithatë, studimi ynë zbuloi se vetëm disa pjesëmarrës përdorën në mënyrë aktive portofolë hardware.

Gabimi 3: Mendojnë se autentifikimi me 2 faktorë është një zgjidhje e artë

Autentifikimi me dy faktorë, ose 2FA, është një mekanizëm standard i sigurisë ku kërkohen dy forma verifikimi për të hyrë në një llogari. Mendoni për një kod njëpërdorimsht që ju dërgohet me tekst para se të mund të hyni në llogarinë tuaj bankare.

Për të parandaluar shkeljet e llogarive, shkëmbimet qendrore të kriptomonedhave si Binance dhe Coinbase përdorin autentifikimin me dy faktorë për hyrje, rikuperimin e llogarisë dhe konfirmimet e tërheqjes. Por ndërsa 2FA është thelbësor për sigurinë në sistemin tradicional dhe atë të kriptomonedhave të centralizuara, ai luan një rol shumë më të vogël në financat e decentralizuara.

Portofolët DeFi i japin përdoruesve qasje bazuar në pronësinë e çelësave privatë, në vend të verifikimit të identitetit, që do të thotë se 2FA tradicionale nuk mund të përdoret. Në vend të kësaj, janë të disponueshme vetëm mekanizma të ngjashëm me 2FA në DeFi. Për shembull, portofolët me shumë nënshkrime kërkojnë miratimin nga disa mbajtës të çelësave privatë. Megjithatë, nëse çelësi juaj privat është komprometuar, sulmuesit mund të kryejnë operacione në portofol në emrin tuaj pa ndonjë verifikim shtesë. Për më tepër, edhe përdoruesit që adoptojnë masa të ngjashme me 2FA nuk mund të parandalojnë shkeljet e sigurisë në anën e shërbimeve DeFi.

Fatkeqësisht, pjesëmarrësit tanë ishin shumë të sigurt për efektivitetin e 2FA, ku një prej tyre tha, “Autentifikimi me dy faktorë është një nga zgjidhjet më të mira për të mbajtur portofolët të sigurt.” Në sondazhin tonë, 57.1% e përdoruesve mbështetën 2FA si masën e tyre të vetme teknike kundër rug pulls – mashtrime ku krijuesit e projekteve tërheqin papritur fondet – dhe 49.3% e tyre e bënë këtë për shfrytëzime të kontratave të mençura. Ky besim i gabuar mund t’i çojë ata të injorojnë strategji më efektive të sigurisë.

Gabimi 4: Mos menaximi i miratimeve të tokenëve

Një strategji e tillë efektive është revokimi i miratimeve të tokenëve. Në DeFi, tokenët janë asete digjitale në një blockchain që përfaqësojnë vlerë ose të drejta, dhe përdoruesit shpesh duhet të miratojnë kontrata inteligjente për t'u aksesuar ose shpenzuar ato. Por nëse i lini këto miratime të hapura, një kontratë e keqe – ose ajo që është hakuar – mund të zbrazë portofolin tuaj. Prandaj është thelbësore të kontrolloni rregullisht të gjitha miratimet e tokenëve që keni dhënë për të parandaluar humbje të shkaktuara nga shërbime mashtruese ose të hakuara të DeFi. Në veçanti, duhet të kufizoni lejet e shpenzimit në vend të përdorimit të opsionit të paracaktuar “pa kufi”, dhe revokoni miratimet për aplikacionet që nuk i përdorni më ose nuk i besoni.

Me shqetësim, zbuluam se vetëm 10.8% dhe 16.3% e pjesëmarrësve kontrollonin dhe revokonin rregullisht miratimet e tokenëve për të mbrojtur kundër rug pull dhe shfrytëzimeve të kontratave inteligjente, përkatësisht. Në dritën e kësaj, rekomandojmë që ofruesit e portofolit të prezantojnë një funksion kujtese për t'i njoftuar përdoruesit të rishikojnë periodikisht miratimet e tyre të tokenëve.

Gabimi 5: Mos mësimi nga incidentet e kaluara

Edhe pas hakerimit ose mashtrimit, njerëzit shpesh nuk bëjnë asgjë për të përmirësuar praktikat e tyre të sigurisë, zbuluam. Vetëm 17.6% e atyre që raportuan se ishin viktima të një mashtrimi në DeFi kontrollonin rregullisht miratimet e tokenëve pas incidentit. Më keq, 26% nuk morën asnjë veprim fare pas një mashtrimi, dhe 16.4% u përqendruan edhe më shumë duke investuar edhe më shumë në shërbime të tjera DeFi.

Me habi, më shumë se gjysma e viktimave thanë se besimi i tyre në DeFi ose mbeti i njëjtë ose u rrit më i fortë pas incidentit. Një përdorues që humbi 4,700 dollarë për shkak të një rug-pull-i tha, “Besimi im në kriptovaluta u rrit më i fortë pas asaj sepse fitova para të mira prej tij.” Ai shtoi, “Një mundësi për të bërë para është diçka që unë besoj.” Kjo sugjeron se motivimet financiare të përdoruesve të DeFi mund të tejkalojnë ndonjëherë shqetësimet e tyre për sigurinë – dhe, ndoshta, gjykimin më të mirë të tyre.

Nuk ka një zgjidhje të përsosur për sigurinë e DeFi-së. Por, ndërgjegjja është hapi i parë. Për të mbetur të sigurt, investitorët në kriptomonedha duhet të përdorin portofola hardware, të revokojnë miratimet e tokenëve që nuk i përdorin më dhe të mësojnë vazhdimisht teknika të reja për t'u mbrojtur nga kërcënimet në zhvillim. Më e rëndësishmja, ata duhet të mbeten racionalë dhe të mos lejojnë që tërheqja e fitimeve t’i mbyllë sytë nga praktikat e tyre të sigurisë.