Аудиты недостаточны? В проверенных DeFi-проектах потеряно 3.3 миллиарда долларов, показывают данные

Аудиты важны, но они не являются волшебным щитом. Такой односторонний вывод можно сделать из недавней ветки обсуждения платформы анализа данных блокчейна Sentora, сопровождаемой столбчатой диаграммой, разбивающей миллиарды, потерянные в результате взломов и эксплойтов в DeFi. Данные охватывают период с 2020 по 2025 год (за исключением краха Terra) и ясно, и неудобно показывает: даже проекты, оплатившие проверки безопасности, потеряли серьезные деньги.

«Аудиты необходимы для DeFi, но не гарантируют безопасность», — написал Sentora. «Проекты с аудитами понесли убытки на сумму более 3,3 млрд долларов в период с ’20 по ’25, что связано с rug-повреждениями, компрометацией приватных ключей и изменениями после аудита. Аудиты в DeFi — это базовый уровень, но эффективное управление рисками все равно требует активного мониторинга рисков.»

Прилагаемая диаграмма, которая сортирует потери по аудиторам, показывает, что неаудированные проекты понесли самый крупный удар, примерно в районе $5 миллиардов, но также видно, что проекты с аудитами и такие известные фирмы, как Certik, NCC Group и Trail of Bits, далеко не застрахованы.

Многослойная проблема

В совокупности визуальные материалы и резюме Sentora рисуют многослойную проблему. Одна часть очевидна: проекты, пропустившие аудит или сэкономившие на нем, заплатили за это. Другая часть, не менее важная, заключается в том, что сами аудиты — это снимки, часто проводимые перед последними изменениями кода, изменениями в управлении или внедрением новых административных ключей.

Эти изменения после аудита, а также атаки социальной инженерии, захватывающие приватные ключи, и злонамеренные rug-пуллы со стороны инсайдеров, составляют значительную часть из 3,3 миллиарда долларов убытков, о которых сообщил Sentora для проектов с аудитами. Диаграмма также выделяет среднюю категорию — длинный хвост меньших аудиторов, сгруппированных как «Другие (68)», которые вместе составляют значительную часть потерь.

Это говорит о том, что проблема заключается не только в том, был ли проект аудирован, но и в качестве и полноте самого аудита, охвате аудитора и том, что происходит после выпуска отчета. Аудит, пропускающий критические предположения по дизайну или команда, игнорирующая рекомендуемые меры по снижению рисков, оставляет дверь открытой для угроз.

Практики безопасности уже много лет говорят, что один аудит следует рассматривать как начало программы безопасности, а не как финальную точку. Постоянный мониторинг, поэтапные развертывания, мультиподписные контрольные механизмы, таймлоки на привилегированные функции, проактивные программы по поиску уязвимостей и страховые продукты — все это часть более устойчивого подхода.

Сообщение Sentora подтверждает, что аудиты задают минимальный стандарт, но команды и инвесторы должны накладывать дополнительные защиты и постоянно следить за ситуацией. Для экосистемы DeFi, ценящей композиционность и быструю итерацию, напряжение реально. Разработчики хотят быстро выпускать новые функции и менять направления; аудиторы нуждаются в полном объеме и времени для тщательной проверки; злоумышленники ищут короткие окна между ними.

Вывод данных прост и неудобен: расходы на аудиты останутся необходимыми, но сообщество также нуждается в лучшей дисциплине после аудита и операционных мерах безопасности, если оно хочет существенно снизить потери.

Ветка Sentora и диаграмма — напоминание о том, что безопасность в DeFi — это процесс, а не сертификат. Аудиты помогают выявлять проблемы, но не предотвращают их возникновение. Пока команды не начнут рассматривать безопасность как непрерывную работу, а не как галочку в списке, основные показатели, скорее всего, продолжат расти.