Η επίθεση στο πρωτόκολλο Drift δεν ήταν ένα τεχνικό κενό ασφαλείας — ήταν μια επιχείρηση κατασκοπείας έξι μηνών με ψεύτικες ταυτότητες και προσωπικές συναντήσεις. Το περιστατικό αναγκάζει τον κόσμο των κρυπτονομισμάτων να επανεξετάσει τι σημαίνει πραγματικά ασφάλεια. Το συμπέρασμα είναι ανησυχητικό: ο πιο αδύναμος κρίκος δεν είναι ο κώδικας, αλλά οι άνθρωποι.
Όταν το Drift — ένα από τα μεγαλύτερα πρωτόκολλα αποκεντρωμένης χρηματοδότησης — αποκάλυψε τις λεπτομέρειες πίσω από την απώλεια 270 εκατομμυρίων δολαρίων, το πιο ανησυχητικό δεν ήταν το ποσό. Ήταν ο τρόπος που έγινε.
Δεν υπήρξε κάποιο κενό στον κώδικα, ούτε κάποια έξυπνη τεχνική εκμετάλλευση. Σύμφωνα με την ομάδα του πρωτοκόλλου, οι επιτιθέμενοι — που φέρεται να συνδέονται με τη Βόρεια Κορέα — ξεκίνησαν μια επιχείρηση έξι μηνών: δημιούργησαν ψεύτικες ταυτότητες, συναντήθηκαν προσωπικά με μέλη της ομάδας σε διάφορες χώρες και κατέθεσαν ακόμα και ένα εκατομμύριο δολάρια δικά τους χρήματα για να χτίσουν αξιοπιστία. Δεν βρήκαν μια τρύπα στο σύστημα. Έγιναν μέρος του.
Ο Alexander Urbelis, επικεφαλής ασφάλειας στο ENS Labs, το θέτει ξεκάθαρα: «Πρέπει να σταματήσουμε να τα αποκαλούμε “hacks” και να αρχίσουμε να τα λέμε αυτό που είναι: επιχειρήσεις πληροφοριών. Αυτό που περιγράφεται δεν είναι τακτική χάκερ — είναι τακτική κατασκόπου.»
Η μετατόπιση αυτή έχει πρακτικές συνέπειες για όποιον έχει χρήματα σε αποκεντρωμένες πλατφόρμες. Ακόμα και ένα πρωτόκολλο που έχει ελεγχθεί επανειλημμένα από ανεξάρτητους ειδικούς μπορεί να καταρρεύσει αν ένα μέλος της ομάδας που το διαχειρίζεται έχει παραβιαστεί. Και σε έναν κλάδο όπου οι ομάδες είναι συχνά μικρές και βασίζονται σε σχέσεις εμπιστοσύνης, αυτό είναι ένα σοβαρό πρόβλημα.
Ο David Schwed, στέλεχος με εμπειρία σε εταιρείες όπως η Robinhood, το περιγράφει ως «καμπανάκι αφύπνισης»: «Αυτές δεν είναι απλές επιθέσεις. Είναι καλά σχεδιασμένες επιχειρήσεις μηνών, με αποκλειστικούς πόρους, κατασκευασμένες ταυτότητες και έναν σκόπιμο ανθρώπινο παράγοντα. Και αυτός ο ανθρώπινος παράγοντας είναι η αχίλλειος πτέρνα για πολλούς οργανισμούς.»
Ορισμένες πλατφόρμες ήδη αναπροσαρμόζουν την προσέγγισή τους. Το Jupiter, μια από τις μεγαλύτερες πλατφόρμες DeFi στο δίκτυο Solana, επενδύει σε συστήματα ανίχνευσης απειλών και εκπαίδευση των μελών της ομάδας σε θέματα επιχειρησιακής ασφάλειας. «Η σάρκα είναι πιο ευάλωτη από τον κώδικα», παραδέχεται ο επιχειρησιακός διευθυντής της εταιρείας, Kash Dhanda. Παράλληλα, τονίζει ότι «δεν υπάρχει τελική κατάσταση ασφάλειας» — η εφησυχαστική στάση παραμένει ο μεγαλύτερος κίνδυνος.
Το dYdX, μια άλλη μεγάλη πλατφόρμα, προχωράει ένα βήμα παραπέρα και απευθύνεται απευθείας στους χρήστες: όσοι συμμετέχουν ενεργά σε αποκεντρωμένες πλατφόρμες πρέπει να κατανοούν την τεχνική δομή των πρωτοκόλλων που εμπιστεύονται με τα χρήματά τους, και να λαμβάνουν υπόψη τους ότι ο κίνδυνος δεν μπορεί να εξαλειφθεί πλήρως.
Για τον Lucas Bruder, διευθύνοντα σύμβουλο της Jito Labs, το συμπέρασμα είναι σαφές: «Η επίθεση στο Drift δεν ήταν κενό κώδικα. Ήταν μια επιχείρηση πληροφοριών έξι μηνών που εκμεταλλεύτηκε την εμπιστοσύνη μεταξύ ανθρώπων. Οι έλεγχοι έξυπνων συμβολαίων είναι το ελάχιστο. Η πραγματική επιφάνεια επίθεσης είναι η ομάδα σου, οι υπογράφοντες του multisig και κάθε συσκευή που αγγίζουν.»
Αυτό που αποκαλύπτει η υπόθεση Drift είναι κάτι που ο κλάδος δυσκολεύεται να αποδεχτεί: ότι η ασφάλεια δεν είναι μόνο τεχνικό ζήτημα. Είναι και ανθρώπινο. Και σε αυτό το πεδίο, κανένας έλεγχος κώδικα δεν αρκεί.
