Аудити — цього недостатньо? Втрата $3.3 млрд у аудитованих DeFi-проектах, дані показують

Аудити мають значення, але вони не є магічним щитом. Це тверде висновок із недавньої дискусії платформи аналізу даних блокчейну Sentora у поєднанні з гістограмою, яка розбиває мільярди, втрачені в хакерських атаках і зломах у DeFi. Дані охоплюють період з 2020 по 2025 рік (за винятком краху Terra) і чітко, незручно вказують на: навіть проєкти, які платили за перевірки безпеки, втратили серйозні гроші.

«Аудити є необхідними для DeFi, але не гарантією», — написала Sentora. «Проєкти з аудитами зазнали втрат понад $3.3 млрд у період з ’20 по ’25, що спричинено підставами, компрометацією приватних ключів і змінами після аудиту. Аудити у DeFi — це базовий рівень, але ефективне управління ризиками все ще вимагає активного моніторингу ризиків.»

Додана до графіка, яка сортує втрати за аудиторами, показує, що неперевірені проєкти зазнали найбільших втрат, приблизно у межах $5 мільярда, але також видно, що проєкти з аудитами та відомі компанії, такі як Certik, NCC Group і Trail of Bits, далеко не імунні.

Багатошарова проблема

Разом візуальні дані та підсумки Sentora малюють багатошарову проблему. Одна частина очевидна: проєкти, що пропускали аудити або економили на них, платили за це. Інша частина, не менш важлива, полягає в тому, що самі аудити — це знімки, які часто проводяться перед останніми змінами у коді, змінами у керуванні або впровадженням нових адміністративних ключів.

Ці зміни після аудиту, разом із соціально-інженерними атаками, що захоплюють приватні ключі, та зломами зловмисників-інсайдерів, становлять значну частку з $3.3 мільярда втрат, які Sentora зафіксувала для проєктів з аудитами. Графік також підкреслює середню категорію — довгий хвіст менших аудиторів, згрупованих як «Інше (68)», які разом становлять значну частку втрат.

Це свідчить про те, що проблема полягає не лише у тому, чи був проєкт проаудований, а у якості та всебічності аудиту, обсязі роботи аудитора і тому, що відбувається після випуску звіту. Аудит, який пропускає критичні припущення щодо дизайну або ігнорує рекомендації щодо пом’якшень, залишає двері відкритими.

Практики безпеки вже багато років говорять, що один аудит слід розглядати як початок програми безпеки, а не її завершення. Постійний моніторинг, поетапне розгортання, багатопідписні контролі, таймлоки на привілейовані функції, проактивні програми винагороди за вразливості та страхові продукти — все це частина більш стійкого підходу.

Повідомлення Sentora підсилює, що аудити встановлюють мінімальні стандарти, але команди та інвестори повинні додавати рівні захисту і постійно слідкувати. Для екосистеми DeFi, яка цінує комодитизацію та швидкі ітерації, напруга є реальною. Розробники хочуть швидко запускати функції та швидко реагувати; аудитори потребують обсягу роботи і часу для ретельної перевірки; зловмисники шукають короткі вікна між ними.

Висновок даних простий і незручний: витрати на аудити залишаться необхідними, але спільнота також потребує кращої дисципліни після аудиту та операційних заходів безпеки, якщо вона хоче суттєво зменшити втрати.

Дискусія Sentora і графік нагадують, що безпека у DeFi — це процес, а не сертифікат. Аудити допомагають виявити проблеми, але не зупиняють їх виникнення. Поки команди не почнуть ставитися до безпеки як до безперервної роботи, а не до галочки, головні показники, ймовірно, продовжать зростати.