Éppen most lopott Észak-Korea 6 milliárd dollárt: miért vannak még mindig veszélyben a DeFi tárcák?

Őszintén szólva, a számok egyszerűen megdöbbentőek. A TRM Labs szerint Észak-Korea már a 2026-os hackelek értékének 76%-át irányítja. Miközben a hírekben mindenki az intézményi elfogadásról és Wall Street "biztonságos" érkezéséről beszél, a háttérben egy rendszeres biztonsági válság zajlik. Ha keresed a legbiztonságosabb DeFi protokollokat kezdőknek, értened kell, hogy a veszély nem csak egy hibás kód részletében rejlik, hanem abban, hogy ezeket a protokollokat valójában hogyan kezelik.

Mi történt pontosan?

A lopások legutóbbi hulláma, beleértve a Drift és a Wasabi Protocol esetét is, egy konkrét és végrehajtásban tökéletes mintát követ. A hackerek nem csak játékonosan próbálkoznak jelszavakkal, és nem is egy véletlenszerű hibát keresnek az okos szerződésben. Az adminisztrátori kulcsok után vadásznak.

Egyszerűen fogalmazva, az admin kulcs olyan, mint egy épület főkulcsa. Lehetővé teszi a fejlesztők számára, hogy frissítsék a protokollt, módosítsák a paramétereket vagy javítsák a hibákat. De ha egy észak-koreai hacker megszerezi ezt a kulcsot, nem kell a hagyományos értelemben "feltörnie" a rendszert. Egyszerűen utasítást ad a protokollnak, hogy küldje az összes pénzt az ő tárcájába, és a protokoll engedelmesen teszi, mert azt hiszi, hogy a tulajdonos adta a parancsot.

Pontosan ez történt a 2025 februári hatalmas 1,5 milliárd dolláros ETH-lopásnál a Bybitnél. A Lazarus Group egy Safe{Wallet} multisig interfészét kompromittálta. Bár a Bybitnek voltak tartalékai a veszteség fedezésére, az, hogy egy ilyen óriás entitást is treffen, azt mutatja, hogy senki sincs teljesen immun.

Miért rémálom ez a DeFi felhasználók számára?

A baj az, hogy sok DeFi projekt a sebességet és a "rugalmasságot" választja a biztonság helyett. Gyorsan akarják kipréselni a frissítéseket, hogy versenyképesek maradjanak. Ehhez pedig aktívan tartják az admin kulcsokat.

Évek óta követem ezeket a protokollokat, és újra meg újra ugyanezt a hibát látom. Egy projekt indul, ígér magas hozamokat, és azt mondja, hogy a kódt auditált. De egy audit csak a kódot ellenőri. Nem megvéd egy fejlesztő laptopját a phishingtől, és nem állít meg egy olyan csapattagot, akit blackmaillel kényszerítik a privát kulcs kiadására.

Amikor pénzedet egy protokollba teszed, nem csak a kódba bízs. Azon emberbe is bízs, aki rendelkezik a kód kulcsai felett. Ha ezek a kulcsok centralizáltak vagy gyengén őrzött, a pénzed gyakorylag egy olyan széfben van, ahol a kezelő a kulcsot a szőnyeg alá tette.

Hogyan találd meg a legbiztonságosabb DeFi protokollokat kezdőknek?

Ha új vagy ebben a világban és nem akarsz statisztika része léni, meg kell változtatnod, hogyan értékeled a projekteket. Felejtsd el az APY-t, és nézd a governance-t, azaz a kormányzást.

Először keresd az úgynevezett "timelock"-okat. A timelock egy olyan kód rész, amely kényszerít egy késleltetést (általában 24-72 órát) az admin által javasolt módosítás és annak tényleges végrehajtása közé. Ez időt ad a közösségnek, hogy lássák a rosszindulatú frissítést, és kivegyék a pénzüket, mielőtt a lopás megtörténne.

Másodozva, ellenőrizd a valódi decentralizációt. Ha egy projektet egy kis csoport irányít egyetlen multisig tárcával, az egy vörös zászló. Én azokat a protokollokat preferálom, amelyek DAO-vá (Decentralizált Autonóm Szervezet) váltak, ahol a változtatásokhoz a token tulajdonosok széles körű szavazása kell.

De még a legjobb protokoll mellett is a saját belépési pontod kockázatos. Túl sok embert láttam, aki mindenre "hot wallet"-et használ. Ha jelentős összegeket mozgatol, szükséged van egy hardveres aláíróra. Én személyesen a Ledger Stax megoldást javaslom, mert van benne Transaction Check funkció. Itt ténylegesen egyszerű angol nyelven láthatod, hogy mit írsz alá, ami segít kiszűrni a DeFi csalásokat, mielőtt véletlenül engedélyezned volna a tárcád kiürítését.

Véleményem a biztonság jelenlegi állapotáról

Hullaunottam már azt a narratívát, hogy "túl nagyok vagyunk a bukáshoz", csak mert megérkeztek az ETF-ek. Az intézményi pénz likviditást hoz, de nem javítja azt az alapvető hibát, ahogy a DeFi protokollok többsége működik.

Jelenleg "Bitcoin szezonban" vagyunk, a BTC dominanciája 60% körül mozog, az Altcoin Season Index pedig alacsony, 16-on áll. Ez azt jelenti, hogy a pénz a legbiztonságabb, legismertebb eszközbe áramlik. Tapasztalatom szerint pontosan ilyenkor kezdenek a "kísérleti" DeFi projektek kétségbeesetté válni, és parallaxoktával vágják a biztonságot, hogy csalagresszíven szerezzenek felhasználókat.

Ne hagyja meggyőzni magát a Fear & Greed index 40-es, semleges értéke, hogy a kockázat alacsony. A kockázat nem változott, csak a szereplők. Ha egy protokollnak nincs átlátható, timelockos kormányzati struktúrája, akkor nem "biztonságos" befektetés. Csak egy fogadás arra, hogy a fejlesztők képesek lesznek elkerülni egy phishing e-mailt. És tekintve arra, hogy Észak-Korea éppen 6 milliárd dollárral távozott, én nem fogadnék erre.