Saxo Bank: Jaká jsou rizika decentralizace kryptoměn?

Decentralizace je klíčovou užitnou hodnotou kryptoměn. Umožňuje budování důvěry a poskytování služeb bez prostředníků. Ale protože nic není zadarmo, i s decentralizací jsou spojena závažná rizika.

Důkazem je nedávné zneužití platformy Wormhole, který umožňuje uživatelům přesun tokenů a NFTs mezi blockchainy Solana a Ethehreum. Výsledkem jsou škody za 320 milionů dolarů. To může snížit důvěryhodnost decentralizovaných aplikací a dát podnět k další regulaci.

Finanční platforma Wormhole umožňuje přenos informací z jedné kryptosítě do druhé. Stojí za ní společnost Certus One, kterou vlastní přední market maker firma Jump Crypto, a dceřiná společnost Jump Trading. Jak už bylo řečeno Wormhole umožňuje uživatelům převádět tokeny a využívat aplikace napříč platformami různých kryptoměn (tzv. přemostění, pozn. red.), jako jsou Ethereum, Solana či Terra.

Nejpoužívanější přemostění pomocí Wormhole je právě mezi Ethereem a Solanou. A právě to se stalo v únoru cílem útoku, z něhož se vyklubalo jedno z nejrozsáhlejších zneužití protokolů decentralizovaného financování v oblasti kryptoměn. (podle agentury Reuters šlo o čtvrtou největší krádež kryptoměn v historii, pozn. red.)

Zneužití za 320 milionů dolarů

Hacker, který zneužil Wormhole, si přišel na 120 000 ether, což v dané chvíli odpovídalo 320 milionům dolarů (bezmála 7 mld. Kč).

Zjednodušeně řečeno, tento hacker dokázal přesvědčit platformu, že určitá osoba uložila etherea, které mají být podle uzavřené smlouvy uvolněny ve formě odpovídající částky v tzv. wrappovaných Etherech (wETH). To jsou tokenizované etherea na platformě Solana kolateralizované prostřednictvím skutečných etherů s využitím protokolu Wormhole.

Jakmile získal hacker na platformě Solana příslušné wETH, vrátil se k Wormhole a nechal si většinu proplatit ve skutečných etherech. Problém ovšem spočíval v tom, že tyto wETH ve skutečnosti kolaterializované nebyly. Zbývající wETH pak hacker směnil na decentralizovaných burzách na platformě Solana za jiná aktiva, čímž se wETH bez kolaterálu rychle zbavil.

Odměna za odhalení

Tým Wormhole obratem nabídl hackerovi za odhalení chyby odměnu 10 milionů dolarů pod podmínkou, že peníze vrátí. Hacker však podle všeho neměl zájem, protože následně společnost Jump Crypto převedla z vlastních účtů na Wormhole ekvivalent 120 000 ETH.

A na Twitteru uvedla: „Jump Crypto věří v budoucnost vzájemně propojených blockchainových platforem, pro niž Wormhole zajišťuje nezbytnou infrastrukturu. Uhradili jsme proto chybějících 120 tisíc ETH, aby tím neutrpěli členové komunity a abychom podpořili Wormhole v době, kdy se teprve rozvíjí.“

Hacker zatím s ukradenými ethery nijak nenaložil a převedení tak velké částky na hotovost bude dosti náročné. Těch pár burz, brokerů a mimoburzovních obchodníků, kteří jsou schopni takovou sumu proplatit, ji totiž zmrazí už v okamžiku, kdy se v příslušné ETH peněžence objeví, protože jim bude jasné, odkud ty peníze pocházejí.

Rizika existují

Zneužití protokolu Wormhole však mj. upozorňuje na rizika decentralizace. V roce 2021 došlo při zneužití decentralizovaných aplikací k celkovým ztrátám ve výši 1,3 miliardy dolarů, což je více než dvojnásobek částky z roku 2020.

V decentralizovaných aplikacích si totiž lidé ukládají čím dál víc peněz. Zneužití protokolu Wormhole tak rozhodně není ani první, a co je důležitější, nejspíš ani poslední podobné zneužití prostředků. Decentralizované aplikace jsou prostě zatím poměrně zranitelné a zranitelné pravděpodobně zůstanou ještě celé roky.

Navíc je potřeba si uvědomit, že za vývojem Wormhole nestojí nějaký teenager, který vyvíjí software ve svém pokojíčku u maminky. Za vývojem ve skutečnosti stojí renomovaná společnost Jump Trading, jeden z největších market makerů, kteří se zabývají akciemi, opcemi, futures a kryptoměnami.

A pokud je možné zneužít protokol vyvinutý tak velkou korporací, jistě si dokážete představit, jak náročný je vývoj bezpečných decentralizovaných aplikací pro malé start-upy.

Kdyby navíc k takovému zneužití došlo naopak u nějakého malého start-upu, bude to pro danou firmu okamžitě konečná, protože nelze čekat, že během 24 hodin sežene přes 300 milionů dolarů v ETH na náhradu škody.

To v konečném důsledku omezuje tempo inovací v kryptoprostoru, protože jen málokdo bude chtít takovým způsobem riskovat svůj start-up a svou pověst.

Decentralizace na scéně

A tady vstupuje do hry decentralizace. Ta je klíčovou užitnou hodnotou kryptoměn, protože zpřístupňuje služby jako mezinárodní peněžní převody nebo decentralizované obchodování s nezaměnitelnými tokeny (NFT) normálně zprostředkované nejrůznějšími prostředníky.

Zároveň je ale i jejich významným nedostatkem. Konkrétně právě v případech zneužití decentralizovaných technologií.

Pokud k něčemu takovému dojde, mohou se vývojáři i uživatelé se svými penězi rozloučit, zatímco v centralizovaném systému může zodpovědná společnost transakci často ještě zrušit.

Což znamená, že v decentralizovaném systému mohou mít kybernetické útoky a zneužití prostředků mnohem horší následky. Útoky na kryptotrh obecně rozhodně nejsou ničím novým.

Poučí se kryptoměnové trhy?

Kdykoli dojde k podobnému zneužití, má komunita tendenci úplně otočit a prezentovat to jako něco celkem pozitivního.

Nejčastěji se používá argument, že se příslušná platforma (spolu se všemi ostatními) z příslušného zneužití poučí. A platforma to také zohlední při dalším vývoji, aby je v budoucnu nebylo možné podobně zneužít.

To je nejspíš pravda, ale způsobů, jak nejrůznější decentralizované aplikace zneužít, může být velmi mnoho. Případný vývoj bezpečných decentralizovaných aplikací metodou pokus-omyl tedy nebude nijak rychlý.

Lze namítnout, že decentralizované aplikace si prostě projdou stejnou fází učení a stejným vývojem jako například kryptopeněženky.

Ve stopách kryptopeněženek

V počátcích bitcoinu žádné velké kryptoměnové peněženky neexistovaly, takže se v prvních letech mnoho bitcoinů navždy ztratilo.

V těch dobách si asi jen málokdo dokázal představit, že by někdy instituce svěřily kryptoměnovým firmám do úschovy miliardy. Dnes už to nepředstavitelné není. Právě naopak, dnes už se to děje. Jak kdysi prohlásil dánský filosof, teolog a psycholog Søren Kierkegaard: „Životu můžeme rozumět pouze zpětně. Napřed ho ale musíme žít.“

Je důležité si uvědomit, že se první decentralizované aplikace objevily až v roce 2018, takže se jedná o poměrně nový fenomén. To znamená, že se celé odvětví ještě nachází kdesi v počátcích fáze učení.

Decentralizovaný audit

V posledních letech navíc začalo několik konzultačních firem, jako například OpenZeppelin, nabízet audit kódu decentralizovaných aplikací. To dále přispívá ke zvyšování jejich bezpečnosti. Kromě auditů nabízí tato firma také praxí prověřené rámcové chytré kontrakty, určené pro využití v nových decentralizovaných aplikacích.

To v zásadě znamená, že s tím, jak se bude odvětví dál rozvíjet, budou patrně k dispozici různé systémy a infrastruktury, s jejichž pomocí bude možné dále zvyšovat bezpečnost aplikací.

Na druhou stranu, i kdyby toto odvětví dokázalo v budoucnu omezit riziko zneužití prostředků skoro na nulu, zůstávají některé otázky. Např., zda budou obyčejní lidé decentralizovaným aplikacím – i vzhledem k historii zneužívání – ještě věřit.

Nehledě na to, že se s rostoucí popularitou decentralizovaných aplikací a hodnotou v nich uložených prostředků rychle stupňují možné důsledky takových zneužití. To může donutit regulační orgány k zpřísnění podmínek, než bude moci odvětví doložit, že dokáže fungovat bezpečně.