Застій у DeFi-шахрайствах екосистеми TRON: білий список — порожня формальність

Одна справа з DeFi-шахрайством у екосистемі Tron спричинила великий резонанс і знову висвітлила проблеми безпеки у сфері децентралізованих фінансів. За даними спільноти, один проект, що називає себе DeFi-шахрайським, успішно обманув користувачів на суму 2 мільйони доларів США, і найжальніше — цей шахрайський проект був внесений до офіційного білого списку, що викликало сильне обурення постраждалих.

Амбіції孫宇晨: створення DeFi-екосистеми у Tron

Під впливом амбіцій «Наступна хвиля DeFi розгорнеться у Tron»孫宇晨, який неодноразово звинувачувався у плагіаті, запустив серію DeFi-продуктів. Спочатку він представив JUST (JST), який називає «найсильнішим DeFi-проектом у TRON», а потім — JustSwap, заявляючи, що це «Uniswap на TRON». У серпні того ж року він випустив JUSTLend, позиціонуючи його як «Compound на TRON». Ці кроки свідчать про намір孫宇晨 швидко побудувати DeFi-екосистему у Tron шляхом копіювання вже існуючих проектів.

Однак, як показала практика, цей швидкий шлях розширення не йшов так гладко, як очікувалося. Екосистема JUST нещодавно стикнулася з кількома кризами, що не лише виявили ризики окремих проектів, а й підкреслили глибокі недоліки системи перевірки всієї екосистеми.

Шахрайство з Tron Supernode: як обійти білого списку?

Найяскравішим прикладом є проект Tron Supernode. Цей DeFi-шахрайський проект з’явився у білому списку Foundation JUST і з’явився там цілком офіційно, але після завершення шахрайства швидко зник. За інформацією, оприлюдненою спільнотою, Tron Supernode спершу закрив канали у Telegram та інших соцмережах, потім очистив офіційний сайт і деактивував відповідні акаунти, що зробило неможливим виведення коштів користувачами.

Ця шахрайська схема має вражаючі цифри: загальна сума заблокованих TRX становила близько 2 мільйонів доларів США. Після «зникнення» залишок на контракті становив 1,3 мільйона доларів, але через обмеження білого списку користувачі не могли вивести свої кошти, і вони були заморожені на блокчейні. Іронія полягає в тому, що навіть через тривалий час після інциденту інформація про Tron Supernode все ще залишалася у білому списку JustSwap.

Чому система білого списку виявилася неефективною?

Спільнота висловила гостру критику. Виникнення шахрайств у DeFi не є випадковістю — за цим стоять системні недоліки у процесі перевірки. Спочатку метою Foundation JUST було запобігти проникненню шахрайських проектів у екосистему, але в підсумку білий список став інструментом для шахраїв, що дало змогу зловмисникам діяти.

Ще у березні цього року у статті повідомлялося, що інший проект у рамках JUST — Djed — був звинувачений у прямому плагіаті MakerDAO (MKR) і швидко перейменований у Just. Подібних уроків було кілька, але вони не змусили керівників екосистеми бути більш обережними.

Спільнота зазначає, що процес перевірки Foundation JUST має очевидні недоліки, особливо у частині аналізу смарт-контрактів. Глибокий аналіз логіки контрактів міг би допомогти виявити більшість шахрайських проектів. Ще більш важливою є рефлексія щодо того, що команда, яка стоїть за блокчейнером TRON, має достатньо технічних можливостей для аудиту контрактів, і ця задача не повинна була становити для них труднощів.

Від JUST до системних ризиків у DeFi

Цей випадок відображає глибші проблеми у сфері DeFi. Коли керівники екосистеми не забезпечують належний рівень перевірки проектів або процес перевірки має прогалини, шахрайство у DeFi стає можливим. Система білого списку повинна була захищати користувачів, але при відсутності належної перевірки вона стала прикриттям для шахраїв.

Хоча Tron Supernode ще не здійснив масштабний переказ коштів, його статус у DAppRadar як «підозрілого проекту» має викликати настороженість. Це свідчить про те, що при кращій взаємодії різних даних у екосистемі багато шахрайств можна було б виявити на ранніх стадіях.

На момент публікації цієї статті TRON і Foundation JUST не зробили офіційних заяв щодо інциденту. Це мовчання ще більше посилило сумніви спільноти щодо безпеки та управління екосистемою. Вирішення проблем шахрайства у DeFi вимагає зусиль усіх сторін — від самих проектів, через жорсткий контроль з боку регуляторів, до постійного моніторингу спільнотою.