8 опасностей DEFI, о которых никто не говорит
9 мая 2023 г.Построенный на программном обеспечении с открытым исходным кодом в прозрачной среде с дегенерацией, где деятельность необратима и не требует правовой защиты, Defi представляет собой приманку огромной ценности, которая сопряжена с риском.
Существуя на стыке финансов и технологий, DEFI был провозглашен границей инноваций и решением проблем традиционной финансовой системы.
За последние несколько лет на рынок вышло целое море протоколов и приложений, подкрепляющих это обещание, и все они претендуют на то, чтобы предоставить какое-то уникальное ценностное предложение, которое обогатит жизнь его пользователей и защитит их от зла устаревших финансов…
Если предположить, что у этих проектов действительно были благие намерения (которых у большинства из них нет), ров информационной асимметрии из-за сложности самой технологии создает огромный разрыв между правдой, безопасностью и реальностью. Более того, DEFI наследует базовый примитив суверенитета от криптографии, где ответственность за владение активами и управление ими полностью находится в руках пользователей, уровень ответственности, с которым потребители никогда раньше не сталкивались.
Хотя эта благородная, утопическая миссия привлекла внимание людей со всего мира и привлекла сотни миллиардов долларов в виде ТВЛ, она не смогла выразить весь спектр потенциальных последствий во время своего развития.
Несмотря на то, что все проводимые эксперименты наполнили сети большей ценностью, уровень безопасности в отрасли совсем не изменился. (возможно, с переходом Ethereum на POS он мог даже ухудшиться).
Таким образом, единственный реальный способ защитить себя и свои активы от вихря мошенников, которые следят за вашими кошельками и пытаются украсть ваши деньги, — это вооружиться знаниями.
Конечно, это может звучать не сексуально. Но если вы сможете понять основные точки соприкосновения, которые могут привести к финансовому краху, вы будете гораздо более эмоционально подготовлены и, скорее всего, станете намного богаче.
Итак, без лишних слов, давайте обратим внимание на то, насколько действительно широка и разнообразна область риска в DEFI.
MEV (максимальное извлекаемое значение)
Ах, старый добрый искусство вымогательства в сети.
MEV — спорная тема в мире криптографии. Пожалуй, нигде больше, чем в секторе DEFI.
Проще говоря, MEV — это ботнет, который стремится опережать вашу транзакцию и выжимать любую потенциальную избыточную стоимость, которая должна вернуться к вам. Представьте себе, что вы платите за рубашку за 17 долларов купюрой в 20 долларов, а клерк в кассе говорит, что сдачи нет, потому что ему приходится прилагать физическую энтропию, чтобы вручную систематизировать купюры...
В DEFI каждая отдельная функция, от кредитования до торговли, подлежит MEV. Эти претенциозные боты могут реорганизовать/распределять/задерживать ваши транзакции, расставлять приоритеты для своих собственных и заставлять вас упускать возможности. Лучший способ заниматься финансами в сети — минимально; постарайтесь уменьшить количество необходимых взаимодействий.
Манипулирование оракулом
Учитывая, что протоколы DEFI существуют в средах блокчейнов, которые не знают об информации, которая существует вне их самих, им нужен метод, с помощью которого можно откуда-то получить свои данные.
Это делается с помощью оракулов.
Оракулы — это соединительные ткани между данными в сети и вне сети. Это конвейеры, по которым информация из реального мира направляется в цифровую экономику.
Всякий раз, когда вы заходите на такую биржу, как Uniswap, и видите цену Ethereum, за кулисами происходит то, что Uniswap запрашивает сеть Oracle (chainlink) указать вам цену из надежных источников. Затем этот Oracle сканирует/запрашивает другие площадки, предоставляющие запрошенные данные (Binance, KuCoin, 1inch и т. д.), и предоставляет спотовую цену для торговли.
В этом процессе получения запроса, поиска запроса и выполнения запроса подрывная деятельность завершается двумя основными способами:
1) Источник данных поврежден.
Источники, из которых оракулы получают информацию, вступают в сговор для создания поддельной информации, или их серверы взламываются, а данные подделываются. Chainlink может доверять Binance по цене ETH, но что произойдет, если информация о Binance сделает что-то вопиющее (поднимет цену в 10 раз)?
2) Сами оракулы повреждены.
Учитывая, насколько ценна информация, которую предоставляют оракулы, не исключено, что оракулы могут быть спровоцированы внешними силами на предоставление неверной информации.
Ошибки смарт-контракта
Самая фундаментальная форма риска существует в DEFI.
Смарт-контракты могут быть математически обоснованными, но когда их жестко запрограммированные структуры встречаются с чрезвычайно сообразительными хакерами, которые могут определить логические лазейки и найти эксплойты для истощения ликвидности протокола, вызвать массовую чеканку токенов или манипулировать функциями протокола, конечный пользователь становится конечным. заплатив максимальную цену.
Помимо того, что они могут быть подорваны злоумышленниками, плохо закодированные контракты могут просто привести к внутренним системным сбоям. Случайно неправильно определенная функция может привести к ошибке, которая навсегда заблокирует ликвидность, или одна строка кода, которая не отображает отношения между владельцами токенов и их правами на отправку токена, может заморозить активы в кошельках без возможности их перемещения. .
Логика, которая может работать в закрытом альфа-тестировании где-то в тестовой сети, не будет такой же, как в общедоступной основной сети.
Окончательную комбинацию неудач двух смарт-контрактов можно увидеть на болезненном примере Terra/Luna (миллиарды долларов R.I.P).
Волатильность цен
Возможно, вы уже слышали это раньше: криптоактивы волатильны... очень волатильны.
Там, где традиционные финансовые инструменты, такие как акции, могут колебаться в пределах +/- 3 % в день, для криптоактива совершенно нормально колебаться вверх на +/– 15 % в тот же день.
Когда речь идет о DEFI, мы не говорим о ценовом риске, связанном с тем, что вы просто владеете активом, мы говорим о том, как движение цены может повлиять на более экзотические формы подверженности портфелю. Существует два основных класса этого воздействия:
1) обеспечение ликвидности (непостоянные убытки)
Когда токены предоставляются AMM, а цена отклоняется от точного курса на момент внесения депозита, имеет место непостоянная потеря. Если ETH стоит 2000 долларов, и кто-то предоставляет ликвидность пулу ETH/USDC, он предоставит равное количество 1ETH + 2000 долларов США. Это, очевидно, повлечет за собой базовые транзакционные издержки, уже поставив их в яму, но тогда, если цена ETH вырастет до 2200 долларов, пользователь будет иметь право требовать только 1,1 ETH + 1800 долларов США. Учитывая, что будут понесены другие основные транзакционные издержки, пользователь должен будет подвергаться неизвестной продолжительности предоставления ликвидности для покрытия этих базовых затрат за счет полученного дохода. Более того, теперь пользователю придется пройти через большее количество посредников, чтобы пропорционально сбалансировать свою позицию (продажа 0,1th за USDT). Причина, по которой это называется непостоянной потерей, заключается в том, что колебания цен превышают доходность, которую можно было бы получить, просто удерживая актив. Подумайте об этом, человек, предоставивший ликвидность, предоставил 4000 долларов (1ETH @ 2000 долларов + 2000 долларов). Когда они вышли, они получили 4000 долларов (за вычетом комиссий). Если бы вместо предоставления ликвидности они просто держали те же активы, то получили бы 4200 долларов (1ETH @ 2200 долларов + 2000 долларов).
2) кредитование/заимствование (ликвидация)
Image ETH торгуется по цене 2000 долларов. Допустим, вы хотите занять 2000 долларов США. Для этого вы должны предоставить избыточный залог в ETH, чтобы взять кредит. Итак, вы блокируете 2 ETH (4000 долларов США) и берете кредит. На следующей неделе ETH падает до 1000 долларов. Теперь залог, который вы разместили, стоит 2000 долларов; уровень, который алгоритмически считается рискованным (если у вас есть залог только на 2000 долларов для кредита на 2000 долларов, у вас нет стимула возвращать его). Чтобы защитить кредитора, ваши активы продаются на рынке (вероятно, по 1100 долларов за штуку), и вы застряли с 1000 долларов вместо ваших первоначальных 2 ETH.
Основные сбои в блокчейне
Даже если протокол разработан правильно и кажется, что все работает нормально, существует не столь явная зависимость этого протокола от сети, в которой он развернут.
Нестандартное поведение валидаторов, неадекватность механизмов консенсуса и внезапные перебои в работе, среди прочего, могут привести к переполнению стека и привести к разрушительным последствиям для пользователей DEFI.
Вопросы управления
Как децентрализованная организация, проект DEFI должен иметь некоторую форму управления, чтобы направлять разработку проекта и контролировать его рабочие характеристики.
В случае внезапного бунта со стороны управляющего комитета, который приводит к какой-либо радикальной корректировке параметров, пользователь DEFI остается в вечной неопределенности. Хотя в большинстве случаев руководящий орган придерживается видения прогресса, интерпретация этого видения весьма субъективна.
Не говоря уже о том, что имели место мгновенные кредитные атаки, когда предложения силой продвигались организациями, которые приобретали достаточно большое количество токенов на открытых рынках только для того, чтобы проголосовать за свои собственные предложения.
Социальная инженерия
Злой, злой и отвратительный.
В этой индустрии нет героев. Каждый борется за себя. Безумному большинству проектов на вас просто наплевать.
Мошенники создадут самые сложные системы, чтобы подорвать ваше сознание. Они будут притворяться представителями проекта или биржи, в которой вы участвуете. Они будут звонить вам, отправлять текстовые сообщения, электронные письма и делать все возможное, чтобы заставить вас совершить какое-либо действие.
Наиболее распространенные формы социальной инженерии:
1. Делает вид, что предлагает вам бесплатные токены.
2. Притворяются официальными представителями других проектов.
3. Просьба о помощи через прямую переписку и предложение вознаграждения.
4. Говорит вам, что они могут помочь вам заработать деньги.
5. Отправка вам ссылки для нажатия… (это финансовое самоубийство).
Если кто-либо свяжется с вами по поводу чего-либо, отдаленно связанного с вышеизложенным. Игнорируй их. Если вас что-то беспокоит, выберите прямой доступ к официальным интерфейсам (веб-сайт/приложение), которые вы используете, и обратитесь к проектам. Официальные модераторы/администраторы не будут связываться с вами напрямую без вашего запроса.
Искажение сведений (Rugpulls)
Этот сектор все еще находится в зачаточном состоянии и не имеет какой-либо стандартной системы определений. Так много идиотских проектов разбрасываются модными словечками, пытаясь звучать убедительно и соблазнить неосведомленных пользователей.
Один из самых болезненных моментов — это когда Memecoin начинает предлагать людям экосистему DEFI для финансиализации NFT, которая может помочь решить проблему функциональной совместимости между блокчейнами.
Если последнее сообщение имело смысл для вас, будьте осторожны, вами воспользуются. Если вы поймали на глупости этого, спасибо, вы защищены.
Искажение намерений называется Rug Pull. Как можно догадаться из названия, люди вкладывают деньги в проект, а потом из-под них выбивают ковер. Тайные суперкодировщики создают фальшивые контракты для сбора денег, а затем в какой-то момент просто «пукают» и исчезают вместе с деньгами.
Как правило, если слоган/миссия проекта переполнены модными словечками, держитесь подальше от TF.
Есть много более сложных векторов безопасности, которые возникают всякий раз, когда вводятся межсетевые операции и рассматриваются передовые многоязычные тактики социальной инженерии.
Все, что имеет значение для вашей безопасности, — это понимание того, что с архитектурой блокчейна риск не устраняется, а просто трансформируется в новый тип риска.
Сигнал сирены DEFI — это замена человеческой инфраструктуры автоматизированной инфраструктурой смарт-контрактов. Компенсация человеческой ошибки математической логикой. Хотя интуиция может подтолкнуть нас к мысли, что математика более надежна, чем люди, правда в том, что у людей есть место для исправления ошибок, математика не знает разницы. Таким образом, профиль риска такой передачи доверия практически невозможно определить количественно.
Только не забывайте, что безопасных инвестиций в криптовалюту не бывает.
Пусть ваше путешествие по децентрализованным финансам будет плодотворным, а ваши сумки всегда будут защищены.
Оставайтесь там в безопасности!
:::информация Также опубликовано здесь.
:::
Оригинал