DeFi: Sdílení rizik, odměn a odpovědnosti.

Decentralizované finance mohou přidat hodnotu síti a životům lidí… pokud naše vzrušení nevede k tomu, že budeme tančit přímo z útesu.

(Taylor Monahan) (14. července 2020)

Původně to byla přednáška, kterou jsem přednesl na akci DeFi Discussions společnosti Dystopia Labs .

V době této přednášky (začátek května 2020), dForce and Hegic exploity se oba odehrály v předchozích 14 dnech. Bylo to také před příchodem vládních tokenů, IDO a výnosového zemědělství. Jde ale méně o konkrétní události a více o budování systému, který prospěje lidé, neubližujte jim.

Sam Sun vstřikuje trochu černého humoru po dalším incidentu DeFi.

DeFi rostl pozoruhodně rychle a jako vždy, růst přináší hacky, útoky, zneužití, incidenty, nehody a obecně nezamýšlené důsledky. Od ledna 2020 do května 2020 se zdálo, že všechny Bad Things ™ produkty DeFi. Nebo jsem se jen příliš soustředil na události v prostoru DeFi? Pojďme se podívat …

Jednou z nejzajímavějších věcí je, že veřejně zveřejňované / hlášené výměnné hackery jsou ve srovnání s minulým rokem o hodně nižší . Do této doby v roce 2019 bylo sedm masivních výměnných hacků: Cryptopia, Bitrue, Coinmama, Coinbin, DragonEx, Bithumb a poté Binance (4. května). Skutečnost, že na burzách je méně hacků, je zajímavá, ale je také zajímavé, že velikosti těchto hacků byly relativně malé. Je to pravděpodobně poprvé za více než 5 let, kdy byl počet výměnných hacků tak nízký.

Od té doby došlo u BlockFi k narušení dat poté, co byl zaměstnanec vyměněn. Nebyly odebrány žádné prostředky ani hesla zákazníků, ale informace o zákaznících byly.

Po přednášce někteří uvedli, že je možné, že hackery odhalují méně burzy, ne skutečná počet se snížil. To poněkud podporuje zpráva CryptoCore , i když v první polovině roku 2020 se aktivita této skupiny zmenšila. Potenciální důvody poklesu skutečných hackerů nebo hlášených hackerů může to být způsobeno tím, že se více aktiv odděluje v teplých a chladných skladech, vyčleněním peněz jako „pojistného“ fondu, zvýšenou ziskovostí / splatností obecně, makroekonomickými podmínkami jako COVID-19 nebo medvědími tržními podmínkami přitahujícími menší pozornost.

Další zajímavý zážitek z pohledu sbírky špatných věcí ™ spočívá v tom, že peněženka vykořisťuje a loupeže, a velikosti těchto loupeží se zvýšily.

  1. Rok jsme zahájili pomocí Peněženka IOTA Trinity , která byla kompromitována prostřednictvím infrastruktury Moonpay při cíleném útoku. Říká se, že byly ukradeny 2 miliony $ a jejich posmrtný je vynikajícím čtením.
  2. Krátce nato čínský investor byl vyměněn SIM a BTC a BCH v hodnotě 30 milionů $ byly odcizeny . Toto je pravděpodobně největší zaznamenaná ztráta způsobená výměnou SIM karty. ((Chraňte se před swapy), prosím.)
  3. Došlo k upticku v škodlivých rozšířeních Chrome zaměřených na Ledger, MEW, MetaMask, a mnoho dalších.
  4. V poslední době jsme viděli tento obrovský podvod s odchodem z peněženky EOS . Pachatelům se možná podařilo uniknout s EOS v hodnotě 52 milionů dolarů. Nesleduji ekosystém EOS pečlivě, takže toto číslo se může mýlit – doufám, že se mýlí – ale bez ohledu na to, tvůrce peněženky evidentně zaznamenal velký únikový podvod. To bolí.
  5. Také jsem zapomněl zahrnout různé problémy ZecWallet , které v otázkách zranitelnosti a bezpečnostního dramatu soupeří s DeFi.

A nakonec se podívejme na náš vlastní ekosystém. Toto je právě teď DeFi. Toto je docela dlouhý seznam. Je pravda, že jsem zahrnul blízké chyby, ale myslím, že bychom jim měli věnovat pozornost, protože nemůžeme předpokládat, že lidé jako Sam Sun a 1inch.exchange zachrání den znovu a znovu a znovu.

😈 Skutečné zneužití, kde došlo ke ztrátě peněz:

😬 „Blízké chyby“, kde došlo ke zveřejnění a řešení:

  • 20. ledna: (1inchexchange zjistí & odhalí exploit ve Fulcrum / bZx.)
  • 18. února: (Sam Sun zodpovědně zveřejňuje zneužití Authereum).
  • 24. února: (Sam Sun A Mudit Gupta odpovědně zveřejňují dva zneužití Nexus Mutual).
  • 24. března: Sam Sun odpovědně zveřejňuje Hegic Exploit .

😱 „Blízké zmeškání“, kde kdyby nebylo chyceno, vedlo by to ke značným ztrátám:

Pak uprostřed to vše jsme měli ⚰ Černý čtvrtek.

Byl to katastrofický den na tradičních trzích, který rychle zasáhl kryptosvět. Po zvážení všech věcí jsme se docela dobře vzpamatovali z kaskádových efektů, které ohrožovaly kolík DAI, prudce vzrostly náklady na plyn, likvidovaly pozice a omezily použití věštců.

Černý čtvrtek je dobrou připomínkou, že rizika přicházejí ve všech podobách. Může být vyčerpána jedna platforma nebo globální ekonomické podmínky v kombinaci se zvýšenou skladatelností mohou vést ke kataklyzmatickým událostem. I když doufejme, že se už v blízké době nedočkáme dalšího Černého čtvrtku, kaskádové efekty se dají poučit z   a   pokusu   k   ochraně   proti, zejména proto, že propojená lega DeFi jsou ještě pevněji spojena. Možná nebude trvat něco tak velkého, aby způsobovalo problémy.

Nakonec stojí za zmínku, že jsme neměli příliš mnoho výstupních podvodů (v DeFi nebo Ethereum), kde si produkt získá důvěru každého a poté se spustí pryč s taškami. To znamená, že existuje spousta Ponziho schémat a zjevných podvodů, kterým se podařilo utéct s miliony nebo které stále probíhají   * kašel *   Hex   * kašel *. Rádi bychom v určitém okamžiku viděli zneužití administrátorských funkcí smluv. Pravděpodobně uvidíme výstupní podvody. To by nás mělo vyděsit. A ano, prosím, všichni klepejte na dřevo.

To je to, kolik peněz je „zamčeno“ v konkrétních protokolech DeFi k 29. dubnu 2020. Jelikož denominujeme všechno v USD, může toto číslo vzrůst opravdu rychle, až se zvýší cena ETH. Těsně před tímto rozhovorem jsme viděli pumpu, kde cena byla 172 $, když jsem šel spát, a více než 200 $, když jsem se probudil.

Pokud se tento trh houpá vzhůru jako v roce 2017, uvidíme tyto typy pump každý den. Pokud vyvíjíte inteligentní kontrakt DeFi, můžete z příliš rychlého přechodu z 1 milionu na 100 milionů na zpracování a přizpůsobení       nové   okolnosti. To je jedna z věcí, která mě děsí nejvíce.Rok 2017 byl vzrušující, ale také děsivý, když jsem viděl použití vzlétnout s mým produktem. Po celé roky 2017 a 2018 jsem byl dva nebo tři kroky pozadu a neustále hasil požáry. A nikoho jsem nedržel, doslova ani prostřednictvím chytré smlouvy.

I když žádní noví uživatelé začněte používat svůj produkt nebo vložte peníze do své chytré smlouvy, hodnota skočí, když trh   skočí.

Po zvážení všech věcí jsme měli velké štěstí, že bylo zodpovědně zveřejněno mnoho katastrofických činů. Počet triků, které jsme ve 13. hodině vytáhli, byl pozoruhodný.

Procházeli jsme se, jako bychom budovali lepší zítřek, zachraňovali svět a vydělávali peníze z lodí. Ve skutečnosti zamykáme kryptoměny, pálíme kryptoměny, zahazujeme je, splachujeme je na záchodě a všechno mezi tím.

Z těchto protokolů DeFi byly za poslední 4 měsíce ztraceny pouze jeden nebo dva miliony dolarů. Ale důvod, proč používám slovo „pouze“, je ten, že můžete vidět, že osm z nich bylo zodpovědně zveřejněno   nebo   objeveno   autor   interní   členové   z   tým  . Například v pozoruhodném vývoji událostí dokázala společnost 1inch a další získat zpět většinu finančních prostředků ukradených v hackeru DForce za 25 milionů $. to se neděje. Hackeři peníze nevracejí. Opět se nemůžeme spoléhat na to, že Sam Sun, 1 palec nebo kavalérie bílých klobouků pokaždé vrátí 25 milionů $. Musíme zajistit lepší zabezpečení našich produktů, omezení a systémů, aby se na prvním místě nebral $ 25M.

Pokud budeme pokračovat po cestě, po které jdeme, dostaneme nám zadky a poškodí to vyhlídky DeFi a tento ekosystém. A opravdu se mi líbí DeFi. Důvod, proč o DeFi tolik mluvím, je ten, že chci, aby uspěl. Způsob, jakým k tomu přistupujeme právě teď – věci, které děláme, věci, které neděláme, postoje, které máme – bohužel nekončí duhami   a   jednorožci. Chceme cestu, z níž   těžíme, vyděláváme peníze a transformujeme finanční systémy, které řídí naše životy. Pokud se tam chceme dostat, musíme se dostat na vyšší úroveň.

Hegic and Trail of Bits

V květnu proběhla spousta diskusí o tom, jak bylo možné zabránit hegickému zneužití a auditu, který Trail of Bits provedl.

Mnoho lidí upozornilo na skutečnost, že společnost Trail of Bits „auditovala“ inteligentní smlouvy společnosti Hegic, ale společnost Trail of Bits objasnila, že se jednalo spíše o velmi krátkou kontrolu než o komplexní audit. Mohl bych si promluvit jen o Hegicovi, ale přišlo několik zajímavých návrhů … Jedním z nich je, že by auditoři měli vsadit celou hromadu peněz, a pokud dojde k hacknutí smlouvy, pak se tyto peníze použijí na vrácení peněz lidem. Je zřejmé, že v okolí licencovaných softwarových inženýrů je drama. Někteří navrhli, že než mohou uživatelé vložit své peníze do jakýchkoli projektů DeFi, musí projít testem s výběrem odpovědí, aby prokázali, že plně rozumí rizikům, která doprovázejí jejich akce, a přijímají je. fanoušek kteréhokoli z nich. Pokud oddálíme a podíváme se na vše, co se děje ve vztahu ke světu, ve kterém žijeme, uvědomíme si, že je větší problém než volat kontrolu jako audit.

Pojďme se podívat na to, jak se audity odehrály v celé historii. Většina tradičních společností (víte, obrovské kanceláře se servery nebo dokonce nadnárodní konglomeráty s lidmi ve svých skladech pobíhajících s přilbami a pomocí vysokozdvižných vozíků) všechny provádějí audity různých typů. Tyto audity slouží velmi odlišnému účelu než audit TrueCrypt . TrueCrypt a podobné projekty jsou open-source a mají neustále se měnící skupinu přispěvatelů, kteří jsou někdy anonymní.

Například v tradičním podnikovém prostředí můžete mít časté průběžné interní audity prováděné lidmi mimo společnost (zejména pokud máte regulační překážky) k posílení bezpečnosti. Protože pokud to není bezpečné, peníze jsou ztraceny, zaměstnanci přicházejí o práci, generální ředitel je vyhozen atd.

Ve světě OG, cypherpunk, open-source, je to úplně jiné.Vyskytly se případy, kdy byl audit zabezpečení crowdfundován pro projekt, aby se zajistilo, že vývojáři píší dobrý a bezpečný kód, ale také aby se zjistilo, že ve skutečnosti nejsou back-dooringem vše pro NSA.

To jsou dva zcela odlišné konce spektra a ty z nás v naší malé bublině DeFi jsou někde uprostřed.

Když žijete v tomto prostoru, je snadné zapomenout na to, jak jsou infrastruktury prchavé, ale je to šílené. Máte tokeny, které jsou dnes distribuovány, ale zítra je lze prodat za 2x (nebo 0,5x), aniž byste měli nárok. Nemáte lidi, kteří investují do vaší společnosti natolik, že investují do vašich tokenů – to jsou děti na internetu, které pravděpodobně mají trochu ADHD a skákají od tokenu k tokenu, vždy chtějí nejnovější věc.

Chceme všechno decentralizovat a někdy to můžeme trochu přehnat. Například některé projekty si ponechají přepínače zabíjení, ale pokud se chytré smlouvě stane něco špatného, ​​pak jen trochu posuneme vinu.

Myslím, že budeme muset počítat s celým anonymem cypherpunková kultura. Máme satoshi a satoshi bylo dobré, takže někteří lidé předpokládají, že polocentralizovaný projekt, který vezme všechny vaše peníze a má anonymního zakladatele, je také dobrý. Musíme si uvědomit, že být anonymní je ve skutečnosti nedůvěryhodný signál, nikoli důvěryhodný. Satoshi byla anomálie. Musíme být skeptičtější.

Stavitelé DeFi jsou různí. Říkám jim stavitelé, aby zachytili celou řadu lidí vytvářejících produkty DeFi, nejen generální ředitele.

Stavitelé DeFi mají nové organizační struktury; sídlí ve všech zemích nebo v žádných konkrétních zemích, jedná se o DAO nebo o řadu dalších věcí. Jsou velmi experimentální a narušují tradici. Jejich „kapitál“ je obvykle token a MOŽNO má blokování, ale možná ne, a může být zítra prodán. Budují tyto systémy pomocí kryptoměny a využívají novou organizační strukturu, kterou neuznává žádná vláda.

Lidé vytvářející produkty mají velmi vysokou chuť k riziku. Pokud se podíváte na spektrum stavitelů v tomto prostoru, uvidíte ty, které považujete za více či méně riskantní, ale pokud oddálíte… jsme všichni tady na super vysoké- strana rizika. Když velmi přiblížíte, je snadné získat nesprávnou představu, že je někdo v bezpečí. Každý se zapojuje do skutečně riskantního chování a ovlivňuje to rozhodnutí, která děláme, jak vidíme a vytváříme věci a jak o nich mluvíme.

A samozřejmě máme celý tento aspekt držitele shilleru / tokenu – nejbližší ekvivalent akcionáře. Mohou ovlivnit vás a cenu vašich akcií (nebo v tomto případě vašeho tokenu). Tokeny bohužel nejsou stejné jako investování kapitálu, protože lidé tyto tokeny neustále obracejí. Chtějí, aby byl tento token / projekt / cokoli spuštěn, a chtějí z toho získat.

Máme tuto tendenci zacházet s projekty DeFi trochu jako s tradičními společnostmi určitými způsoby – VY získáte audit, VY prokážete jste v bezpečí, VY platíte účty – ale pak s nimi zacházejte jako s super decentralizovanými magickými zvířaty jinými způsoby. To vytváří velké konflikty.

Vytvořili jsme tuto šílenou vlivnou komunitu jednotlivců, kteří investují do těchto tokenů a podstupují obrovská rizika pro tyto velmi krátkodobé zisky. Načerpají to. Budou za to stavět roboty. Budou to arbitrovat. Budou to bít, bít, bít. A pokud se něco pokazí, ti samí jedinci budou bojovat zuby nehty, aby bránili tento projekt, a budou usilovat o opětovné zapnutí protokolů, i kdyby byli hacknuti o dva dny dříve. Důvod, proč to tito „investoři“ dělají, je ten, že již ztratili X částku, a pokud se tento protokol nezapne ASAP, ztratí více. Takže tito držitelé tokenů, lidé, kteří mají v těchto protokolech peníze, jsou motivováni tlačit na stavitele těchto protokolů, aby je znovu zapnuli teď.

To je špatné.

Kam tedy odsud půjdeme?

Musíme poskytnout ochranu před nejhoršími pachateli, nejhoršími žetony a nejhoršími shillery – těmi, kteří neberou ohled na bezpečnost a nevědí o něčem špatném, co by se mohlo stát. Musíme však také odměnit dobré chování, a to právě teď chybí.Pokud MakerDAO trvá dva roky, než se vůbec dostane k testnetu, nikdo není jako „hej, lidi, děkuji vám za vaši píli a za čas potřebný k vybudování tohoto komplexního systému, který bude obsahovat miliardy dolarů.“

Místo toho lidé říkají: „Duuude, trvalo ti to DVA ROKY ?! a jste pouze na TESTNETu? Proč ještě nejste na mainnetu? “

To musí jít. Musíme být lepší v odměňování dobrého chování. I když někdo vyklouzne, pokud prokáže, že to bere vážně a poučí se z chyb, a bude jednat podle svých chyb, měl by být odměněn.

Pokud budeme stále tlačit na to špatné a zatahovat dobré, všechno bude silnější.

Bezpečnostní audit znamená pouze to, že projekt má dostatek peněz na zaplacení auditu. Neznamená to, že je projekt bezpečný. Mohl bych celý den mluvit o auditech, o tom, jaké jsou a jaké jsou ne. Chci jen zdůraznit, že bezpečnostní audit je jako pohled třetích stran, který přichází dovnitř a zkoumá váš kód. Je to jeden malý aspekt dobré zabezpečené kultury a dobré zabezpečené společnosti.

Pokud je pro zabezpečení vašeho produktu vše, co děláte, je vše v bezpečí. A (nemělo by se to říkat, ale tady jsme), pokud se váš audit vrátí s celou řadou chyb, musíte je řešit, abyste byli skutečně bezpečnější .

Auditoři v poslední době chytají trochu tepla, protože jejich zprávy z auditu nevycházejí a neříkají věci upřímně. Jejich profesionální zdvořilost vyžaduje, abyste četli mezi řádky, ale jak tento prostor dospívá, doufám, že budeme mít více novinářů a vědců, kteří mohou tyto složité technické dokumenty přeložit do lidské řeči. Ale zatím si musíme pamatovat, že audit je dobrá věc, kterou lidé musí udělat, ale je to jen jeden krok. Nezaručuje bezpečnost a neměli byste s ní zacházet jako s razítkem schválení.

Dobře, a pak chci, aby se každý pokusil být skeptičtější. Myslím tím, když se podíváte na nový projekt nebo přejdete na DefiPulse a existuje název protokolu, který jste nikdy předtím neslyšeli … místo toho, abyste byli nadšení a okamžitě do něj vrhali peníze, zastavte se a přemýšlejte:

„Tito lidé chtějí moje peníze.“ Tato stránka je navržena tak, aby mě manipulovala s tím, abych jim dal své peníze. Je to dobré rozhodnutí? Jaké věci potřebuji vědět, abych mohl učinit toto rozhodnutí? “

Musíme být skeptičtí a bude to chvíli trvat. Je to posun postoje, který musíme vštípit sobě i sobě samým, stejně jako nováčkům vstupujícím do prostoru, protože právě oni jsou pro tento typ věcí nejvíce ohroženi.

Zeptejte se. Je to jedna z nejsilnějších věcí, kterou může kdokoli v této komunitě dělat, ať už jste designér, umělec, nejlepší bezpečnostní technik nebo basketbalista! Nezáleží na tom, zda jste technický.

Nemáte pocit, že je to hloupé. Není to hloupé. I když je to hloupé, někdo jiný měl stejnou otázku, takže můžete být spolu hloupí. 😉 Ale vážně, v tomto prostoru je takový nedostatek informací, že mohu upřímně říci, že neexistují žádné hloupé otázky. Opravdu tam nejsou.

Zde je několik příkladů:

  • Mají audit?
  • Kdy byl audit proveden?
  • Kdo audit provedl? Jak dlouho na tom byli auditoři?
  • Kdy byl spuštěn testnet? Kolik objemu to zvládlo? Změnil se kód?
  • Kde je dokumentace? Je to dobré?
  • Jak komunikují s lidmi na sociálních médiích? Jsou transparentní? Bičují, když zpochybňujete jejich kulturu zabezpečení?
  • Kde jsou jejich testy? Jak často jsou aktualizovány?
  • Je jejich kód dokonce open-source?
  • Je jejich kód ověřen na Etherscan?
  • Mají bezpečnostní e-mail?
  • Mají program odměn za chyby?
  • O čem mluví nejvíce na sociálních médiích nebo v rozhovorech? Zabezpečení nebo další velká věc?
  • Je v nich bezpečnostní technik? Mají pět? Mají 500?
  • Mají nějaké inženýry? Jsou tito inženýři skuteční lidé? Tolik ICO právě mělo falešné týmové stránky plné falešných lidí – dokonce i celebrit!

Consensys Diligence právě napsal celý příspěvek o otázkách, na které byste se měli ptát !

  • Jaké speciální akce mohou administrátoři podniknout?
  • Na kterých věštbách závisí váš systém?
  • Na kterých burzách závisí váš systém?
  • Je zdrojový kód vašich smluv veřejně dostupný?
  • Jaký je rozsah odměn?
  • Máte písemný plán, který popisuje, jak zacházet s bezpečnostní incident?
  • Které scénáře zohledňuje váš plán?
  • Byla některá část vašeho systému vyloučena z rozsahu auditu?

… A tolik dalších. Rozhodně si to přečtěte .

Společenský tlak je silným motivátorem a pravděpodobně jediným motivátorem, který může působit proti finančním pobídkám, o kterých jsme hovořili dříve.

Interně musíme být skeptičtí. Ale navenek musíme tento skepticismus ukázat . Musíte ukázat těmto projektům, jak hledají peníze, na čem vám záleží – že vám záleží na bezpečnosti a pečlivosti. Nechte je věnovat zdroje, aby si byli vědomi špatných věcí, které se mohou potenciálně stát.

Vždy se mi líbí, když se lidé ptají na naše zásady ochrany osobních údajů nebo audity. Audity jsou pro mě a můj tým důležitými požadavky a my je děláme pro sebe stejně jako pro naše uživatele.

je získejte audit nebo ne vytvořte model ohrožení. Je jednodušší vložit Google Analytics na váš web. A je to ještě jednodušší, když se o tyto věci nikdo nestará a není za to odměna. Jediná odměna je nehmotná. Je to výchozí stav „ne hacknutí“. Ale komunita má moc odměňovat lidi za dobré volby, které dělají.

Blockchain je ve skutečnosti opravdu úžasný z pobídek. Je to něco jako celý účel blockchainu. Byl vytvořen za účelem vytvoření této pozoruhodné motivační struktury, takže do stejného týmu může být kdokoli z kteréhokoli místa na světě. Což znamená, že jsme všichni ve stejném týmu. To znamená, že to čtou všichni, ať už něco budujete, nebo generální ředitel. nebo jen sledujete, jak se drama odehrává na Twitteru, jste součástí tohoto ekosystému. Proto je vaší odpovědností pomoci zajistit, aby bylo více dobrého než špatného a více úspěchu než neúspěchu.

Odměňte dobré, vyhoďte špatné a všichni se budeme mít lépe.

Jsem Taylor Monahan. Jsem zakladatel a generální ředitel společnosti MyCrypto. Jsme vždy na Twitteru. Podívejte se na stránku beta.mycrypto.com a řekněte nám, co se vám na ní líbí nebo co lze vylepšit, protože jsme na tom pro vás tolik pracovali. Děkuji mnohokrát.

Další zdroje a obsah

Audity zabezpečení / inteligentních smluv u výše zmíněných produktů

Audity bezpečnosti / inteligentních smluv od nejlepších auditorů

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *