DeFi: Deling af risici, belønninger og ansvar.

Decentraliseret finansiering kan tilføre værdi til netværket og til folks liv … så længe vores spænding ikke resulterer i, at vi danser lige ud for en klippe.

(Taylor Monahan) (14. jul 2020)

Dette var oprindeligt et foredrag, jeg holdt ved Dystopia Labs DeFi Discussions event .

På tidspunktet for denne samtale (begyndelsen af ​​maj 2020), dForce og Hegic udnyttelser var begge sket i de foregående 14 dage. Det var også før fremkomsten af ​​regeringsmærker, IDOer og udbyttelandbrug. Men dette handler mindre om specifikke begivenheder og mere om at opbygge et system, der gavn mennesker, ikke skad dem.

Sam Sun indsprøjter sort humor efter endnu en DeFi-hændelse.

DeFi er vokset bemærkelsesværdigt hurtigt, og som altid bringer vækst hacks, angreb, udnyttelser, hændelser, ikke-hændelser og generelt utilsigtede konsekvenser. Mellem januar 2020 og maj 2020 så det ud til, at alle Bad Things ™ var med DeFi-produkter. Eller var jeg bare hyperfokuseret på begivenhederne i DeFi-rummet? Lad os se …

En af de mest interessante ting er, at offentliggjort / rapporteret udvekslingshacks er langt nede i forhold til sidste år . På dette tidspunkt i 2019 var der syv massive udvekslingshacks: Cryptopia, Bitrue, Coinmama, Coinbin, DragonEx, Bithumb og derefter Binance (4. maj). Det faktum, at der er færre hacks på børser, er interessant, men det er også interessant, at størrelsen på disse hacks har været relativt små. Dette er sandsynligvis første gang i 5+ år, at antallet af udvekslingshacks har været så lavt.

Siden da har BlockFi oplevet et databrud efter en medarbejder blev sim-swappet. Der blev ikke taget kundemidler eller adgangskoder, men kundeinformationen var.

Efter at have holdt dette foredrag kommenterede nogle, at det kan være, at mindre udvekslinger afslører hackerne, ikke at den faktiske antallet er faldet. Dette understøttes noget af CryptoCore-rapporten , selv om gruppens aktivitet er faldet i første halvdel af 2020. Potentielle årsager til faldet i faktiske hacks eller rapporterede hacks kan skyldes, at flere aktiver adskilles i varm og kold opbevaring, afsætter penge som en “forsikringsfond”, øget rentabilitet / modenhed generelt, makroforhold som COVID-19 eller baisse markedsforhold tiltrækker mindre opmærksomhed.

En anden interessant takeaway fra at se på samlingen af ​​dårlige ting ™ er, at tegnebogen udnytter og røverier, og størrelsen af ​​disse røverier har været langt op.

  1. Vi startede året med IOTAs Trinity-tegnebog , som blev kompromitteret via Moonpays infrastruktur i et målrettet angreb. Rygter siger, at $ 2 mio. Blev stjålet, og deres post mortem er en glimrende læsning.
  2. Kort derefter, en kinesisk investor blev SIM-byttet og BTC og BCH og BCH blev stjålet på USD 30 mio. . Dette er sandsynligvis det største registrerede tab på grund af en SIM-swap. ((Beskyt dig selv mod swaps), tak.)
  3. Der har været en uptick i ondsindede kromudvidelser målrettet mod Ledger, MEW, MetaMask, og mange flere.
  4. Senest så vi denne enorme EOS-tegnebog exit-fidus . Gerningsmændene er muligvis kommet væk med $ 52 mio. I EOS. Jeg følger ikke EOS-økosystemet nøje, så dette tal kan være forkert – jeg håber, det er forkert – men uanset var der åbenbart en stor exit-fidus fra en tegnebogskaber. Det gør ondt.
  5. Jeg har også glemt at medtage forskellige ZecWallet -problemer, der konkurrerer med DeFi, når det kommer til sårbarheder og sikkerhedsdrama.

Og endelig, lad os se på vores eget økosystem. Dette er DeFi lige nu. Dette er en temmelig lang liste. Indrømmet, jeg har inkluderet de nærmeste uheld, men jeg synes, at vi skal være opmærksomme på dem, fordi vi ikke kan antage, at folk som Sam Sun og 1inch.exchange vil redde dagen igen og igen og igen.

😈 Faktiske udnyttelser, hvor penge blev tabt:

😬 De “næsten savner”, hvor en afsløring og en opløsning fandt sted:

  • 20. jan: (1inchexchange finder & afslører udnyttelse i Fulcrum / bZx.)
  • 18. februar: (Sam Sun ansvarligt afslører Authereum-udnyttelse).
  • 24. februar: (Sam Sun OG Mudit Gupta afslører ansvarligt to Nexus-gensidige udnyttelser).
  • Mar 24: Sam Sun afslører ansvarligt Hegic Exploit .

😱 De “næsten savner”, hvis det ikke var blevet fanget, ville det have ført til betydelige tab:

Derefter midt i alt dette havde vi ⚰ Black Thursday.

Dette var en katastrofal dag på de traditionelle markeder, der hurtigt påvirkede kryptoverdenen. Alt i alt er vi kommet godt ud af kaskadevirkninger, der truede DAI-pinden, skyhøjede gasomkostningerne, likviderede positioner og begrænsede brugen af ​​orakler.

Black Thursday er en god påmindelse om, at risici kommer i alle former. En enkelt platform kan drænes, eller globale økonomiske forhold kombineret med øget komposabilitet kan føre til katastrofale hændelser. Mens vi forhåbentlig ikke ser en anden sort torsdag igen når som helst snart, er de kaskadeffekter noget at lære af   og   forsøg   til   beskyt   mod, især da de sammenkoblede DeFi-legoer bliver endnu tættere koblet. Det tager muligvis ikke noget så stort at skabe problemer.

Endelig er det værd at bemærke, at vi ikke har haft for mange exit-svindel (i DeFi eller Ethereum), hvor et produkt vinder alles tillid og derefter kører væk med poserne. Når det er sagt, har der været mange Ponzi-ordninger og åbenlyse svindel, der har formået at klare sig med millioner eller er i gang   * hoste *   Hex   * hoste *. Vi vil gerne se, at admin-funktionaliteten af ​​kontrakter misbruges på et eller andet tidspunkt. Vi vil sandsynligvis se exit-svindel. Det skulle skræmme os. Og ja tak, alle banker på træ.

Dette er, hvor mange penge der er “låst” i de specifikke DeFi-protokoller pr. 29. april 2020. Da vi denominerer alt i USD, kan antallet stige meget hurtigt, når ETH-prisen stiger. Lige før denne samtale så vi en pumpe, hvor prisen var $ 172, da jeg gik i seng og over $ 200, da jeg vågnede.

Hvis dette marked svinger opad, som det gjorde i 2017, vil vi se disse typer af pumper dag efter dag. Hvis du udvikler en DeFi-smart kontrakt, kan du gå fra at have $ 1 mio. Til $ 100 mio. For hurtigt til at du kan behandle og tilpasse   til     nye   omstændigheder. Dette er en af ​​de ting, der skræmmer mig mest.2017 var spændende, men også skræmmende, da jeg så brugen starte med mit produkt. I hele 2017 og 2018 var jeg to eller tre skridt bagud og slukkede konstant brande. Og jeg havde ikke nogens penge, bogstaveligt eller via en smart kontrakt.

Selvom ingen nye brugere begynd at bruge dit produkt eller deponér penge i din smarte kontrakt, værdien springer, når markedet   springer.

Alt i alt har vi været super heldige, at mange af de katastrofale bedrifter er blevet afsløret med ansvar. Antallet af tricks, vi har trukket i den 13. time, har været bemærkelsesværdigt.

Vi har gået rundt og handlet som om vi bygger en bedre fremtid, redder verden og tjener bådfyldte penge. I virkeligheden låser vi krypto op, brænder krypto, smider krypto væk, skyller den ned på toilettet og alt imellem.

Kun en eller to millioner dollars er gået tabt i de sidste 4 måneder fra disse DeFi-protokoller. Men grunden til at jeg bruger ordet kun er, at du kan se otte af disse blev ansvarligt afsløret   eller   opdaget   af   intern   medlemmer   af   et   team. For eksempel var 1inch og andre i en bemærkelsesværdig begivenhed i stand til at inddrive de fleste af de stjålne midler i $ 25M DForce-hacket. det sker ikke. Hackere giver ikke penge tilbage. Igen kan vi ikke stole på, at Sam Sun, 1 tommer eller et kavaleri af hvide hatte returnerer $ 25 mio. Hver gang. Vi skal være bedre til at sikre vores produkter og begrænsninger og systemer, så $ 25 millioner ikke tages i første omgang.

Hvis vi fortsætter ned ad den sti, vi er på, vil vi få vores røv overgivet til os, og det vil skade udsigterne til DeFi og dette økosystem. Og jeg kan virkelig godt lide DeFi. Grunden til, at jeg snakker så meget om DeFi, er, at jeg ønsker, at det skal lykkes. Desværre slutter den måde, vi nærmer os på det lige nu – de ting, vi laver, de ting, vi ikke gør, de holdninger, vi har – ikke på regnbuer   og   enhjørninger. Vi ønsker en vej, hvor vi   drager fordel, vi tjener penge, og vi transformerer de finansielle systemer, der styrer vores liv. Vi er nødt til at niveauere op på et antal fronter, hvis vi ønsker at komme dertil.

Hegic and Trail of Bits

I maj var der masser af diskussioner om, hvordan den Hegic-udnyttelse kunne have været forhindret og den revision, som Trail of Bits gjorde.

Mange mennesker henledte opmærksomheden på, at Trail of Bits “reviderede” Hegics smarte kontrakter, men Trail of Bits har præciseret, at det var en meget kort gennemgang snarere end en omfattende revision. Jeg kunne tale en hel snak om bare Hegic, men der har været nogle interessante forslag … Den ene er, at revisorer skal satse en hel bådfyldt penge, og hvis en kontrakt bliver hacket, bruges disse penge til at betale folk tilbage. Der er åbenbart dramaet omkring softwareingeniører, der licenseres. Nogle har antydet, at før brugerne kan lægge deres penge i nogen DeFi-projekter, skal de bestå en multiple choice-test for at bevise, at de fuldt ud forstår og accepterer de risici, der ledsager deres handlinger.

Jeg er ikke en fan af nogen af ​​disse. Hvis vi zoomer ud og ser på alt, hvad der sker i forhold til den verden, vi lever i, er vi klar over, at der er et større problem end at kalde en revision til en revision.

Lad os se på, hvordan revisioner er sket gennem historien. De fleste traditionelle virksomheder (du ved, store kontorer med servere eller endda multinationale konglomerater med folk på deres lager, der løber rundt med hårde hatte og bruger gaffeltrucks) foretager alle revisioner af forskellige typer. Disse revisioner tjener et meget andet formål end en TrueCrypt -revision. TrueCrypt og lignende projekter er open source og har en stadigt skiftende gruppe af bidragydere, der undertiden er anonyme.

For eksempel kan du i en traditionel virksomhedsindstilling have hyppige, igangværende interne revisioner udført af mennesker uden for virksomheden (især hvis du har lovgivningsmæssige forhindringer) for at styrke sikkerheden. For hvis de ikke er sikre, går penge tabt, medarbejdere mister job, administrerende direktør smides ud osv.

Over i OG, cypherpunk, open source-verdenen, er det meget anderledes.Der har været tilfælde, hvor en sikkerhedsrevision blev crowdfunded til et projekt for at sikre, at udviklerne skrev god, sikker kode, men også for at fastslå, at de ikke faktisk baguddrev alt for NSA.

Disse er to helt forskellige ender af spektret, og de af os i vores lille DeFi-boble er i midten et eller andet sted.

Når du bor i dette rum, er det let at glemme, hvor flygtig infrastrukturen er, men det er sindssyg. Du har tokens, der distribueres i dag, men som kan sælges i morgen til 2X (eller .5X) uden optjeningsplaner. Du har ikke folk, der investerer i din virksomhed så meget, som de investerer i dine tokens – dette er børn på internettet, der sandsynligvis har lidt ADHD og hopper fra token til token, altid ønsker det nyeste.

Vi vil decentralisere alt, og nogle gange kan vi gå lidt overbord. For eksempel vil nogle projekter holde kill switches, men hvis der sker noget dårligt med den smarte kontrakt, skifter vi bare skylden lidt. cypherpunk kultur. Vi har Satoshi, og Satoshi gjorde godt, så nogle antager, at et semi-centraliseret projekt, der tager alle dine penge, der har en anonym grundlægger, er også godt. Vi skal huske, at det at være anonym faktisk er et upålideligt signal, ikke et pålideligt signal. Satoshi var en anomali. Vi skal være mere skeptiske.

DeFi-bygherrer er forskellige. Jeg kalder dem bygherrer for at fange hele spektret af mennesker, der skaber DeFi-produkter, ikke kun administrerende direktører.

DeFi-bygherrer har nye organisationsstrukturer; de er baseret i alle lande eller ingen specifikke lande, eller de er en DAO eller et vilkårligt antal ting. De er meget eksperimentelle og forstyrrer traditionen. Deres “egenkapital” er normalt et symbol, og det har MULIGE en lock-up, men måske ikke, og det kan sælges i morgen. De bygger disse systemer med kryptokurrency ved hjælp af en ny organisationsstruktur, der ikke anerkendes af nogen regering.

De mennesker, der bygger produkter, har en meget høj appetit på risiko. Hvis du ser på spektret af bygherrer i dette rum, vil du se dem, som du anser for mere eller mindre risikable, men hvis du zoomer ud … vi er alle her på superhøj- risikosiden. Når du zoomer meget tæt ind, er det let at få den forkerte idé om, at nogen er i sikkerhed. Alle er involveret i virkelig risikabel adfærd, og det påvirker de valg, vi træffer, hvordan vi ser og bygger ting, og hvordan vi taler om dem.

Og selvfølgelig har vi hele dette shiller / token indehaver aspekt – det nærmeste svarende til at være aktionær. De kan påvirke dig og prisen på din aktie (eller i dette tilfælde dit token). Desværre er tokens ikke det samme som at investere i egenkapital, da folk vender disse tokens konstant. De vil have det token / projekt / hvad som helst, der skal lanceres, og de vil vinde ud af det.

Vi har denne tendens til at behandle DeFi-projekter lidt som traditionelle virksomheder på bestemte måder – DU får revisionen, DU beviser du er sikker, du betaler regningerne – men behandler dem også som superdecentraliserede magiske dyr på andre måder. Dette skaber meget konflikt.

Vi har skabt dette skøre indflydelsesrige samfund af enkeltpersoner, der investerer i disse tokens og tager enorme risici for disse meget kortsigtede gevinster. De vil pumpe det. De vil bygge bots til det. De vil arbitrage det. De vil shill, shill, shill det. Og hvis noget går galt, vil de samme individer kæmpe med tand og søm for at forsvare dette projekt og skubbe for at få protokoller slået til igen, selvom de blev hacket to dage tidligere. Grunden til, at disse “investorer” gør dette, er, at de allerede har mistet X-beløbet, og hvis protokollen ikke bliver tændt ASAP, mister de mere. Så disse tokenholdere, de mennesker, der har penge i disse protokoller, er de tilskyndet til at skubbe bygherrene til disse protokoller for at tænde det igen nu.

Det er dårligt. / p>

Så hvor går vi herfra?

Vi er nødt til at sikre en beskyttelse mod de værste lovovertrædere, de værste poletter og de værste shillere – dem uden hensyntagen til sikkerhed og ingen bevidsthed om noget dårligt, der kunne ske. Men vi skal også belønne den gode opførsel, , og det mangler lige nu.Hvis det tager to år for MakerDAO at komme til testnet, er ingen som hej fyre, mange tak, fordi du gør din omhu og tager dig den nødvendige tid til at opbygge dette komplekse system, der kommer til at rumme milliarder dollars. “

I stedet for er folk som: “Duuude det tog dig to år ?! og du er kun på TESTNET? Hvorfor er du ikke på mainnet endnu? ”

Det må gå. Vi skal være bedre til at belønne god opførsel. Selv når nogen glider op, hvis de viser, at de tager det seriøst og lærer af fejlene og griber ind i deres fejltrin, skal de belønnes.

Hvis vi bliver ved med at skubbe det onde ud og trække ind det gode, alt vil blive stærkere.

En sikkerhedsrevision betyder kun, at et projekt har penge nok til at betale for en revision. Det betyder ikke, at et projekt er sikkert. Jeg kunne tale hele dagen om revisioner, og hvad de er, og hvad de er ikke. Jeg vil kun understrege, at en sikkerhedsrevision er som et tredjepartssæt af øjne, der kommer ind og ser på din kode. Det er et lille aspekt af en god sikker kultur og en god sikker virksomhed.

Hvis denne eneste indsats er alt hvad du gør for at sikre dit produkt, er du ikke sikker. Og (det skal ikke siges, men her er vi), hvis din revision kommer tilbage med en hel masse fejl, skal du adressere dem for faktisk at være mere sikker .

Revisorer har fået noget varme på det seneste, fordi deres revisionsrapporter ikke kommer ud og siger tingene ærligt. Deres professionelle høflighed kræver, at du læser mellem linjerne, men når dette rum modnes, håber jeg, at vi får flere journalister og forskere, der kan oversætte disse komplekse, tekniske dokumenter til menneskeligt sprog. Men for nu skal vi huske, at en revision er en god ting, som folk skal gøre, men det er kun et trin. Det garanterer ikke sikkerhed, og du bør ikke behandle det som et godkendelsesstempel.

Okay, og så vil jeg have alle til at prøve at være mere skeptiske. Jeg mener, når du ser på et nyt projekt eller går på DefiPulse, og der er et navn på en protokol, som du aldrig har hørt før … i stedet for at blive begejstret og straks kaste penge i det, stop og tænk:

”Disse mennesker vil have mine penge. Denne side er designet til at manipulere mig med at give dem mine penge. Er det en god beslutning? Hvilke ting skal jeg vide for at kunne træffe den beslutning? ”

Vi er nødt til at være skeptiske, og det vil tage noget tid. Det er et holdningsskift, som vi er nødt til at indgyde i hinanden og os selv såvel som de nyankomne, der kommer ind i rummet, fordi det er dem, der er mest udsatte for denne type ting.

Stil spørgsmål. Det er en af ​​de mest magtfulde ting, som alle i dette samfund kan gøre, uanset om du er designer, kunstner, bedste sikkerhedsingeniør eller basketballspiller! Det betyder ikke noget, om dit tekniske.

Føler ikke, at det er dumt. Det er ikke dumt. Selvom det er dumt, havde en anden det samme spørgsmål, så I kan være dumme sammen. Men seriøst mangler der sådan information i dette rum, at jeg oprigtigt kan sige, at der ikke er nogen dumme spørgsmål. Der er virkelig ikke.

Her er nogle eksempler:

  • Har de en revision?
  • Hvornår blev revisionen udført?
  • Hvem foretog revisionen? Hvor længe var revisorerne på det?
  • Hvornår blev det live på testnet? Hvor meget volumen håndterede den? Er koden ændret?
  • Hvor er dokumentationen? Er det godt?
  • Hvordan kommunikerer de med mennesker på sociale medier? Er de gennemsigtige? Slår de ud, hvis du sætter spørgsmålstegn ved deres sikkerhedskultur?
  • Hvor er deres tests? Hvor ofte opdateres de?
  • Er deres kode endda open source?
  • Er deres kode verificeret på Etherscan?
  • Har de en sikkerheds-e-mail?
  • Har de et bug-bounty-program?
  • Hvad taler de mest om på sociale medier eller i samtaler? Sikkerhed eller den næste store ting?
  • Har de en sikkerhedsingeniør i personalet? Har de fem? Har de 500?
  • Har de ingeniører? Er disse ingeniører rigtige mennesker? Så mange ICOer havde bare falske teamsider fulde af falske mennesker – endda berømtheder!

Consensys Diligence bare skrev et helt indlæg om spørgsmål, du skulle stille !

  • Hvilke særlige handlinger kan administratorer tage?
  • Hvilke orakler afhænger dit system af?
  • Hvilke udvekslinger afhænger dit system af?
  • Er kildekoden til dine kontrakter offentligt tilgængelige?
  • Hvad er omfanget af bounty-betalinger?
  • Har du en skriftlig plan, der beskriver, hvordan du håndterer en sikkerhedshændelse?
  • Hvilke scenarier tager din plan i betragtning?
  • Var nogen del af dit system udelukket fra revisionens omfang?

… og så mange flere. Definitivt læs det .

Socialt pres er en stærk motivator og sandsynligvis den eneste motivator, der kan modvirke de økonomiske incitamenter, som vi talte om tidligere.

Internt skal vi være skeptiske. Men eksternt skal vi vise den skepsis. Du er nødt til at vise disse projekter på jagt efter penge, hvad der betyder noget for dig – at du holder af sikkerhed og sikkerhed og flid. Få dem til at afsætte ressourcer til at være opmærksomme på de dårlige ting, der potentielt kan ske.

Jeg elsker det altid, når folk spørger om vores fortrolighedspolitik eller revision. Revisioner er vigtige krav for mig og mit team, og vi gør dem for os selv så meget som vi gør dem for vores brugere.

Det er lettere at ikke få en revision eller ikke oprette en trusselmodel. Det er lettere at kaste Google Analytics på dit websted. Og det er endnu lettere, hvis ingen bryr sig om disse ting, og der ikke er nogen belønning for at gøre dem. Den eneste belønning er immateriel. Det er standardtilstanden “ikke hacket”. Men samfundet har magten til at belønne folk for de gode valg, de træffer.

Blockchain er faktisk virkelig fantastisk til incitamenter. Det er slags hele formålet med blockchain. Det blev bygget for at skabe denne bemærkelsesværdige incitamentsstruktur, så alle fra hvor som helst i verden kan være på samme hold. Hvilket betyder, at vi alle er på samme hold. Det betyder, at alle, der læser dette, uanset om du bygger noget, eller en administrerende direktør. eller bare se dramaet udfolde sig på Twitter, du er en del af dette økosystem. Derfor er det dit ansvar at hjælpe med at sikre, at der er mere godt end dårligt og mere succes end fiasko.

Beløn ​​det gode, spar det dårlige ud, så har vi alle det bedre.

Jeg er Taylor Monahan. Jeg er grundlægger og administrerende direktør for MyCrypto. Vi er altid på Twitter. Tjek beta.mycrypto.com, og fortæl os, hvad du synes om det, eller hvad der kan forbedres, fordi vi har arbejdet så hårdt på dette for dig. Mange tak.

Flere ressourcer og ting

Sikkerheds- / smarte kontraktrevisioner for produkter nævnt ovenfor

Sikkerheds- / smartkontraktsrevision foretaget af toprevisorer

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *