DeFi: compartir los riesgos, las recompensas y la responsabilidad.

Las finanzas descentralizadas pueden agregar valor a la red y a la vida de las personas … siempre y cuando nuestra emoción no nos haga bailar por un precipicio.

(Taylor Monahan) (14 de julio de 2020)

Esta fue originalmente una charla que di en Evento de debates de DeFi de Dystopia Labs .

En el momento de esta charla (principios de mayo de 2020), el dForce y Hegic exploits ambos habían ocurrido en los 14 días anteriores. También fue antes de la llegada de los tokens de gobernanza, los IDO y la agricultura de rendimiento. Pero se trata menos de eventos específicos y más de la construcción de un sistema que beneficiará personas, no les hagas daño.

Sam Sun inyecta un poco de humor negro después de otro incidente de DeFi.

DeFi ha crecido notablemente rápido y, como siempre, el crecimiento trae hacks, ataques, exploits, incidentes, no incidentes y consecuencias generalmente no deseadas. Entre enero de 2020 y mayo de 2020, parecía que todas las Bad Things ™ eran con productos DeFi. ¿O simplemente estaba hiperconcentrado en los eventos en el espacio DeFi? Echemos un vistazo …

Una de las cosas más interesantes es que divulgados / denunciados públicamente hacks de intercambio están muy por debajo del año pasado . En este momento en 2019, hubo siete hacks de intercambio masivos: Cryptopia, Bitrue, Coinmama, Coinbin, DragonEx, Bithumb y luego Binance (4 de mayo). El hecho de que haya menos hacks en los intercambios es interesante, pero también es interesante que los tamaños de estos hacks hayan sido relativamente pequeños. Esta es probablemente la primera vez en más de 5 años que la cantidad de ataques de intercambio ha sido tan baja.

Desde entonces, BlockFi experimentó una violación de datos después de que un empleado fuera intercambiado. No se tomaron fondos ni contraseñas de los clientes, pero sí la información del cliente.

Después de dar esta charla, algunos comentaron que puede ser que menos intercambios estén revelando los trucos, no que el real el número ha disminuido. Esto es algo respaldado por el informe CryptoCore , aunque incluso la actividad de ese grupo ha disminuido en la primera mitad de 2020. Posibles razones de la caída en los ataques reales o reportados. podría deberse a que se separan más activos en almacenamiento en caliente y en frío, se reserva dinero como un fondo de «seguro», mayor rentabilidad / madurez en general, condiciones macro como COVID-19 o condiciones de mercado bajistas que atraen menos atención.

Otra conclusión interesante de la colección de cosas malas ™ es que la billetera explota y atraca, y el tamaño de esos atracos ha aumentado.

  1. Comenzamos el año con Trinity wallet de IOTA , que se vio comprometida a través de la infraestructura de Moonpay en un ataque dirigido. Se rumorea que se robaron 2 millones de dólares y su autopsia es una lectura excelente.
  2. Poco después, un inversor chino se cambió la SIM y se robaron $ 30 millones en BTC y BCH . Esta es probablemente la mayor pérdida registrada debido a un intercambio de SIM. ((Protéjase de los intercambios), por favor.)
  3. Ha habido un aumento en las extensiones de Chrome maliciosas dirigidas a Ledger, MEW, MetaMask, y muchas más.
  4. Más recientemente, vimos esta enorme estafa de salida de billetera EOS . Es posible que los perpetradores se hayan salido con la suya con $ 52 millones en EOS. No sigo el ecosistema de EOS de cerca, por lo que este número puede estar equivocado, espero que sea incorrecto, pero de todos modos, evidentemente hubo una gran estafa de salida por parte de un creador de billeteras. Eso duele.
  5. También olvidé incluir varios problemas de ZecWallet , que compite con DeFi cuando se trata de vulnerabilidades y problemas de seguridad.

Y finalmente, veamos nuestro propio ecosistema. Esto es DeFi ahora mismo. Esta es una lista bastante larga. Por supuesto, he incluido los casi accidentes, pero creo que deberíamos prestarles atención porque no podemos suponer que personas como Sam Sun y 1inch.exchange salvarán el día una y otra vez.

😈 Explotaciones reales en las que se perdió dinero:

😬 Los «cuasi accidentes» donde ocurrió una divulgación y resolución:

  • 20 de enero: (1inchexchange encuentra & revela un exploit en Fulcrum / bZx).
  • 18 de febrero: (Sam Sun de manera responsable revela el exploit de Authereum).
  • 24 de febrero: (Sam Sun Y Mudit Gupta divulgan responsablemente dos exploits de Nexus Mutual).
  • 24 de marzo: Sam Sun divulga responsablemente Hegic Exploit .

😱 Los «cuasi accidentes» en los que, si no se hubiera detectado, hubieran provocado pérdidas significativas:

Luego, en medio de todo esto, tuvimos el ⚰ Jueves Negro.

Este fue un día catastrófico en los mercados tradicionales que rápidamente impactó al mundo de las criptomonedas. A fin de cuentas, nos hemos recuperado bastante bien de los efectos en cascada que amenazaron la paridad del DAI, dispararon los costos del gas, liquidaron posiciones y limitaron el uso de oráculos.

El jueves negro es un buen recordatorio de que los riesgos vienen en todas sus formas. Una sola plataforma puede agotarse o las condiciones económicas globales combinadas con una mayor capacidad de composición pueden conducir a eventos cataclísmicos. Si bien es de esperar que no volvamos a ver otro jueves negro pronto, los efectos en cascada son algo que aprender de   y   intento   para   protege  , especialmente a medida que los legos DeFi interconectados se acoplan aún más estrechamente. Puede que no sea necesario algo tan grande para causar problemas.

Por último, vale la pena señalar que no hemos tenido demasiadas estafas de salida (en DeFi o Ethereum) en las que un producto se gana la confianza de todos y luego se ejecuta lejos con las bolsas. Dicho esto, ha habido muchos esquemas Ponzi y estafas obvias que han logrado hacerse con millones, o están en curso   * tos *   Hex   * tos *. Nos gustaría ver que se abusa de la funcionalidad de administración de los contratos en algún momento. Probablemente veremos estafas de salida. Eso debería asustarnos. Y, sí, por favor, todos toquen madera.

Esta es la cantidad de dinero que está “bloqueada” en los protocolos específicos de DeFi a partir del 29 de abril de 2020. Dado que denominamos todo en USD, ese número puede subir muy rápido cuando sube el precio de ETH. Justo antes de esta charla, vimos una bomba en la que el precio era de $ 172 cuando me fui a la cama y de más de $ 200 cuando me desperté.

Si este mercado se mueve hacia arriba como lo hizo en 2017, veremos estos tipos de bombas día tras día. Si está desarrollando un contrato inteligente de DeFi, podría pasar de tener $ 1 millón a $ 100 millones demasiado rápido para procesar y adaptar   a   las   nuevas   circunstancias. Esta es una de las cosas que más me asusta.2017 fue emocionante pero también aterrador cuando vi despegar el uso de mi producto. Durante todo el 2017 y 2018 estuve dos o tres pasos atrás y constantemente apagué incendios. Y no tenía el dinero de nadie, literalmente o mediante un contrato inteligente.

Incluso si no hay nuevos usuarios comience a usar su producto o deposite dinero en su contrato inteligente, el valor aumenta cuando el mercado   salta.

A fin de cuentas, hemos tenido mucha suerte de que muchos de los exploits catastróficos se hayan revelado de manera responsable. La cantidad de trucos que hicimos en la decimotercera hora ha sido notable.

Hemos estado caminando actuando como si estuviéramos construyendo un mañana mejor, salvando el mundo y ganando muchísimo dinero. En realidad, estamos bloqueando criptografía, quemando criptografía, tirando criptografía a la basura, tirándola por el inodoro y todo lo demás.

Solo uno o dos millones de dólares se han perdido en los últimos 4 meses con estos protocolos DeFi. Pero la razón por la que utilizo la palabra «solo» es que puedes ver que ocho de estos fueron revelados de manera responsable   o   descubiertos   de   miembros   internos   de   un   equipo. Por ejemplo, en un giro notable de los acontecimientos, 1inch y otros pudieron recuperar la mayoría de los fondos robados en el truco de DForce de $ 25 millones. eso no sucede. Los piratas informáticos no devuelven dinero. Una vez más, no podemos confiar en Sam Sun, 1 pulgada, o una caballería de sombreros blancos que devuelven $ 25 millones cada vez. Necesitamos mejorar la seguridad de nuestros productos, restricciones y sistemas para que no se tomen 25 millones de dólares en primer lugar.

Si continuamos por el camino en el que estamos, vamos a conseguir que nos entreguen el culo y esto perjudicará las perspectivas de DeFi y este ecosistema. Y me gusta mucho DeFi. La razón por la que hablo tanto de DeFi es que quiero que tenga éxito. Desafortunadamente, la forma en que lo estamos abordando en este momento (las cosas que estamos haciendo, las cosas que no estamos haciendo, las actitudes que tenemos) no termina en arcoíris   y   unicornios. Queremos un camino en el que estemos   beneficiándonos, estamos ganando dinero y estamos transformando los sistemas financieros que controlan nuestras vidas. Necesitamos subir de nivel en varios frentes si queremos llegar allí.

Hegic y Trail of Bits

En mayo hubo mucha discusión sobre cómo se podría haber evitado el exploit de Hegic y la auditoría que hizo Trail of Bits.

Mucha gente llamó la atención sobre el hecho de que Trail of Bits «auditó» los contratos inteligentes de Hegic, pero Trail of Bits ha aclarado que fue una revisión muy corta en lugar de una auditoría completa. Podría dar una charla completa solo sobre Hegic, pero ha habido algunas sugerencias interesantes … Una es que los auditores deben apostar una gran cantidad de dinero y si un contrato es pirateado, ese dinero se usa para pagarle a la gente. Obviamente, existe el drama en torno a la licencia de los ingenieros de software. Algunos han sugerido que antes de que los usuarios puedan invertir su dinero en cualquier proyecto DeFi, deben pasar una prueba de opción múltiple para demostrar que comprenden y aceptan completamente los riesgos que acompañan a sus acciones.

No lo soy. fan de cualquiera de estos. Si nos alejamos y observamos todo lo que sucede en relación con el mundo en el que vivimos, nos damos cuenta de que hay un problema más grande que llamar a una revisión una auditoría.

Veamos cómo han sucedido las auditorías a lo largo de la historia. La mayoría de las corporaciones tradicionales (ya sabes, grandes oficinas con servidores o incluso los conglomerados multinacionales con personas en sus almacenes corriendo con cascos y usando montacargas) realizan auditorías de varios tipos. Estas auditorías tienen un propósito muy diferente al de una auditoría de TrueCrypt . TrueCrypt y proyectos similares son de código abierto y tienen un grupo de colaboradores en constante cambio que a veces son anónimos.

Por ejemplo, en un entorno corporativo tradicional, es posible que haya auditorías internas continuas y frecuentes realizadas por personas fuera de la empresa (especialmente si tiene obstáculos regulatorios) para fortalecer la seguridad. Porque si no es seguro, se pierde dinero, los empleados pierden puestos de trabajo, el director ejecutivo es expulsado, etc.

En el mundo del código abierto, cypherpunk y OG, es muy diferente.Ha habido casos en los que se realizó una auditoría de seguridad para un proyecto con el fin de garantizar que los desarrolladores escribieran un código bueno y seguro, pero también para determinar que en realidad no estaban ocultando todo para la NSA.

Esos son dos extremos totalmente diferentes del espectro, y nosotros en nuestra pequeña burbuja DeFi están en el medio en algún lugar.

Cuando vives en este espacio, es fácil olvidar lo fugaces que son las infraestructuras, pero es una locura. Tiene tokens que se distribuyen hoy, pero que se pueden vender mañana por 2X (o .5X) sin horarios de adjudicación. No hay personas que inviertan en su empresa tanto como lo hacen en sus tokens; estos son niños en Internet que probablemente tienen un poco de TDAH y saltan de token en token, siempre queriendo lo más nuevo.

Queremos descentralizar todo y, a veces, podemos exagerar un poco. Por ejemplo, algunos proyectos mantendrán interruptores de interrupción, pero si algo malo le sucede al contrato inteligente, simplemente le echaremos la culpa un poco.

Creo que vamos a tener un ajuste de cuentas con todo el anónimo cultura cypherpunk. Tenemos a Satoshi, y a Satoshi le fue bien, por lo que algunas personas asumen que un proyecto semi-centralizado que va a tomar todo su dinero y que tiene un fundador anónimo es también bueno. Debemos recordar que el anonimato es en realidad una señal poco confiable, no confiable. Satoshi fue una anomalía. Debemos ser más escépticos.

Los constructores de DeFi son diferentes. Los llamo constructores para captar la gama completa de personas que crean productos DeFi, no solo los CEO.

Los constructores de DeFi tienen nuevas estructuras organizativas; tienen su sede en todos los países o en ningún país específico, o son DAO, o cualquier cantidad de cosas. Son muy experimentales y disruptivos de la tradición. Su «capital» suele ser una ficha y TAL VEZ tenga un bloqueo, pero tal vez no lo tenga, y se puede vender mañana. Están construyendo estos sistemas con criptomonedas, utilizando una nueva estructura organizativa que no es reconocida por ningún gobierno.

Las personas que crean productos tienen un gran apetito por el riesgo. Si observa el espectro de constructores en este espacio, verá los que considera más o menos riesgosos, pero si se aleja … estamos todos aquí en el súper alto- lado del riesgo. Cuando se acerca mucho, es fácil hacerse una idea equivocada de que alguien está a salvo. Todo el mundo se involucra en comportamientos realmente riesgosos y esto afecta las elecciones que hacemos, cómo vemos y construimos las cosas y cómo hablamos de ellas.

Y, por supuesto, tenemos todo este aspecto de tenedor de fichas / shiller: el equivalente más cercano a ser accionista. Pueden influir en ti y en el precio de tus acciones (o en este caso, tu token). Desafortunadamente, los tokens no son lo mismo que invertir capital, ya que la gente los está lanzando constantemente. Quieren que se lance ese token / proyecto / lo que sea y quieren sacar provecho de ello.

Tenemos esta tendencia a tratar los proyectos DeFi un poco como las empresas tradicionales de cierta manera: USTED obtiene la auditoría, USTED prueba estás a salvo, TÚ pagas las facturas, pero luego también las tratas como bestias mágicas súper descentralizadas de otras maneras. Esto crea muchos conflictos.

Hemos creado esta loca e influyente comunidad de personas que invierten en estos tokens y asumen enormes riesgos por estas ganancias a muy corto plazo. Lo bombearán. Construirán bots para ello. Lo arbitrarán. Lo harán, lo harán, lo harán. Y si algo sale mal, esas mismas personas lucharán con uñas y dientes para defender ese proyecto, presionando para que se vuelvan a activar los protocolos incluso si fueron pirateados dos días antes. La razón por la que estos «inversores» hacen esto es que ya perdieron una cantidad X y si ese protocolo no se activa lo antes posible, perderán más. Entonces, estos poseedores de tokens, las personas que tienen dinero en estos protocolos, están incentivados para presionar a los creadores de estos protocolos para que lo vuelvan a activar ahora.

Eso es malo.

Entonces, ¿a dónde vamos desde aquí?

Necesitamos brindar una protección contra los peores delincuentes, los peores símbolos y los peores cómplices, aquellos que no tienen en cuenta la seguridad y no son conscientes de que algo malo podría suceder. Pero también debemos recompensar el buen comportamiento, y eso falta ahora mismo.Si MakerDAO tarda dos años en llegar a testnet, nadie dice Hola chicos, muchas gracias por hacer su diligencia y tomarse el tiempo necesario para construir este complejo sistema que va a contener miles de millones de dólares ”.

En cambio, la gente dice, «Duuude, ¿te llevó DOS AÑOS?» ¿y solo estás en TESTNET? ¿Por qué no estás en la red principal todavía? «

Eso tiene que irse. Necesitamos ser mejores para recompensar el buen comportamiento. Incluso cuando alguien comete un error, si demuestra que se lo está tomando en serio y que está aprendiendo de los errores, y toma medidas sobre sus errores, debe ser recompensado.

Si seguimos empujando lo malo y tirando hacia adentro lo bueno, todo será más fuerte.

Una auditoría de seguridad solo significa que un proyecto tiene suficiente dinero para pagar una auditoría. No significa que un proyecto sea seguro. Podría hablar todo el día sobre las auditorías y qué son y qué son no. Solo quiero enfatizar que una auditoría de seguridad es como un par de ojos de un tercero que entra y echa un vistazo a su código. Es un pequeño aspecto de una buena cultura de seguridad y de una buena empresa segura.

Si este pequeño esfuerzo es todo lo que hace por la seguridad de su producto, no está seguro. Y (no debería ser necesario decirlo, pero aquí estamos) si su auditoría regresa con una gran cantidad de errores, debe abordarlos para estar realmente más seguro .

Los auditores han estado recibiendo algo de presión últimamente porque sus informes de auditoría no salen y dicen cosas con franqueza. Su cortesía profesional requiere que lea entre líneas, pero a medida que este espacio madure, espero que tengamos más periodistas e investigadores que puedan traducir estos documentos técnicos complejos al lenguaje humano. Pero por ahora, debemos recordar que una auditoría es algo bueno que la gente tiene que hacer, pero es solo un paso. No garantiza la seguridad y no debe tratarlo como un sello de aprobación.

De acuerdo, y luego quiero que todos intenten ser más escépticos. Me refiero a que cuando miras un nuevo proyecto o vas a DefiPulse y hay un nombre de un protocolo que nunca has escuchado antes … en lugar de estar emocionado y tirar dinero de inmediato, detente y piensa:

“Esta gente quiere mi dinero. Esta página está diseñada para manipularme para que les dé mi dinero. ¿Es una buena decisión? ¿Qué cosas necesito saber para poder tomar esa decisión? ”

Tenemos que ser escépticos y eso llevará algún tiempo. Es un cambio de actitud que debemos inculcarnos unos a otros y a nosotros mismos, así como a los recién llegados que ingresan al espacio, porque son los que corren mayor riesgo por este tipo de cosas.

Haga preguntas. Es una de las cosas más poderosas que puede hacer cualquier persona en esta comunidad, ya sea que sea diseñador, artista, el mejor ingeniero de seguridad o un jugador de baloncesto. No importa si eres técnico.

No te sientas estúpido. No es estupido. Incluso si es estúpido, alguien más tenía la misma pregunta, por lo que pueden ser estúpidos juntos. 😉 Pero en serio, hay tanta falta de información en este espacio que puedo decir sinceramente que no hay preguntas estúpidas. Realmente no los hay.

Aquí hay algunos ejemplos:

  • ¿Tienen una auditoría?
  • ¿Cuándo se realizó la auditoría?
  • ¿Quién realizó la auditoría? ¿Cuánto tiempo estuvieron los auditores en él?
  • ¿Cuándo se publicó en testnet? ¿Cuánto volumen manejó? ¿Ha cambiado el código?
  • ¿Dónde está la documentación? ¿Es bueno?
  • ¿Cómo se comunican con la gente en las redes sociales? ¿Son transparentes? ¿Atacan si cuestiona su cultura de seguridad?
  • ¿Dónde están sus pruebas? ¿Con qué frecuencia se actualizan?
  • ¿Su código es incluso de código abierto?
  • ¿Su código está verificado en Etherscan?
  • ¿Tienen un correo electrónico de seguridad?
  • ¿Tienen un programa de recompensas por errores?
  • ¿De qué hablan más en las redes sociales o en charlas? ¿Seguridad o la próxima gran novedad?
  • ¿Tienen un ingeniero de seguridad en el personal? ¿Tienen cinco? ¿Tienen 500?
  • ¿Tienen ingenieros? ¿Son estos ingenieros personas reales? Muchas ICO tenían páginas de equipo falsas llenas de personas falsas, ¡incluso celebridades!

Consensys Diligence solo escribió una publicación completa sobre preguntas que debería hacerse !

  • ¿Qué acciones especiales pueden realizar los administradores?
  • ¿De qué oráculos depende su sistema?
  • ¿De qué intercambios depende su sistema?
  • ¿El código fuente de sus contratos está disponible públicamente?
  • ¿Cuál es el rango de pagos de recompensa?
  • ¿Tiene un plan escrito que describa cómo manejar un incidente de seguridad?
  • ¿Qué escenarios toma en consideración su plan?
  • ¿Se excluyó alguna parte de su sistema del alcance de la auditoría?

… Y MUCHOS MÁS. Definitivamente léelo .

La presión social es un motivador poderoso y probablemente el único motivador que puede contrarrestar los incentivos financieros de los que hablamos anteriormente.

Internamente, tenemos que ser escépticos. Pero externamente, tenemos que mostrar ese escepticismo. Tienes que demostrarles a estos proyectos que buscan dinero lo que te importa: que te preocupas por la seguridad y la diligencia. Haz que dediquen recursos para estar al tanto de las cosas malas que pueden suceder.

Siempre me encanta cuando la gente pregunta sobre nuestra política de privacidad o auditorías. Las auditorías son requisitos importantes para mí y para mi equipo, y las hacemos por nosotros mismos tanto como las hacemos para nuestros usuarios.

Es más fácil no obtenga una auditoría o no cree un modelo de amenaza. Es más fácil incluir Google Analytics en su sitio. Y es aún más fácil si a nadie le importan estas cosas y no hay recompensa por hacerlas. La única recompensa es intangible. Es el estado predeterminado de «no ser pirateado». Pero la comunidad tiene el poder de recompensar a las personas por las buenas decisiones que toman.

La cadena de bloques es realmente increíble en cuanto a incentivos. Es una especie de propósito de la cadena de bloques. Fue construido para crear esta notable estructura de incentivos para que cualquier persona de cualquier parte del mundo pueda estar en el mismo equipo. Lo que significa que todos estamos en el mismo equipo. Eso significa que todos los que lean esto, ya sea que esté construyendo algo o un CEO. o simplemente viendo cómo se desarrolla el drama en Twitter, eres parte de este ecosistema. Por lo tanto, es su responsabilidad ayudar a garantizar que haya más cosas buenas que malas y más éxito que fracaso.

Premie a los buenos, elimine los malos y todos estaremos mejor.

Soy Taylor Monahan. Soy el fundador y director ejecutivo de MyCrypto. Siempre estamos en Twitter. Visite beta.mycrypto.com y díganos qué le gusta de él o qué se puede mejorar porque hemos estado trabajando arduamente en esto para usted. Muchas gracias.

Más recursos y material

Auditorías de seguridad / contratos inteligentes para los productos mencionados anteriormente

Auditorías de contratos inteligentes / de seguridad por parte de los mejores auditores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *