DeFi: partager les risques, les récompenses et la responsabilité.

La finance décentralisée peut ajouter de la valeur au réseau et à la vie des gens… tant que notre enthousiasme ne nous fait pas danser du haut dune falaise.

(Taylor Monahan) (14 juil.2020)

Cétait à lorigine une conférence que javais donnée à Lévénement DeFi Discussions de Dystopia Labs .

Au moment de cette conférence (début mai 2020), les dForce et Hegic des exploits sétaient tous deux produits au cours des 14 jours précédents. Cétait également avant lavènement des jetons de gouvernance, des IDO et de lagriculture de rendement. Mais il s’agit moins d’événements spécifiques que de construire un système qui bénéficiera les gens, ne leur faites pas de mal.

Sam Sun injectant de lhumour noir après un autre incident DeFi.

DeFi a connu une croissance remarquablement rapide et, comme toujours, la croissance entraîne des hacks, des attaques, des exploits, des incidents, des non-incidents et conséquences généralement imprévues. Entre janvier 2020 et mai 2020, il semblait que toutes les Bad Things ™ étaient avec des produits DeFi. Ou étais-je simplement hyper concentré sur les événements de lespace DeFi? Jetons un coup dœil …

L’une des choses les plus intéressantes est que les hacks d’échange divulgués / signalés au public sont en baisse par rapport à l’année dernière . À cette époque en 2019, il y avait sept hacks déchange massifs: Cryptopia, Bitrue, Coinmama, Coinbin, DragonEx, Bithumb, puis Binance (4 mai). Le fait quil y ait moins de hacks sur les échanges est intéressant, mais il est également intéressant de noter que la taille de ces hacks a été relativement petite. Cest probablement la première fois en plus de 5 ans que le nombre de hacks déchange est aussi bas.

Depuis, BlockFi a subi une violation de données après quun employé a été changé de carte SIM. Aucun fonds client ni mot de passe na été pris, mais les informations client lont été.

Après avoir donné cette conférence, certains ont déclaré quil se peut que moins déchanges divulguent les hacks, pas que les véritables nombre a diminué. Ceci est quelque peu soutenu par le rapport CryptoCore , même si même lactivité de ce groupe a diminué au premier semestre 2020. Raisons potentielles de la baisse des hacks réels ou signalés de hacks Cela pourrait être dû à un plus grand nombre dactifs séparés dans des entrepôts chauds et froids, à mettre de largent de côté comme fonds «dassurance», à une rentabilité / maturité accrue en général, à des conditions macroéconomiques comme COVID-19 ou à des conditions de marché baissières attirant moins lattention.

Un autre point intéressant en regardant la collection de Bad Things ™ est que le portefeuille exploits et braquages, et la taille de ces vols ont été considérablement augmentés.

  1. Nous avons commencé lannée avec le portefeuille Trinity de lIOTA , qui a été compromis via linfrastructure de Moonpay lors dune attaque ciblée. Selon certaines rumeurs, 2 millions de dollars auraient été volés et leur post-mortem est une excellente lecture.
  2. Peu de temps après, un investisseur chinois a obtenu une carte SIM échangée et 30 millions de dollars de BTC et BCH ont été volés . Il sagit probablement de la plus grande perte enregistrée en raison dun swap de carte SIM. ((Protégez-vous contre les échanges), sil vous plaît.)
  3. Il y a eu une augmentation des extensions de chrome malveillantes ciblant Ledger, MEW, MetaMask, et bien dautres.
  4. Plus récemment, nous avons été témoins de cette énorme arnaque à la sortie du portefeuille EOS . Les auteurs peuvent avoir obtenu 52 millions de dollars dEOS. Je ne suis pas de près lécosystème EOS, donc ce chiffre est peut-être faux – jespère quil est faux – mais quoi quil en soit, il y a évidemment eu une grosse arnaque à la sortie dun créateur de portefeuille. Cela fait mal.
  5. Jai également oublié dinclure divers problèmes de ZecWallet , qui rivalise avec DeFi en ce qui concerne les vulnérabilités et les problèmes de sécurité.

Et enfin, regardons notre propre écosystème. Cest DeFi en ce moment. Cest une liste assez longue. Certes, jai inclus les quasi-accidents, mais je pense que nous devons y prêter attention car nous ne pouvons pas supposer que des gens comme Sam Sun et 1inch.exchange sauveront la journée encore et encore.

😈 Exploits réels où de largent a été perdu:

😬 Les «quasi-accidents» où une divulgation et une résolution ont eu lieu:

  • 20 janvier: (1inchexchange trouve que & révèle un exploit dans Fulcrum / bZx.)
  • 18 février: (Sam Sun de manière responsable révèle lexploit dAuthereum).
  • 24 février: (Sam Sun ET Mudit Gupta divulguent de manière responsable deux exploits de Nexus Mutual).
  • 24 mars: Sam Sun divulgue de manière responsable Hegic Exploit .

😱 Les «quasi-accidents» où sil navait pas été attrapé, il aurait conduit à des pertes importantes:

Puis, au milieu de tout cela, nous avons eu le ⚰ Jeudi noir.

Ce fut une journée catastrophique sur les marchés traditionnels qui a rapidement impacté le monde de la crypto. Tout bien considéré, nous nous sommes assez bien remis des effets en cascade qui menaçaient lancrage du DAI, montaient en flèche les coûts du gaz, liquidaient les positions et limitaient lutilisation des oracles.

Le jeudi noir est un bon rappel que les risques prennent toutes les formes. Une plateforme unique peut être drainée ou les conditions économiques mondiales combinées à une composabilité accrue peuvent conduire à des événements cataclysmiques. Même si nous espérons que nous ne verrons plus un autre jeudi noir de si tôt, les effets en cascade sont quelque chose à apprendre de   et   tentative   à   protéger   contre, dautant plus que les legos DeFi interconnectés deviennent encore plus étroitement couplés. Cela peut ne pas prendre quelque chose daussi gros pour causer des problèmes.

Enfin, il convient de noter que nous navons pas eu trop darnaques à la sortie (dans DeFi ou Ethereum) où un produit gagne la confiance de tout le monde puis sexécute loin avec les sacs. Cela dit, il y a eu de nombreux stratagèmes de Ponzi et des escroqueries évidentes qui ont réussi à gagner des millions, ou qui sont en cours   * toux *   Hex   * toux *. Nous aimerions voir la fonctionnalité dadministration des contrats être abusée à un moment donné. Nous verrons probablement des escroqueries à la sortie. Cela devrait nous effrayer. Et, oui, sil vous plaît, tout le monde frappe du bois.

Cest combien dargent est «verrouillé» dans les protocoles spécifiques DeFi au 29 avril 2020. Puisque nous libellons tout en USD, ce nombre peut augmenter très rapidement lorsque le prix de lETH augmente. Juste avant cette conférence, nous avons vu une pompe dont le prix était de 172 $ quand je me suis couché et de plus de 200 $ quand je me suis réveillé.

Si ce marché fluctue à la hausse comme il la fait en 2017, nous verrons ces types de pompes jour après jour. Si vous développez un contrat intelligent DeFi, vous pourriez passer de 1 à 100 millions de dollars trop rapidement pour que vous puissiez traiter et adapter   à   les   nouvelles   circonstances. Cest lune des choses qui me fait le plus peur.Lannée 2017 a été passionnante mais aussi terrifiante lorsque jai vu lutilisation décoller avec mon produit. Pour lensemble de 2017 et 2018, jétais à deux ou trois pas de retard et jéteignais constamment des incendies. Et je ne détenais largent de personne, littéralement ou via un contrat intelligent.

Même si aucun nouvel utilisateur commencez à utiliser votre produit ou déposez de largent dans votre contrat intelligent, la valeur saute lorsque le marché   saute.

Tout bien considéré, nous avons été très chanceux que de nombreux exploits catastrophiques aient été divulgués de manière responsable. Le nombre de tours que nous avons tirés à la 13e heure a été remarquable.

Nous nous sommes promenés en agissant comme si nous construisions un avenir meilleur, sauvions le monde et gagnions beaucoup dargent. En réalité, nous verrouillons la crypto, la brûlons, la jetons, la jetons dans les toilettes et tout le reste.

Seuls un ou deux millions de dollars ont été perdus au cours des 4 derniers mois à cause de ces protocoles DeFi. Mais la raison pour laquelle jutilise le mot « seulement » est que vous pouvez voir que huit dentre eux ont été divulgués de manière responsable   ou   découverts   par   interne   membres   de   une équipe  . Par exemple, dans une tournure des événements remarquable, 1inch et dautres ont pu récupérer la plupart des fonds volés dans le hack DForce de 25 millions de dollars. cela ne se produit pas. Les pirates ne rendent pas d’argent. Encore une fois, nous ne pouvons pas compter sur Sam Sun, 1 pouce, ou une cavalerie de chapeaux blancs rapportant 25 millions de dollars à chaque fois. Nous devons mieux sécuriser nos produits, nos contraintes et nos systèmes afin que 25 millions de dollars ne soient pas prélevés en premier lieu.

Si nous continuons sur le chemin où nous sommes, nous allons nous faire remettre nos culs et cela va nuire aux perspectives de DeFi et cet écosystème. Et jaime vraiment DeFi. La raison pour laquelle je parle tant de DeFi est que je veux quelle réussisse. Malheureusement, la façon dont nous labordons actuellement – les choses que nous faisons, les choses que nous ne faisons pas, les attitudes que nous avons – ne se termine pas par des arcs-en-ciel   et   licornes. Nous voulons un chemin dans lequel nous   profitons, nous gagnons de l’argent et nous transformons les systèmes financiers qui contrôlent nos vies. Nous devons monter de niveau sur plusieurs fronts si nous voulons y arriver.

Hegic et Trail of Bits

En mai, il y a eu une tonne de discussions sur la façon dont lexploit Hegic aurait pu être évité et laudit effectué par Trail of Bits.

De nombreuses personnes ont attiré lattention sur le fait que Trail of Bits a «audité» les contrats intelligents de Hegic, mais Trail of Bits a précisé quil sagissait dun examen très court plutôt que dun audit complet. Je pourrais faire tout un discours sur Hegic seulement, mais il y a eu des suggestions intéressantes… Lune est que les auditeurs devraient miser toute une cargaison dargent et si un contrat est piraté, alors cet argent est utilisé pour rembourser les gens. De toute évidence, il y a le drame autour des licences des ingénieurs logiciels. Certains ont suggéré quavant que les utilisateurs puissent investir leur argent dans des projets DeFi, ils doivent passer un test à choix multiples pour prouver quils comprennent et acceptent pleinement les risques qui accompagnent leurs actions.

Je ne suis pas un fan de lun dentre eux. Si nous effectuons un zoom arrière et examinons tout ce qui se passe par rapport au monde dans lequel nous vivons, nous réalisons quil y a un problème plus important que dappeler un examen un audit.

Voyons comment les audits se sont déroulés à travers lhistoire. La plupart des entreprises traditionnelles (vous savez, dimmenses bureaux avec des serveurs ou même les conglomérats multinationaux avec des personnes dans leurs entrepôts qui courent avec des casques de sécurité et utilisent des chariots élévateurs) effectuent toutes des audits de différents types. Ces audits ont un objectif très différent de celui dun audit TrueCrypt . TrueCrypt et des projets similaires sont open-source et ont un groupe de contributeurs en constante évolution qui sont parfois anonymes.

Par exemple, dans un environnement dentreprise traditionnel, vous pouvez avoir des audits internes fréquents et continus menés par des personnes à lextérieur de lentreprise (surtout si vous rencontrez des obstacles réglementaires) pour renforcer la sécurité. Parce que si ce n’est pas sécurisé, l’argent est perdu, les employés perdent leur emploi, le PDG est renvoyé, etc.

Dans le monde OG, cypherpunk, open-source, c’est très différent.Il y a eu des cas où un audit de sécurité a été financé par crowdfunding pour un projet afin de sassurer que les développeurs écrivaient un bon code sécurisé, mais aussi pour déterminer quils ne détournaient pas vraiment tout pour la NSA.

Ce sont deux extrémités totalement différentes du spectre, et celles dentre nous dans notre petite bulle DeFi sont quelque part au milieu.

Lorsque vous vivez dans cet espace, il est facile doublier à quel point les infrastructures sont éphémères, mais cest insensé. Vous avez des jetons qui sont distribués aujourdhui mais qui peuvent être vendus demain pour 2X (ou .5X) sans calendrier dacquisition. Il ny a pas de personnes qui investissent dans votre entreprise autant quelles investissent dans vos jetons – ce sont des enfants sur Internet qui ont probablement un peu de TDAH et qui sautent de jeton en jeton, voulant toujours la nouveauté.

Nous voulons tout décentraliser et parfois nous pouvons aller un peu trop loin. Par exemple, certains projets garderont des kill switch, mais si quelque chose de mauvais arrive au contrat intelligent, nous rejetterons juste un peu le blâme.

Je pense que nous allons avoir un compte avec le tout anonyme culture cypherpunk. Nous avons Satoshi, et Satoshi a bien fait, donc certaines personnes supposent quun projet semi-centralisé qui va prendre tout votre argent et qui a un fondateur anonyme est aussi bon. Nous devons nous rappeler quêtre anonyme est en fait un signal indigne de confiance, pas un signal digne de confiance. Satoshi était une anomalie. Nous devons être plus sceptiques.

Les constructeurs DeFi sont différents. Je les appelle des constructeurs pour capturer la gamme complète de personnes qui créent des produits DeFi, pas seulement les PDG.

Les constructeurs DeFi ont de nouvelles structures organisationnelles; ils sont basés dans tous les pays ou aucun pays spécifique, ou ils sont un DAO, ou un certain nombre de choses. Ils sont très expérimentaux et perturbent la tradition. Leur «équité» est généralement un jeton et il PEUT avoir un blocage, mais peut-être pas, et il peut être vendu demain. Ils construisent ces systèmes avec la crypto-monnaie, en utilisant une nouvelle structure organisationnelle qui nest reconnue par aucun gouvernement.

Les gens qui créent des produits ont un très grand appétit pour le risque. Si vous regardez le spectre des constructeurs dans cet espace, vous verrez ceux que vous considérez comme plus ou moins risqués, mais si vous faites un zoom arrière … nous sommes tous ici sur le très haut – côté risque. Lorsque vous effectuez un zoom avant de très près, il est facile de se faire une fausse idée que quelquun est en sécurité. Tout le monde adopte un comportement vraiment risqué et cela affecte les choix que nous faisons, la façon dont nous voyons et construisons les choses, et comment nous en parlons.

Et bien sûr, nous avons tout cet aspect shiller / détenteur de jetons – léquivalent le plus proche dêtre un actionnaire. Ils peuvent vous influencer ainsi que le prix de votre action (ou dans ce cas, votre token). Malheureusement, les jetons ne sont pas la même chose que linvestissement en actions, car les gens retournent constamment ces jetons. Ils veulent que ce jeton / projet / quoi que ce soit soit lancé et ils veulent en tirer profit.

Nous avons cette tendance à traiter les projets DeFi un peu comme les entreprises traditionnelles de certaines manières – VOUS obtenez laudit, VOUS le prouvez vous êtes en sécurité, VOUS payez les factures – mais traitez-les également comme des bêtes magiques super décentralisées dune autre manière. Cela crée beaucoup de conflits.

Nous avons créé cette communauté folle et influente dindividus qui investissent dans ces jetons et prennent dénormes risques pour ces gains à très court terme. Ils vont le pomper. Ils construiront des robots pour cela. Ils arbitreront. Ils vont shill, shill, shill it. Et si quelque chose ne va pas, ces mêmes individus se battront bec et ongles pour défendre ce projet, poussant à réactiver les protocoles même sils ont été piratés deux jours plus tôt. La raison pour laquelle ces «investisseurs» font cela est qu’ils ont déjà perdu X montant et si ce protocole n’est pas activé dès que possible, ils en perdront davantage. Donc, ces détenteurs de jetons, les gens qui ont de largent dans ces protocoles, ils sont incités à pousser les constructeurs de ces protocoles à les réactiver maintenant.

Cest mauvais.

Alors, où allons-nous à partir dici?

Nous devons fournir une protection contre les pires contrevenants, les pires jetons et les pires shillers – ceux qui ne se soucient pas de la sécurité et ne sont pas conscients de quelque chose de grave qui pourrait arriver. Mais nous devons également récompenser le bon comportement, et qui manque actuellement.Si MakerDAO prend deux ans pour arriver même à testnet, personne nest comme «hé les gars, merci beaucoup de faire votre diligence et de prendre le temps nécessaire pour construire ce système complexe qui va contenir des milliards de dollars.»

Au lieu de cela, les gens se disent: « Duuude ça ta pris DEUX ANS?! et vous êtes uniquement sur TESTNET? Pourquoi n’êtes-vous pas encore sur le réseau principal? »

Ça doit aller. Nous devons mieux récompenser les bons comportements. Même quand quelquun dérape, sil montre quil prend les choses au sérieux et quil apprend de ses erreurs, et prend des mesures sur ses faux pas, il devrait être récompensé.

Si nous continuons à repousser les mauvais et à nous attirer le bien, tout sera plus fort.

Un audit de sécurité signifie uniquement quun projet dispose de suffisamment dargent pour payer un audit. Cela ne signifie pas quun projet est sécurisé. Je pourrais parler toute la journée des audits, de ce quils sont et de ce quils sont ne pas. Je tiens simplement à souligner quun audit de sécurité est comme un regard tiers qui entre et examine votre code. Cest un petit aspect dune bonne culture sécurisée et dune bonne entreprise sécurisée.

Si ce petit effort est tout ce que vous faites pour la sécurité de votre produit, vous nêtes pas en sécurité. Et (cela ne devrait pas avoir besoin dêtre dit, mais nous y sommes) si votre audit revient avec tout un tas derreurs, vous devez y remédier afin dêtre réellement plus sûr .

Les auditeurs ont pris un peu de chaleur ces derniers temps parce que leurs rapports daudit ne sortent pas et disent les choses franchement. Leur politesse professionnelle vous oblige à lire entre les lignes, mais à mesure que cet espace mûrit, jespère que nous aurons plus de journalistes et de chercheurs capables de traduire ces documents techniques complexes en langage humain. Mais pour linstant, nous devons nous rappeler quun audit est une bonne chose que les gens doivent faire, mais ce nest quune étape. Cela ne garantit pas la sécurité et vous ne devez pas le traiter comme un cachet dapprobation.

Daccord, et ensuite je veux que tout le monde essaie dêtre plus sceptique. Je veux dire, lorsque vous regardez un nouveau projet ou que vous allez sur DefiPulse et quil y a un nom de protocole que vous navez jamais entendu auparavant … au lieu dêtre excité et dy injecter immédiatement de largent, arrêtez-vous et réfléchissez:

«Ces gens veulent mon argent. Cette page est conçue pour me manipuler pour leur donner mon argent. Est-ce une bonne décision? Que dois-je savoir pour pouvoir prendre cette décision? »

Nous devons être sceptiques et cela va prendre du temps. Cest un changement dattitude que nous devons inculquer les uns aux autres et à nous-mêmes, ainsi quaux nouveaux arrivants qui entrent dans lespace, car ce sont eux qui sont le plus à risque pour ce type de choses.

Posez des questions. Cest lune des choses les plus puissantes que nimporte qui dans cette communauté puisse faire, que vous soyez designer, artiste, meilleur ingénieur en sécurité ou basketteur! Peu importe si votre technique.

Ne vous sentez pas stupide. Ce n’est pas stupide. Même si cest stupide, quelquun dautre a eu la même question, donc vous pouvez être stupide ensemble. 😉 Mais sérieusement, il y a un tel manque dinformations dans cet espace que je peux sincèrement dire quil ny a pas de questions stupides. Il ny en a vraiment pas.

Voici quelques exemples:

  • Ont-ils un audit?
  • Quand laudit a-t-il été réalisé?
  • Qui a réalisé laudit? Combien de temps les auditeurs ont-ils passé dessus?
  • Quand a-t-il été mis en ligne sur testnet? Combien de volume a-t-il traité? Le code a-t-il changé?
  • Où se trouve la documentation? Est-ce que cest bon?
  • Comment communiquent-ils avec les gens sur les réseaux sociaux? Sont-ils transparents? Est-ce quils sen prennent si vous remettez en question leur culture de sécurité?
  • Où sont leurs tests? À quelle fréquence sont-ils mis à jour?
  • Leur code est-il même open-source?
  • Leur code est-il vérifié sur Etherscan?
  • Ont-ils un e-mail de sécurité?
  • Ont-ils un programme de bug bounty?
  • De quoi parlent-ils le plus sur les réseaux sociaux ou lors de discussions? La sécurité ou la prochaine étape importante?
  • Y a-t-il un ingénieur en sécurité parmi son personnel? En ont-ils cinq? Ont-ils 500?
  • Ont-ils des ingénieurs? Ces ingénieurs sont-ils de vraies personnes? Tant dICO avaient juste de fausses pages déquipe pleines de fausses personnes – même des célébrités!

Consensys Diligence juste a rédigé un message entier sur les questions que vous devriez poser !

  • Quelles actions spéciales les administrateurs peuvent-ils entreprendre?
  • De quels oracles dépend votre système?
  • De quels échanges dépend votre système?
  • Le code source de vos contrats est-il accessible au public?
  • Quelle est la fourchette des paiements de prime?
  • Disposez-vous dun plan écrit expliquant comment gérer un incident de sécurité?
  • Quels scénarios votre plan prend-il en considération?
  • Une partie de votre système a-t-elle été exclue de la portée de laudit?

… Et BEAUCOUP PLUS. Lisez-le absolument .

La pression sociale est un puissant facteur de motivation et probablement le seul qui peut contrecarrer les incitations financières dont nous avons parlé plus tôt.

En interne, nous devons être sceptiques. Mais en externe, nous devons montrer ce scepticisme. Vous devez montrer à ces projets à la recherche dargent ce qui compte pour vous – que vous vous souciez de la sécurité, de la sûreté et de la diligence. Faites-leur consacrer des ressources pour être conscients des mauvaises choses qui peuvent potentiellement arriver.

Jaime toujours quand les gens posent des questions sur notre politique de confidentialité ou nos audits. Les audits sont des exigences importantes pour moi et mon équipe, et nous les faisons pour nous-mêmes autant que nous les faisons pour nos utilisateurs.

Il est plus facile de pas obtenir un audit ou pas créer un modèle de menace. Il est plus facile de lancer Google Analytics sur votre site. Et cest encore plus facile si personne ne se soucie de ces choses et quil ny a pas de récompense pour les faire. La seule récompense est intangible. Il sagit de létat par défaut « ne pas être piraté ». Mais la communauté a le pouvoir de récompenser les gens pour les bons choix quils font.

La blockchain est en fait vraiment incroyable en termes dincitation. Cest en quelque sorte le but de la blockchain. Il a été conçu pour créer cette remarquable structure dincitation afin que nimporte qui de nimporte où dans le monde puisse faire partie de la même équipe. Ce qui signifie que nous sommes tous dans la même équipe. Cela signifie que tout le monde lit ceci, que vous construisiez quelque chose ou un PDG. ou tout simplement en regardant le drame se dérouler sur Twitter, vous faites partie de cet écosystème. Par conséquent, il est de votre responsabilité de vous assurer quil y a plus de bien que de mal et plus de succès que déchec.

Récompensez les bons, éliminez les mauvais, et nous serons tous mieux lotis.

Je suis Taylor Monahan. Je suis le fondateur et PDG de MyCrypto. Nous sommes toujours sur Twitter. Rendez-vous sur beta.mycrypto.com et dites-nous ce que vous aimez ou ce qui peut être amélioré, car nous avons travaillé si dur pour vous. Merci beaucoup.

Plus de ressources et de trucs

Audits de sécurité / contrats intelligents pour les produits mentionnés ci-dessus

Audits de sécurité / contrats intelligents par les meilleurs auditeurs

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *