DeFi: condivisione di rischi, premi e responsabilità.

La finanza decentralizzata può aggiungere valore alla rete e alla vita delle persone … fintanto che la nostra eccitazione non si traduce in noi che balliamo a picco.

(Taylor Monahan) (14 luglio 2020)

Questo era originariamente un discorso che ho tenuto a Evento di discussione sulla DeFi di Dystopia Labs .

Al momento di questo discorso (inizio maggio 2020), dForce e Hegic exploit si erano verificati entrambi nei 14 giorni precedenti. Era anche prima dellavvento dei token di governance, degli IDO e del raccolto agricolo. Ma si tratta meno di eventi specifici e più di costruire un sistema che avvantaggerà persone, non danneggiarle.

Sam Sun inietta un po di umorismo nero dopo lennesimo incidente DeFi.

DeFi è cresciuto notevolmente in fretta e, come sempre, la crescita porta hack, attacchi, exploit, incidenti, non incidenti e conseguenze generalmente non intenzionali. Tra gennaio 2020 e maggio 2020, sembrava che tutte le Bad Things ™ fossero con prodotti DeFi. O ero solo iper-concentrato sugli eventi nello spazio DeFi? Diamo unocchiata …

Una delle cose più interessanti è che gli hack di scambio divulgati / segnalati sono in calo rispetto allo scorso anno . A questo punto, nel 2019, cerano sette enormi attacchi di scambio: Cryptopia, Bitrue, Coinmama, Coinbin, DragonEx, Bithumb e poi Binance (4 maggio). Il fatto che ci siano meno hack negli scambi è interessante, ma è anche interessante che le dimensioni di questi hack siano state relativamente piccole. Questa è probabilmente la prima volta in oltre 5 anni che il numero di attacchi di scambio è stato così basso.

Da allora, BlockFi ha subito una violazione dei dati dopo che un dipendente è stato scambiato per sim. Non sono stati presi fondi o password dei clienti, ma le informazioni sui clienti lo erano.

Dopo aver tenuto questo discorso, alcuni hanno commentato che potrebbe essere che meno scambi rivelino gli hack, non che leffettivo il numero è diminuito. Ciò è in qualche modo supportato dal rapporto CryptoCore , sebbene anche lattività di quel gruppo sia diminuita nella prima metà del 2020. Potenziali ragioni per il calo degli hack effettivi o segnalati potrebbe essere dovuto al fatto che più attività vengono separate in celle calde e fredde, mettendo da parte denaro come fondo “assicurativo”, aumento della redditività / scadenza in generale, condizioni macro come COVID-19 o condizioni di mercato ribassiste che attirano meno attenzione.

Un altro spunto interessante dallanalisi della raccolta di cose brutte ™ è che il portafoglio exploit e rapine e le dimensioni di tali rapine sono aumentate.

  1. Abbiamo iniziato lanno con Il portafoglio Trinity di IOTA , che è stato compromesso tramite linfrastruttura di Moonpay in un attacco mirato. Si dice che sia stato rubato $ 2 milioni e il loro post mortem è unottima lettura.
  2. Poco dopo, un investitore cinese ha cambiato SIM ed è stato rubato $ 30 milioni di BTC e BCH . Questa è probabilmente la più grande perdita registrata a causa di uno scambio di SIM. ((Proteggiti dagli scambi), per favore.)
  3. Si è verificato un aumento delle estensioni Chrome dannose che hanno preso di mira Ledger, MEW, MetaMask, e molti altri.
  4. Più recentemente, abbiamo visto questa enorme truffa di uscita dal portafoglio EOS . Gli autori potrebbero essere riusciti a farla franca con $ 52M di EOS. Non seguo da vicino lecosistema EOS, quindi questo numero potrebbe essere sbagliato – spero che sia sbagliato – ma a prescindere, cera evidentemente una grande truffa di uscita da parte di un creatore di portafogli. Fa male.
  5. Ho anche dimenticato di includere vari problemi di ZecWallet , che rivaleggia con DeFi quando si tratta di vulnerabilità e problemi di sicurezza.

Infine, diamo unocchiata a il nostro ecosistema. Questa è DeFi in questo momento. Questa è una lista piuttosto lunga. Certo, ho incluso i quasi incidenti, ma penso che dovremmo prestare loro attenzione perché non possiamo presumere che persone come Sam Sun e 1inch.exchange salveranno la situazione ancora e ancora e ancora.

😈 Exploit effettivi in ​​caso di perdita di denaro:

😬 I “mancati incidenti” in cui si è verificata una divulgazione e risoluzione:

  • 20 gennaio: (1inchexchange rileva che & rivela un exploit in Fulcrum / bZx.)
  • 18 febbraio: (Sam Sun responsabilmente rivela lexploit di Authereum).
  • 24 febbraio: (Sam Sun E Mudit Gupta rivelano responsabilmente due exploit di Nexus Mutual).
  • 24 marzo: Sam Sun rivela responsabilmente Hegic Exploit .

😱 I “near miss” in cui, se non fosse stato catturato, avrebbero portato a perdite significative:

Quindi, a metà tutto questo, abbiamo avuto ⚰ Black Thursday.

Questa è stata una giornata catastrofica nei mercati tradizionali che ha avuto un rapido impatto sul mondo delle criptovalute. Tutto sommato, ci siamo ripresi abbastanza bene dagli effetti a cascata che hanno minacciato lancoraggio del DAI, salito alle stelle i costi del gas, liquidato le posizioni e limitato luso degli oracoli.

Il giovedì nero è un buon promemoria del fatto che i rischi si presentano in tutte le forme. Una singola piattaforma può essere prosciugata o le condizioni economiche globali combinate con una maggiore componibilità possono portare a eventi catastrofici. Anche se si spera di non vedere di nuovo un altro giovedì nero a breve, gli effetti a cascata sono qualcosa da imparare da   e   tentativo   per   proteggere   contro, soprattutto perché i lego DeFi interconnessi diventano ancora più strettamente collegati. Potrebbe non essere necessario qualcosa di così grande per causare problemi.

Infine, vale la pena notare che non abbiamo avuto troppe truffe di uscita (in DeFi o Ethereum) in cui un prodotto guadagna la fiducia di tutti e poi viene eseguito via con le borse. Detto questo, ci sono stati molti schemi Ponzi e ovvie truffe che sono riusciti a farcela con milioni o sono in corso   * cough *   Hex   * tosse *. Ci piacerebbe vedere abusare della funzionalità di amministrazione dei contratti ad un certo punto. Probabilmente vedremo truffe di uscita. Questo dovrebbe spaventarci. E sì, per favore, bussano tutti alla legna.

Questa è la quantità di denaro “bloccata” negli specifici protocolli DeFi al 29 aprile 2020. Poiché denominiamo tutto in USD, quel numero può aumentare molto rapidamente quando il prezzo ETH sale. Subito prima di questo discorso, abbiamo visto una pompa il cui prezzo era di $ 172 quando sono andato a letto e di oltre $ 200 quando mi sono svegliato.

Se questo mercato oscilla al rialzo come nel 2017, vedremo questi tipi di pompe giorno dopo giorno. Se stai sviluppando uno smart contract DeFi, potresti passare da $ 1 milione a $ 100 milioni troppo rapidamente per poter elaborare e adattare   a   le   nuove   circostanze. Questa è una delle cose che mi spaventa di più.Il 2017 è stato emozionante ma anche terrificante quando ho visto decollare lutilizzo del mio prodotto. Per tutto il 2017 e il 2018 sono stato due o tre passi indietro e ho costantemente spento gli incendi. E non stavo trattenendo i soldi di nessuno, letteralmente o tramite un contratto intelligente.

Anche se nessun nuovo utente inizia a utilizzare il tuo prodotto o deposita denaro nel tuo contratto intelligente, il valore aumenta quando il mercato   salta.

Tutto sommato, siamo stati super fortunati che molti degli exploit catastrofici siano stati divulgati in modo responsabile. Il numero di prese nella tredicesima ora è stato notevole.

Abbiamo camminato in giro comportandoci come se stessimo costruendo un domani migliore, salvando il mondo e guadagnando un sacco di soldi. In realtà, stiamo bloccando criptovalute, bruciando criptovalute, gettando via criptovalute, gettandole nel gabinetto e tutto il resto.

Solo uno o due milioni di dollari sono stati persi negli ultimi 4 mesi a causa di questi protocolli DeFi. Ma il motivo per cui uso la parola “solo” è che puoi vedere che otto di questi sono stati divulgati in modo responsabile   o   scoperti   di   interno   membri   di   un   team. Ad esempio, in una notevole svolta di eventi, 1inch e altri sono stati in grado di recuperare la maggior parte dei fondi rubati nellhacking DForce da 25 milioni di dollari. non succede. Gli hacker non restituiscono soldi. Ancora una volta, non possiamo fare affidamento su Sam Sun, 1 pollice o su una cavalleria di cappelli bianchi che restituiscono $ 25 milioni ogni volta. Dobbiamo essere più bravi a proteggere i nostri prodotti, i nostri vincoli e i nostri sistemi, in modo che allinizio non vengano presi $ 25 milioni.

Se continuiamo sulla strada che stiamo percorrendo, ci faremo il culo e danneggeremo le prospettive di DeFi e questo ecosistema. E mi piace molto la DeFi. Il motivo per cui parlo così tanto della DeFi è che voglio che abbia successo. Sfortunatamente, il modo in cui ci stiamo avvicinando in questo momento – le cose che stiamo facendo, le cose che non stiamo facendo, gli atteggiamenti che abbiamo – non finisce in arcobaleni   e   unicorni. Vogliamo un percorso in cui   tragga vantaggio, stiamo facendo soldi e stiamo trasformando i sistemi finanziari che controllano le nostre vite. Dobbiamo salire di livello su diversi fronti se vogliamo arrivarci.

Hegic e Trail of Bits

A maggio ci fu un sacco di discussioni su come lexploit Hegic avrebbe potuto essere prevenuto e sullaudit che Trail of Bits ha fatto.

Molte persone hanno richiamato lattenzione sul fatto che Trail of Bits ha “verificato” gli smart contract di Hegic, ma Trail of Bits ha chiarito che si trattava di una revisione molto breve piuttosto che di una revisione completa. Potrei fare un intero discorso solo su Hegic, ma ci sono stati alcuni suggerimenti interessanti … Uno è che gli auditor dovrebbero puntare un intero carico di soldi e se un contratto viene violato, allora quei soldi vengono usati per ripagare le persone. Ovviamente, cè il dramma intorno alla licenza per gli ingegneri del software. Alcuni hanno suggerito che prima che gli utenti possano investire i propri soldi in qualsiasi progetto DeFi, devono superare un test a scelta multipla per dimostrare di comprendere appieno e accettare i rischi che accompagnano le loro azioni.

Non lo sono. un fan di uno di questi. Se riduciamo lo zoom e guardiamo tutto ciò che sta accadendo in relazione al mondo in cui viviamo, ci rendiamo conto che cè un problema più grande che chiamare una revisione una verifica.

Diamo unocchiata a come sono avvenuti i controlli nel corso della storia. La maggior parte delle aziende tradizionali (sai, enormi uffici con server o anche conglomerati multinazionali con persone nei loro magazzini che corrono con elmetti e usano carrelli elevatori) fanno tutte audit di vario tipo. Questi controlli hanno uno scopo molto diverso rispetto a un controllo TrueCrypt . TrueCrypt e progetti simili sono open source e hanno un gruppo in continua evoluzione di collaboratori che a volte sono anonimi.

Ad esempio, in un ambiente aziendale tradizionale, potresti avere controlli interni frequenti e continui condotti da persone allesterno dellazienda (soprattutto se si hanno ostacoli normativi) per rafforzare la sicurezza. Perché se non è sicuro, i soldi vengono persi, i dipendenti perdono il lavoro, il CEO viene buttato fuori, ecc.

Nel mondo OG, cypherpunk e open source, è molto diverso.Ci sono stati casi in cui un audit di sicurezza è stato finanziato tramite crowdfunding per un progetto al fine di garantire che gli sviluppatori stessero scrivendo un codice valido e sicuro, ma anche per determinare che non stavano effettivamente facendo il backdoor tutto per la NSA.

Questi sono due estremi completamente diversi dello spettro, e quelli di noi nella nostra piccola bolla DeFi sono nel mezzo da qualche parte.

Quando vivi in ​​questo spazio è facile dimenticare quanto siano fugaci le infrastrutture, ma è assurdo. Hai gettoni che vengono distribuiti oggi ma possono essere venduti domani per 2X (o .5X) senza orari di maturazione. Non ci sono persone che investono nella tua azienda tanto quanto stanno investendo nei tuoi token: questi sono ragazzi su Internet che probabilmente hanno un po di ADHD e saltano da token a token, desiderando sempre la cosa più recente.

Vogliamo decentralizzare tutto ea volte possiamo esagerare un po . Ad esempio, alcuni progetti manterranno i kill switch, ma se accade qualcosa di brutto al contratto intelligente, sposteremo un po la colpa.

Penso che faremo i conti con lintero anonimo cultura cypherpunk. Abbiamo Satoshi e Satoshi è andato bene, quindi alcune persone presumono che un progetto semi-centralizzato che prenderà tutti i tuoi soldi e che ha un fondatore anonimo sia anche buono. Dobbiamo ricordare che essere anonimi è in realtà un segnale inaffidabile, non affidabile. Satoshi era unanomalia. Dobbiamo essere più scettici.

I costruttori di DeFi sono diversi. Li chiamo costruttori per catturare lintera gamma di persone che creano prodotti DeFi, non solo i CEO.

I costruttori di DeFi hanno nuove strutture organizzative; hanno sede in tutti i paesi o in nessun paese specifico, o sono una DAO o qualsiasi altra cosa. Sono molto sperimentali e rivoluzionano la tradizione. La loro “equity” di solito è un token e FORSE ha un blocco, ma forse no, e può essere venduto domani. Stanno costruendo questi sistemi con criptovaluta, utilizzando una nuova struttura organizzativa che non è riconosciuta da nessun governo.

Le persone che realizzano prodotti hanno una forte propensione al rischio. Se guardi lo spettro di costruttori in questo spazio, vedrai quelli che consideri più o meno rischiosi, ma se riduci lo zoom … siamo tutti qui sul super alto- lato rischio. Quando ingrandisci molto da vicino è facile avere lidea sbagliata che qualcuno sia al sicuro. Tutti sono coinvolti in comportamenti davvero rischiosi e ciò influisce sulle scelte che facciamo, su come vediamo e costruiamo le cose e su come ne parliamo.

E, naturalmente, abbiamo tutto questo aspetto shiller / token holder, lequivalente più vicino allessere un azionista. Possono influenzare te e il prezzo delle tue azioni (o in questo caso, il tuo token). Sfortunatamente, i token non sono la stessa cosa che investire in azioni, poiché le persone lanciano costantemente questi token. Vogliono che quel token / progetto / qualunque cosa venga lanciato e vogliono trarne vantaggio.

Abbiamo questa tendenza a trattare i progetti DeFi un po come le aziende tradizionali in certi modi: TU ottieni laudit, TU lo dimostri sei al sicuro, TU paghi le bollette, ma poi trattale come bestie magiche super decentralizzate anche in altri modi. Questo crea molti conflitti.

Abbiamo creato questa pazza e influente comunità di individui che investono in questi token e si assumono enormi rischi per questi guadagni a brevissimo termine. Lo pomperanno. Costruiranno bot per questo. Lo arbitreranno. Lo shill, lo shill, lo shill. E se qualcosa va storto, quelle stesse persone combatteranno con le unghie e con i denti per difendere quel progetto, spingendo per riattivare i protocolli anche se sono stati violati due giorni prima. Il motivo per cui questi “investitori” lo fanno è che hanno già perso limporto X e se quel protocollo non viene attivato al più presto, perderanno di più. Quindi questi possessori di token, le persone che hanno soldi in questi protocolli, sono incentivati ​​a spingere i creatori di questi protocolli a riattivarli ora.

Non va bene.

Allora dove andiamo da qui?

Dobbiamo fornire una protezione contro i peggiori trasgressori, i peggiori gettoni e i peggiori shiller, quelli senza riguardo per la sicurezza e senza consapevolezza di qualcosa di brutto che potrebbe accadere. Ma dobbiamo anche premiare il buon comportamento e che manca in questo momento.Se MakerDAO impiega due anni anche solo per arrivare a testnet, nessuno dice “ehi ragazzi, grazie mille per aver fatto la vostra diligenza e aver dedicato il tempo necessario a costruire questo sistema complesso che terrà miliardi di dollari”.

Invece, le persone dicono, “Duuude ti ci sono voluti DUE ANNI ?! e sei solo su TESTNET? Perché non sei ancora sulla mainnet? “

Devo andare. Dobbiamo essere più bravi a premiare un buon comportamento. Anche quando qualcuno commette un errore, se mostra di prenderlo sul serio e di imparare dagli errori e di agire sui suoi passi falsi, dovrebbe essere ricompensato.

Se continuiamo a spingere fuori il male e a tirare avanti il buono, tutto sarà più forte.

Un audit di sicurezza significa solo che un progetto ha abbastanza soldi per pagare un audit. Non significa che un progetto sia sicuro. Potrei parlare tutto il giorno degli audit, di cosa sono e di cosa sono non. Voglio semplicemente sottolineare che un audit di sicurezza è come un set di occhi di terze parti che entra e dà unocchiata al tuo codice. È un piccolo aspetto di una buona cultura della sicurezza e di una buona azienda sicura.

Se questo solo frammento di impegno è tutto ciò che fai per la sicurezza del tuo prodotto, non sei sicuro. E (non dovrebbe essere necessario dirlo, ma eccoci qui) se il tuo audit si ripresenta con un sacco di errori, devi risolverli per essere effettivamente più sicuro .

Ultimamente gli auditor hanno preso un po di calore perché i loro rapporti di audit non vengono pubblicati e dicono le cose con franchezza. La loro gentilezza professionale richiede di leggere tra le righe, ma con la maturazione di questo spazio, spero che avremo più giornalisti e ricercatori in grado di tradurre questi documenti tecnici complessi in linguaggio umano. Ma per ora, dobbiamo ricordare che un audit è una buona cosa che le persone devono fare, ma è solo un passaggio. Non garantisce la sicurezza e non dovresti considerarlo come un timbro di approvazione.

Ok, quindi voglio che tutti provino a essere più scettici. Voglio dire, quando guardi un nuovo progetto o vai su DefiPulse e cè il nome di un protocollo che non hai mai sentito prima … invece di essere eccitato e buttarci subito dei soldi, fermati e pensa:

“Queste persone vogliono i miei soldi. Questa pagina è progettata per indurmi a dare loro i miei soldi. È una buona decisione? Quali cose devo sapere per essere in grado di prendere quella decisione? “

Dobbiamo essere scettici e ci vorrà del tempo. È un cambiamento di atteggiamento che dobbiamo instillare gli uni negli altri e in noi stessi, così come i nuovi arrivati ​​che entrano nello spazio, perché sono quelli che sono più a rischio per questo tipo di cose.

Poni domande. È una delle cose più potenti che chiunque in questa community può fare, che tu sia un designer, un artista, il miglior ingegnere della sicurezza o un giocatore di basket! Non importa se sei un tecnico.

Non pensare che sia stupido. Non è stupido. Anche se è stupido, qualcun altro ha fatto la stessa domanda, quindi potete essere stupidi insieme. 😉 Ma seriamente, cè una tale mancanza di informazioni in questo spazio che posso dire sinceramente che non ci sono domande stupide. Non ce ne sono davvero.

Ecco alcuni esempi:

  • Hanno una verifica?
  • Quando è stata eseguita la verifica?
  • Chi ha eseguita la verifica? Quanto tempo ci sono stati gli auditor?
  • Quando è stato pubblicato su testnet? Quanto volume ha gestito? Il codice è cambiato?
  • Dovè la documentazione? Va bene?
  • Come comunicano con le persone sui social media? Sono trasparenti? Si scagliano contro se metti in dubbio la loro cultura della sicurezza?
  • Dove sono i loro test? Con che frequenza vengono aggiornati?
  • Il loro codice è anche open source?
  • Il loro codice è verificato su Etherscan?
  • Hanno une-mail di sicurezza?
  • Hanno un programma di bug bounty?
  • Di cosa parlano di più sui social media o durante i colloqui? Sicurezza o la prossima grande novità?
  • Hanno un ingegnere della sicurezza nello staff? Ne hanno cinque? Ne hanno 500?
  • Hanno degli ingegneri? Questi ingegneri sono persone reali? Così tante ICO avevano pagine di team false piene di persone false, persino celebrità!

Consensys Diligence solo ha scritto un intero post sulle domande che dovresti porre !

  • Quali azioni speciali possono intraprendere gli amministratori?
  • Da quali oracoli dipende il tuo sistema?
  • Da quali scambi dipende il tuo sistema?
  • Il codice sorgente dei tuoi contratti è disponibile pubblicamente?
  • Qual è la gamma dei pagamenti di taglie?
  • Hai un piano scritto che delinei come gestire un incidente di sicurezza?
  • Quali scenari prende in considerazione il tuo piano?
  • Qualche parte del tuo sistema è stata esclusa dallambito del controllo?

… e MOLTO ALTRO. Sicuramente leggilo .

La pressione sociale è un potente motivatore e probabilmente lunico motivatore in grado di contrastare gli incentivi finanziari di cui abbiamo parlato prima.

Internamente, dobbiamo essere scettici. Ma esternamente, dobbiamo mostrare questo scetticismo. Devi mostrare a questi progetti a caccia di denaro ciò che conta per te: che tieni alla sicurezza, allincolumità e alla diligenza. Invitali a dedicare risorse per essere consapevoli delle cose brutte che possono potenzialmente accadere.

Mi piace sempre quando le persone chiedono informazioni sulla nostra politica sulla privacy o sui nostri controlli. Gli audit sono requisiti importanti per me e il mio team e li facciamo per noi stessi tanto quanto li facciamo per i nostri utenti.

È più facile non ottenere un controllo o non creare un modello di minaccia. È più facile lanciare Google Analytics sul tuo sito. Ed è ancora più facile se a nessuno importa di queste cose e non cè ricompensa per averle fatte. Lunica ricompensa è intangibile. È lo stato predefinito di “non essere violato”. Ma la comunità ha il potere di premiare le persone per le buone scelte che fanno.

La blockchain è davvero sorprendente per gli incentivi. È più o meno lo scopo della blockchain. È stato costruito per creare questa straordinaria struttura di incentivi in ​​modo che chiunque da qualsiasi parte del mondo possa far parte della stessa squadra. Il che significa che siamo tutti nella stessa squadra. Ciò significa che tutti leggono questo, che tu stia costruendo qualcosa o un CEO. o semplicemente guardando il dramma svolgersi su Twitter, fai parte di questo ecosistema. Pertanto, è tua responsabilità contribuire a garantire che ci sia più buono che cattivo e più successo che fallimento.

Premia i buoni, elimina i cattivi e staremo tutti meglio.

Sono Taylor Monahan. Sono il fondatore e CEO di MyCrypto. Siamo sempre su Twitter. Dai unocchiata a beta.mycrypto.com e dicci cosa ti piace o cosa può essere migliorato perché abbiamo lavorato così duramente su questo per te. Grazie mille.

Altre risorse e altro

Controlli di sicurezza / contratti intelligenti per i prodotti sopra menzionati

Controlli di sicurezza / smart contract da parte dei migliori revisori

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *