DeFi:リスク、報酬、および責任の共有。

分散型ファイナンスは、ネットワークと人々の生活に価値を付加することができます…私たちの興奮が崖からすぐに踊る結果にならない限り。

(テイラーモナハン)(2020年7月14日)

これはもともと私が DystopiaLabsのDeFiディスカッションイベント で行った講演でした。 。

この講演の時点(2020年5月初旬)では、 dForce and Hegic悪用 は両方とも過去14日間に発生しました。また、ガバナンストークン、IDO、および収穫農業が登場する前でもありました。ただし、これは特定のイベントに関するものではなく、 メリット

となるシステムの構築に関するものです。 人を傷つけないでください。

サムサンが黒いユーモアを注入していますさらに別のDeFiインシデントの後。

DeFiは非常に急速に成長しており、いつものように、成長はハッキング、攻撃、エクスプロイト、インシデント、非インシデント、および一般的に意図しない結果。 2020年1月から2020年5月の間に、すべての BadThings™がDeFi製品を使用していたように見えました。それとも、DeFiスペースのイベントに非常に集中していましたか?見てみましょう…

最も興味深い点の1つは、公開/報告された交換ハッキング

が昨年に比べて大幅に減少していることです。 2019年のこの時点で、Cryptopia、Bitrue、Coinmama、Coinbin、DragonEx、Bithumb、Binanceの7つの大規模な交換ハックがありました(5月4日)。取引所でのハッキングが少ないという事実は興味深いですが、これらのハッキングのサイズが比較的小さいことも興味深いです。交換ハッキングの数がこれほど少なくなったのは、おそらく5年以上ぶりのことです。

それ以来、 BlockFiでデータ侵害が発生しました

a>従業員がSIM交換された後。顧客の資金やパスワードは取得されませんでしたが、顧客情報は取得されました。

この講演の後、実際のハッキングではなく、ハッキングを開示している取引所が少ない可能性があるとのコメントがありました。 数が減りました。これは、 CryptoCoreレポートによってある程度サポートされていますが、そのグループの活動でさえ2020年の前半に減少しました。実際のハッキングまたは報告されたハッキン​​グの減少の潜在的な理由高温貯蔵と低温貯蔵で分離される資産の増加、「保険」基金としての資金の確保、一般的な収益性/成熟度の向上、COVID-19のようなマクロ条件、または弱気な市況があまり注目されていないことが原因である可能性があります。

悪いもののコレクションを見ることからのもう1つの興味深いポイント™は、ウォレットが悪用と強盗を行い、それらの強盗の規模が大幅に拡大したことです。

  1. 今年は

    IOTAのTrinityウォレット。これは、標的型攻撃でMoonpayのインフラストラクチャを介して侵害されました。 200万ドルが盗まれたという噂があり、彼らの事後分析は優れた読み物です。

  2. その後まもなく、中国の投資家 SIMが交換され、3,000万ドル相当のBTCとBCHが盗まれました。これは、SIMスワップによる最大の記録された損失である可能性があります。 ((スワップから身を守ってください)お願いします。)
  3. Ledger、MEW、MetaMask、をターゲットにした悪意のあるChrome拡張機能の増加がありました。
  4. ごく最近、この巨大な EOSウォレット出口詐欺を目にしました。加害者は5200万ドル相当のEOSで逃げたかもしれません。私はEOSエコシステムを厳密に追跡していないため、この数値は間違っている可能性があります(間違っているといいのですが)が、それにもかかわらず、ウォレット作成者による大きな出口詐欺があったことは明らかです。それは痛いです。
  5. また、脆弱性とセキュリティドラマに関しては、DeFiに匹敵するさまざまな ZecWallet の問題を含めるのを忘れていました。

最後に、を見てみましょう。私たち自身のエコシステム。これは現在DeFiです。これはかなり長いリストです。確かに、ニアミスを含めましたが、Sam Sunや1inch.exchangeのような人々が何度も何度もその日を救うとは考えられないので、注意を払う必要があると思います。

😈金銭が失われた実際のエクスプロイト:

😬開示と解決が行われた「ニアミス」:

  • 1月20日:(1inchexchangeは&がFulcrum / bZxでのエクスプロイトを開示していることを発見しました。)
  • 2月18日:(SamSunが責任を持ってAuthereumエクスプロイトを開示します。
  • 2月24日:(SamSunとMuditGuptaが責任を持って2つのNexusMutualエクスプロイトを開示します。)
  • 3月24日: SamSunは責任を持ってHegicExploitを開示します

😱キャッチされなかった場合、重大な損失につながる「ニアミス」:

その後、途中でこれらすべてで、⚰ブラックサーズデイがありました。

これは、暗号通貨の世界に急速に影響を与えた伝統的な市場での壊滅的な日でした。すべてを考慮すると、DAIペグを脅かし、ガスコストが急騰し、ポジションを清算し、オラクルの使用を制限したカスケード効果からかなりうまく回復しました。

ブラックサーズデイは、リスクがあらゆる形で発生することを思い出させる良い思い出です。単一のプラットフォームが枯渇したり、世界的な経済状況と構成可能性の向上が組み合わさって、大変動が発生する可能性があります。もうすぐブラックサーズデイが再び見られないことを願っていますが、カスケード効果は と

の試み  to   protected  特に、相互接続されたDeFiレゴがさらに緊密に結合されるようになります。問題を引き起こすのにそれほど大きなものは必要ないかもしれません。

最後に、製品がすべての人の信頼を得て実行される出口詐欺(DeFiまたはEthereum)があまり多くないことは注目に値します。バッグを片付けます。とは言うものの、ポンジースキームや明らかな詐欺がたくさんあり、何百万ドルも稼いだり、進行中です  *咳*

Hex   *咳*。ある時点で、契約の管理機能が悪用されることを望んでいます。出口詐欺が発生する可能性があります。それは私たちを怖がらせるはずです。そして、はい、お願いします、誰もが木をノックします。

これは、2020年4月29日現在の特定のDeFiプロトコルで「ロック」されている金額です。すべてをUSDで表記しているため、ETHの価格が上がると、その数はすぐに増える可能性があります。この講演の直前に、私が寝たときの価格が172ドル、目覚めたときの価格が200ドルを超えるポンプを見ました。

この市場が2017年のように上昇すると、これらのタイプが表示されます。毎日のポンプの。 DeFiスマートコントラクトを開発している場合、100万ドルから1億ドルへの移行が早すぎて、 を処理して

新しいユーザーがいない場合でも

製品の使用を開始するか、スマートコントラクトにお金を預けると、市場がジャンプすると価値が急上昇します ジャンプします。

すべてを考慮すると、壊滅的なエクスプロイトの多くが責任を持って開示されたことは非常に幸運でした。 13時間目に引いたトリックの数は目覚ましいものがあります。

私たちは、より良い明日を築き、世界を救い、大量のお金を稼ぐように行動して歩き回っています。実際には、暗号をロックし、暗号を焼き、暗号を捨て、トイレに流し込み、その間のすべてを行っています。

これらのDeFiプロトコルから過去4か月で失われた金額はわずか100万ドルまたは200万ドルです。しかし、私が「のみ」という言葉を使用する理由は、これらのうち8つが責任を持って開示された

または

発見された

by  内部

メンバー

of   a  チーム。たとえば、イベントの目覚ましい変化の中で、1インチなどは2500万ドルのDForceハッキングで盗まれた資金のほとんどを回収することができました。それは起こりません。ハッカーはお金を返しません。繰り返しになりますが、Sam Sun、1インチ、または毎回2,500万ドルを返す白い帽子の騎兵隊に頼ることはできません。そもそも2,500万ドルが使われないように、製品、制約、システムのセキュリティを強化する必要があります。

現在の道を進み続けると、ロバが手渡され、DeFiの見通しが悪くなります。このエコシステム。そして、私はDeFiが本当に好きです。私がDeFiについてたくさん話す理由は、それを成功させたいからです。残念ながら、私たちが今取り組んでいる方法、つまり私たちがしていること、していないこと、私たちの態度は、虹で終わるわけではありません および

ユニコーン。私たちは、 恩恵を受け、お金を稼ぎ、私たちの生活を管理する金融システムを変革する道を望んでいます。そこにたどり着くには、さまざまな面でレベルアップする必要があります。

Hegic and Trail of Bits

5月に、Hegicの悪用を防ぐ方法と、Trail ofBitsが行った監査について多くの議論がありました。

多くの人が、Trail of BitsがHegicのスマートコントラクトを「監査」したという事実に注意を促しましたが、Trail of Bitsは、包括的な監査ではなく、非常に短いレビューであると明言しました。 Hegicだけで話をすることはできますが、興味深い提案がいくつかあります。1つは、監査人が大量のお金を賭けて、契約がハッキングされた場合、そのお金を使って人々に返済するというものです。明らかに、ライセンスを受けているソフトウェアエンジニアをめぐるドラマがあります。ユーザーがDeFiプロジェクトに資金を投入する前に、多肢選択式のテストに合格して、行動に伴うリスクを完全に理解し、受け入れる必要があると示唆する人もいます。

私はそうではありません。これらのいずれかのファン。ズームアウトして、私たちが住んでいる世界に関連して起こっているすべてを見ると、レビューを監査と呼ぶよりも大きな問題があることがわかります。

歴史を通じて監査がどのように行われたかを見てみましょう。ほとんどの伝統的な企業(サーバーを備えた巨大なオフィスや、倉庫にヘルメットをかぶってフォークリフトを使用している人々がいる多国籍企業でさえ)はすべて、さまざまな種類の監査を行っています。これらの監査は、 TrueCrypt 監査とは非常に異なる目的を果たします。 TrueCryptとそのようなプロジェクトはオープンソースであり、時には匿名の貢献者のグループが絶えず変化しています。

たとえば、従来の企業環境では、人々によって頻繁に継続的な内部監査が行われる場合があります。セキュリティを強化するために社外で(特に規制上のハードルがある場合)。安全でない場合、お金が失われる、従業員が職を失う、CEOが捨てられるなどの理由で、

OG、サイファーパンク、オープンソースの世界では、それは大きく異なります。開発者が適切で安全なコードを記述していることを確認するだけでなく、実際にはNSAのすべてをバックドアしていないことを確認するために、プロジェクトのセキュリティ監査がクラウドファンディングされた場合があります。

これらは、スペクトルの2つのまったく異なる端であり、私たちのものです。小さなDeFiバブルのどこかにあります。

このスペースに住んでいると、インフラストラクチャがどれほど儚いものであるかを忘れがちですが、それは非常識です。今日配布されているトークンがありますが、権利確定スケジュールなしで明日2倍(または0.5倍)で販売できます。トークンに投資しているほど、会社に投資している人はいないでしょう。これらはインターネット上の子供で、おそらく少しADHDを持っていて、トークンからトークンへとジャンプし、常に最新のものを望んでいます。

私たちはすべてを分散化したいと思っており、時には少しやり過ぎになることもあります。たとえば、一部のプロジェクトではキルスイッチが維持されますが、スマートコントラクトに何か問題が発生した場合は、責任を少しだけシフトします。

匿名全体を考慮に入れるつもりです。サイファーパンク文化。私たちにはサトシがいて、サトシはうまくいったので、匿名の創設者がいるあなたのお金をすべて奪う半集中型のプロジェクトも良いと思う人もいます。 匿名であることは、実際には信頼できないシグナルであり、信頼できるシグナルではないことを覚えておく必要があります。聡は異常だった。もっと懐疑的になる必要があります。

DeFiビルダーは異なります。私は彼らをビルダーと呼んで、CEOだけでなくDeFi製品を作成するすべての人々を捕らえています。

DeFiビルダーには新しい組織構造があります。彼らはすべての国に拠点を置いているか、特定の国に拠点を置いていないか、DAOであるか、またはさまざまなものです。それらは非常に実験的で、伝統を破壊します。彼らの「エクイティ」は通常トークンであり、ロックアップがある可能性がありますが、そうでない可能性があり、明日販売することができます。彼らは、どの政府にも認められていない新しい組織構造を使用して、暗号通貨でこれらのシステムを構築しています。

製品を構築する人々は、リスクに対する非常に高い欲求を持っています。このスペースのビルダーのスペクトルを見ると、多かれ少なかれ危険だと思うビルダーが表示されますが、ズームアウトすると…ここにいるのは リスク面。ズームインすると、誰かが安全であるという誤った考えを簡単に得ることができます。誰もが本当に危険な行動をとっており、それは私たちの選択、物事の見方や作り方、そしてそれらについて話す方法に影響を与えます。

そしてもちろん、このシラー/トークン所有者の側面全体があります。これは、株主であることに最も近いものです。それらはあなたとあなたの株(またはこの場合はあなたのトークン)の価格に影響を与える可能性があります。残念ながら、人々はこれらのトークンを絶えずめくっているので、トークンは株式を投資することと同じではありません。彼らはそのトークン/プロジェクト/何でも立ち上げたいと思っており、それから利益を得たいと思っています。

DeFiプロジェクトを特定の方法で従来の企業のように扱う傾向があります。監査を受け、証明しますあなたは安全です、あなたは手形を支払います—しかし、他の方法でそれらを超分散型の魔法の獣のように扱います。これにより、多くの競合が発生します。

私たちは、これらのトークンに投資し、これらの非常に短期的な利益のために大きなリスクを冒す個人のこのクレイジーで影響力のあるコミュニティを作成しました。彼らはそれを汲み上げます。彼らはそのためのボットを構築します。彼らはそれを裁定します。彼らはそれをシリング、シリング、シリングします。そして、何かがうまくいかない場合、それらの同じ個人はそのプロジェクトを守るために歯と釘と戦い、2日前にハッキングされたとしてもプロトコルをオンに戻すようにプッシュします。これらの「投資家」がこれを行う理由は、すでにXの金額を失っており、そのプロトコルができるだけ早くオンにならなければ、さらに失うことになります。したがって、これらのトークン所有者、つまりこれらのプロトコルにお金を持っている人々は、これらのプロトコルのビルダーにをオンに戻すように促すように促されます。

それは悪いことです。

では、ここからどこに行くのでしょうか。

最悪の犯罪者、最悪のトークン、最悪のシラー、つまり安全性を考慮せず、起こりうる悪いことを認識していない人々に対する保護手段を提供する必要があります。 しかし、良い行動に報いる必要もあります。そして、それは今のところ欠けています。MakerDAOがテストネットに到達するまでに2年かかるとしたら、「やあみんな、何十億ドルもかかるこの複雑なシステムを構築するために必要な時間を割いてくれてありがとう。」

代わりに、人々は「2年かかりましたか?! TESTNETだけを使用していますか?なぜまだメインネットに参加していないのですか?」

それは行かなくてはなりません。私たちは良い行動に報いることに長けている必要があります。誰かが滑ったとしても、彼らがそれを真剣に受け止め、誤りから学び、彼らの失敗に対して行動を起こすことを示しれば、彼らは報われるべきです。

私たちが悪いものを押し出し、引き込み続けるなら良いことです。すべてがより強力になります。

セキュリティ監査とは、プロジェクトに監査の費用を支払うのに十分な資金があることを意味するだけです。 プロジェクトが安全であるという意味ではありません。

監査とその内容、および監査について1日中話すことができました。そうではありません。セキュリティ監査は、コードを調べて調べるサードパーティの目線のようなものであることを強調したいだけです。これは、優れた安全文化と優れた安全企業の小さな側面の1つです。

製品のセキュリティのためにこの1つの努力だけを行うと、安全ではありません。そして(言う必要はありませんが、ここにあります)監査が大量のエラーで戻ってきた場合、実際により安全にするためにそれらに対処する必要があります

監査報告書が出てこないため、監査人は最近熱を帯びてきています。彼らの専門的な礼儀正しさは、あなたが行間を読むことを要求しますが、このスペースが成熟するにつれて、これらの複雑な技術文書を人間の言語に翻訳できるジャーナリストや研究者が増えることを願っています。しかし今のところ、監査は人々がしなければならない良いことであることを覚えておく必要がありますが、それはほんの一歩です。 セキュリティを保証するものではないため、承認のスタンプとして扱うべきではありません。

わかりました。それでは、皆さんにもっと懐疑的になってもらいたいと思います。つまり、新しいプロジェクトを見たり、DefiPulseにアクセスしたりすると、今まで聞いたことのないプロトコルの名前があります…興奮してすぐにお金を投入するのではなく、立ち止まって考えてみてください。

「これらの人々は私のお金を望んでいます。このページは、私を操作して彼らに私のお金を与えるように設計されています。それは良い決断ですか?その決定を下すには、何を知る必要がありますか?」

私たちは懐疑的である必要があり、それにはしばらく時間がかかります。この種のもののリスクが最も高いのは、私たちがお互いに、そして私たち自身、そしてスペースに入る新参者に植え付ける必要があるのは、態度の変化です。

質問します。これは、デザイナー、アーティスト、最高のセキュリティエンジニア、バスケットボールプレーヤーなど、このコミュニティの誰もができる最も強力なことの1つです。あなたの技術的なものであるかどうかは関係ありません。

それが愚かであると感じないでください。愚かではありません。たとえそれが愚かであっても、他の誰かが同じ質問をしたので、あなたは一緒に愚かになることができます。 😉しかし、真剣に、このスペースには情報が不足しているため、愚かな質問はないと心から言うことができます。本当にありません。

いくつかの例を示します:

  • 監査はありますか?
  • 監査はいつ実行されましたか?
  • 監査は誰が行いましたか?監査人はどのくらいの期間それを使用していましたか?
  • テストネットで公開されたのはいつですか?どのくらいのボリュームを処理しましたか?コードは変更されましたか?
  • ドキュメントはどこにありますか?何か良いことはありますか?
  • ソーシャルメディアで人々とどのようにコミュニケーションを取っていますか?それらは透明ですか?あなたが彼らのセキュリティ文化に疑問を呈した場合、彼らは激しく非難しますか?
  • 彼らのテストはどこにありますか?更新される頻度はどれくらいですか?
  • コードはオープンソースでもありますか?
  • コードはEtherscanで検証されていますか?
  • セキュリティメールはありますか?
  • 彼らはバグバウンティプログラムを持っていますか?
  • ソーシャルメディアや講演で最も話していることは何ですか?セキュリティまたは次の重要なことは?
  • スタッフにセキュリティエンジニアがいますか?彼らは5つ持っていますか? 500人いますか?
  • エンジニアはいますか?これらのエンジニアは実在の人物ですか?非常に多くのICOが、偽の人々、さらには有名人でいっぱいの偽のチームページを持っていました!

コンセンシスの勤勉さは

あなたが尋ねるべき質問について投稿全体を書きました

  • 管理者はどのような特別なアクションを実行できますか?
  • システムはどのオラクルに依存していますか?
  • システムはどのエクスチェンジに依存していますか?
  • 契約のソースコードは公開されていますか?
  • 報奨金の支払い範囲はどのくらいですか?
  • 処理方法の概要を説明した計画書はありますか。セキュリティインシデント?
  • どのシナリオを考慮に入れていますか?
  • システムの一部が監査の範囲から除外されましたか?

…そしてもっとたくさん。 必ず読んでください

社会的圧力は強力な動機であり、おそらく前に説明した金銭的インセンティブを打ち消すことができる唯一の動機です。

内部的には、私たちは懐疑的でなければなりません。ただし、外部的には、その懐疑論を 表示する必要があります。あなたは、あなたにとって重要なこと、つまりあなたが安全と安全と勤勉さを気にかけていることを、お金を求めてこれらのプロジェクトに見せなければなりません。起こりうる悪いことを認識するために、彼らにリソースを捧げさせてください。

人々が私たちのプライバシーポリシーや監査について尋ねるとき、私はいつもそれが大好きです。監査は私と私のチームにとって重要な要件であり、ユーザーと同じように自分たちで監査を行います。

ではなく

の方が簡単です。 div id = “72a425ded5″>

監査を取得するか、脅威モデルを作成しない

。サイトにGoogleアナリティクスを配置する方が簡単です。そして、誰もこれらのことを気にせず、それを行うことに対する報酬がなければ、さらに簡単になります。唯一の報酬は無形です。これは「ハッキングされていない」というデフォルトの状態です。しかし、コミュニティには、人々が行った良い選択に対して報酬を与える力があります。

ブロックチェーンは実際にはインセンティブで本当に素晴らしいです。それはブロックチェーンの全体的な目的のようなものです。この驚くべきインセンティブ構造を作成するために構築されたため、世界中のどこからでも同じチームに参加できます。つまり、私たち全員が同じチームに所属しているということです。つまり、何かを構築している場合でも、CEOである場合でも、誰もがこれを読んでいるということです。または、Twitterでドラマが展開するのを見るだけで、あなたはこのエコシステムの一部になります。したがって、悪いことよりも良いこと、失敗よりも成功することを確実にするのを助けるのはあなたの責任です。

良いものに報酬を与え、悪いものを追い出し、私たち全員がより良くなるでしょう。

テイラーモナハンです。私はMyCryptoの創設者兼CEOです。私たちは常にTwitterを利用しています。 beta.mycrypto.comをチェックして、気に入った点や改善できる点を教えてください。私たちはこれに一生懸命取り組んでいます。どうもありがとうございます。

その他のリソースとスタッフ

上記の製品のセキュリティ/スマートコントラクト監査

トップ監査人によるセキュリティ/スマートコントラクト監査

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です