DeFi: Deling av risiko, belønning og ansvar.

Desentralisert økonomi kan tilføre nettverket og menneskers liv verdi … så lenge spenningen vår ikke resulterer i at vi danser rett utenfor en klippe.

(Taylor Monahan) (14. juli 2020)

Dette var opprinnelig en foredrag jeg holdt på Dystopia Labs DeFi Discussions event .

På tidspunktet for denne samtalen (tidlig i mai 2020), dForce og Hegic utnyttelser hadde begge skjedd de siste 14 dagene. Det var også før adventen av styreformer, IDO og avkastningsbruk. Men dette handler mindre om spesifikke hendelser og mer om å bygge et system som drar nytte mennesker, ikke skad dem.

Sam Sun injiserer litt svart humor etter enda en DeFi-hendelse.

DeFi har vokst bemerkelsesverdig raskt, og som alltid gir vekst hacks, angrep, utnyttelser, hendelser, ikke-hendelser og generelt utilsiktede konsekvenser. Mellom januar 2020 og mai 2020 virket det som om alle Bad Things ™ var med DeFi-produkter. Eller var jeg bare hyperfokusert på hendelsene i DeFi-rommet? La oss ta en titt …

En av de mest interessante tingene er at offentliggjort / rapportert utvekslingshacks er langt nede i forhold til i fjor . På dette tidspunktet i 2019 var det syv massive utvekslingshacks: Cryptopia, Bitrue, Coinmama, Coinbin, DragonEx, Bithumb og Binance (4. mai). Det faktum at det er færre hack på børser er interessant, men det er også interessant at størrelsen på disse hackene har vært relativt små. Dette er trolig første gang på 5+ år at antallet exchange-hacks har vært så lavt.

Siden den gang BlockFi opplevde et brudd på data etter at en ansatt ble byttet. Ingen kundemidler eller passord ble tatt, men kundeinformasjon var det.

Etter å ha holdt denne foredraget, kommenterte noen at det kan være at mindre børser avslører hackene, ikke at den faktiske antallet har redusert. Dette støttes noe av CryptoCore-rapporten , selv om aktiviteten til den gruppen har gått ned i første halvdel av 2020. Potensielle årsaker til nedgangen i faktiske hacks eller rapporterte hacks kan være på grunn av at flere eiendeler skilles fra i varm og kald lagring, setter av penger som et «forsikringsfond», økt lønnsomhet / modenhet generelt, makroforhold som COVID-19 eller baisse markedsforhold som vekker mindre oppmerksomhet.

En annen interessant takeaway fra å se på samlingen av dårlige ting ™ er at lommeboken utnytter og ran, og størrelsen på disse ranene har vært langt opp.

  1. Vi startet året med IOTAs Trinity-lommebok , som ble kompromittert via Moonpays infrastruktur i et målrettet angrep. Ryktene sier at $ 2 millioner ble stjålet, og deres post mortem er en utmerket lesning.
  2. Kort tid etter var en kinesisk investor fikk SIM-bytte og $ 30 millioner i BTC og BCH ble stjålet . Dette er sannsynligvis det største registrerte tapet på grunn av et SIM-bytte. ((Beskytt deg selv mot bytter).)
  3. Det har vært en uptick i ondsinnede kromutvidelser rettet mot Ledger, MEW, MetaMask, og mange flere.
  4. Senest så vi denne enorme EOS lommebok exit scam . Gjerningsmennene kan ha sluppet unna med EOS på 52 millioner dollar. Jeg følger ikke EOS-økosystemet nøye, så dette tallet kan være galt – jeg håper det er galt – men uansett var det tydeligvis en stor exit-svindel av en lommebokskaper. Det gjør vondt.
  5. Jeg glemte også å ta med forskjellige ZecWallet -problemer, som konkurrerer med DeFi når det gjelder sårbarheter og sikkerhetsdrama.

Og til slutt, la oss se på vårt eget økosystem. Dette er DeFi akkurat nå. Dette er en ganske lang liste. Gitt, jeg har tatt med nestenulykkene, men jeg tror at vi bør ta hensyn til dem fordi vi ikke kan anta at folk som Sam Sun og 1inch.exchange vil redde dagen igjen og igjen og igjen.

😈 Faktiske utnyttelser der penger gikk tapt:

😬 «nestenulykkene» der avsløring og løsning skjedde:

  • 20. jan: (1inchexchange finner & avslører utnyttelse i Fulcrum / bZx.)
  • 18. februar: (Sam Sun ansvarlig avslører Authereum-utnyttelse).
  • 24. februar: (Sam Sun OG Mudit Gupta avslører ansvarlig to Nexus-gjensidige utnyttelser).
  • 24. mars: Sam Sun avslører ansvarlig Hegic Exploit .

😱 De «nestenulykkene» der hvis det ikke hadde blitt fanget, ville det ha ført til betydelige tap:

Så, midt i alt dette hadde vi ⚰ Black Thursday.

Dette var en katastrofal dag i de tradisjonelle markedene som raskt påvirket kryptoverdenen. Alt i betraktning har vi kommet oss ganske bra fra kaskadevirkninger som truet DAI-pinnen, økte gasskostnadene, likviderte posisjoner og begrenset bruken av orakler.

denne Twitter-tråden .

Black Thursday er en god påminnelse om at risikoen kommer i alle former. En enkelt plattform kan tømmes, eller globale økonomiske forhold kombinert med økt komponeringsevne kan føre til katastrofale hendelser. Selv om vi forhåpentligvis ikke ser en annen svart torsdag igjen når som helst snart, er de kaskade effektene noe å lære av   og   forsøk   til   beskytter   mot, spesielt ettersom de sammenkoblede DeFi-legoene blir enda tettere koblet. Det tar kanskje ikke noe så stort å forårsake problemer.

Til slutt er det verdt å merke seg at vi ikke har hatt for mange exit-svindel (i DeFi eller Ethereum) der et produkt får tillit til alle og deretter kjører borte med posene. Når det er sagt, har det vært mange Ponzi-ordninger og åpenbare svindel som har klart å gjøre opp med millioner, eller pågår   * hoste *   Hex   * hoste *. Vi vil gjerne se at administrasjonsfunksjonaliteten til kontrakter misbrukes på et eller annet tidspunkt. Vi vil sannsynligvis se utgangssvindel. Det burde skremme oss. Og ja takk, alle banker på tre.

Dette er hvor mye penger som er «låst» i de spesifikke DeFi-protokollene fra 29. april 2020. Siden vi denominerer alt i USD, kan tallet øke veldig raskt når ETH-prisen går opp. Rett før denne samtalen så vi en pumpe hvor prisen var $ 172 da jeg la meg og over $ 200 da jeg våknet.

Hvis dette markedet svinger oppover som det gjorde i 2017, vil vi se disse typene av pumper dag etter dag. Hvis du utvikler en DeFi-smart kontrakt, kan du gå fra å ha $ 1 millioner til $ 100 millioner for raskt til at du kan behandle og tilpasse   til     nye   omstendigheter. Dette er noe av det som skremmer meg mest.2017 var spennende, men også skremmende da jeg så bruken ta fart med produktet mitt. I løpet av hele 2017 og 2018 var jeg to eller tre trinn bak og slukket konstant branner. Og jeg holdt ikke noen penger, bokstavelig talt eller via en smart kontrakt.

Selv om ingen nye brukere begynn å bruke produktet eller sett inn penger på den smarte kontrakten, verdien hopper når markedet   hopper.

Alt i betraktning har vi vært super heldige at mange av de katastrofale bedriftene er blitt avslørt med ansvar. Antall triks vi har trukket i den 13. timen har vært bemerkelsesverdig.

Vi har gått rundt og opptrer som om vi bygger en bedre morgendag, redder verden og tjener båtmasser med penger. I virkeligheten låser vi krypto, brenner krypto, kaster krypto, skyller den ned på toalettet og alt i mellom.

Bare en eller to millioner dollar har gått tapt de siste 4 månedene fra disse DeFi-protokollene. Men grunnen til at jeg bruker ordet «bare» er at du kan se at åtte av disse ble avslørt med ansvar   eller   oppdaget   av   internt   medlemmer   av   et   team. For eksempel, i en bemerkelsesverdig begivenhet, klarte 1 tommer og andre å gjenopprette de fleste av midlene som ble stjålet i $ 25 millioner DForce-hack. det skjer ikke. Hackere gir ikke tilbake penger. Igjen kan vi ikke stole på at Sam Sun, 1 tommer eller et kavaleri med hvite hatter returnerer $ 25 millioner hver gang. Vi må være bedre på å sikre produktene og begrensningene og systemene våre, slik at $ 25 millioner ikke blir tatt i utgangspunktet.

Hvis vi fortsetter nedover den veien vi er på, vil vi få rumpa våre til oss, og det vil skade utsiktene til DeFi og dette økosystemet. Og jeg liker virkelig DeFi. Grunnen til at jeg snakker så mye om DeFi er at jeg vil at det skal lykkes. Måten vi nærmer oss det akkurat nå – tingene vi gjør, de tingene vi ikke gjør, holdningene vi har – ender dessverre ikke med regnbuer   og   enhjørninger. Vi ønsker en vei der vi   drar nytte, vi tjener penger, og vi transformerer de økonomiske systemene som styrer livene våre. Vi må nivåere oss opp på en rekke fronter hvis vi ønsker å komme dit.

Hegic and Trail of Bits

I mai var det massevis av diskusjon om hvordan den Hegic utnyttelsen kunne vært forhindret og den tilsynet som Trail of Bits gjorde.

Mange gjorde oppmerksom på at Trail of Bits “reviderte” Hegics smarte kontrakter, men Trail of Bits har presisert at det var en veldig kort gjennomgang snarere enn en omfattende revisjon. Jeg kunne snakke en hel snakk om bare Hegic, men det har vært noen interessante forslag … Det ene er at revisorer skal satse en hel båtmengde med penger, og hvis en kontrakt blir hacket, blir pengene brukt til å betale folk tilbake. Åpenbart er det dramaet rundt programvareingeniører som er lisensiert. Noen har antydet at før brukerne kan sette pengene sine i noen DeFi-prosjekter, må de bestå en flervalgstest for å bevise at de forstår og aksepterer risikoen som følger med handlingene deres.

Jeg er ikke en fan av noen av disse. Hvis vi zoomer ut og ser på alt som skjer i forhold til verden vi lever i, innser vi at det er et større problem enn å kalle en anmeldelse til en revisjon.

La oss se på hvordan tilsyn har skjedd gjennom historien. De fleste tradisjonelle selskaper (du vet, store kontorer med servere eller til og med multinasjonale konglomerater med folk på lagerene som løper rundt med harde hatter og bruker gaffeltrucker) gjør alle tilsyn av forskjellige typer. Disse revisjonene tjener et helt annet formål enn en TrueCrypt -revisjon. TrueCrypt og slike prosjekter er åpen kildekode og har en stadig skiftende gruppe bidragsytere som noen ganger er anonyme.

I en tradisjonell bedriftsinnstilling kan du for eksempel ha hyppige, pågående interne revisjoner utført av mennesker utenfor selskapet (spesielt hvis du har regulatoriske hindringer) for å styrke sikkerheten. For hvis de ikke er sikre, går penger tapt, ansatte mister jobber, administrerende direktør blir kastet ut, etc.

Over i OG, cypherpunk, åpen kildekode, er det veldig annerledes.Det har vært tilfeller der en sikkerhetsrevisjon ble crowdfunded for et prosjekt for å sikre at utviklerne skrev god, sikker kode, men også for å fastslå at de faktisk ikke bakdører alt for NSA.

Dette er to helt forskjellige ender av spekteret, og de av oss i vår lille DeFi-boble er i midten et eller annet sted.

Når du bor i dette rommet, er det lett å glemme hvor flyktige infrastrukturene er, men det er vanvittig. Du har tokens som distribueres i dag, men som kan selges i morgen for 2X (eller .5X) uten opptjeningsplaner. Du har ikke folk som investerer i selskapet ditt så mye som de investerer i tokens – dette er barn på internett som sannsynligvis har litt ADHD og hopper fra token til token, og alltid ønsker det nyeste.

Vi vil desentralisere alt, og noen ganger kan vi gå litt over bord. For eksempel vil noen prosjekter fortsette å drepe brytere, men hvis det skjer noe dårlig med den smarte kontrakten, vil vi bare flytte skylden litt.

Jeg tror vi kommer til å regne med hele den anonyme. cypherpunk-kultur. Vi har Satoshi, og Satoshi gjorde det bra, så noen antar at et semisentralisert prosjekt som tar alle pengene dine som har en anonym grunnlegger, er også bra. Vi må huske at det å være anonym faktisk er et lite pålitelig signal, ikke et pålitelig signal. Satoshi var en anomali. Vi må være mer skeptiske.

DeFi-byggere er forskjellige. Jeg kaller dem byggherrer for å fange hele spekteret av mennesker som lager DeFi-produkter, ikke bare konsernsjefene.

DeFi-byggere har nye organisasjonsstrukturer; de er basert i alle land eller ingen spesifikke land, eller de er en DAO, eller et hvilket som helst antall ting. De er veldig eksperimentelle og forstyrrer tradisjonen. Deres «egenkapital» er vanligvis et symbol, og det har KANSKEN en låsing, men kanskje ikke, og den kan selges i morgen. De bygger disse systemene med kryptokurrency, og bruker en ny organisasjonsstruktur som ikke er anerkjent av noen myndigheter.

Folk som bygger produkter har en veldig høy appetitt for risiko. Hvis du ser på spekteret av byggherrer i dette rommet, vil du se de som du anser som mer eller mindre risikable, men hvis du zoomer ut … vi er alle her på superhøy- risikosiden. Når du zoomer inn veldig tett, er det lett å få feil ide om at noen er trygge. Alle driver virkelig risikabel oppførsel, og det påvirker valgene vi tar, hvordan vi ser og bygger ting, og hvordan vi snakker om dem.

Og selvfølgelig har vi hele dette shiller / tokenholder-aspektet – det nærmeste tilsvarer å være aksjonær. De kan påvirke deg og prisen på aksjen din (eller i dette tilfellet symbolet). Dessverre er ikke tokens det samme som å investere i egenkapital, ettersom folk blar disse tokens kontinuerlig. De vil at symbolet / prosjektet / hva som helst å starte, og de vil tjene på det.

Vi har denne tendensen til å behandle DeFi-prosjekter litt som tradisjonelle selskaper på visse måter – DU får tilsynet, DU beviser du er trygg, du betaler regningene – men behandler dem også som super desentraliserte magiske dyr på andre måter. Dette skaper mye konflikt.

Vi har skapt dette sprø innflytelsesrike samfunnet av enkeltpersoner som investerer i disse tokens og tar enorme risikoer for disse veldig kortsiktige gevinstene. De vil pumpe den. De vil bygge roboter for det. De vil arbitrage det. De vil shill, shill, shill det. Og hvis noe går galt, vil de samme individene kjempe med tann og spiker for å forsvare det prosjektet, og presser på for å få protokoller slått på igjen, selv om de ble hacket to dager tidligere. Årsaken til at disse “investorene” gjør dette, er at de allerede mistet X-beløpet, og hvis protokollen ikke blir slått på ASAP, mister de mer. Så disse tokenholdere, menneskene som har penger i disse protokollene, blir de stimulert til å presse produsentene av disse protokollene for å slå det på igjen .

Det er ille.

Så hvor går vi herfra?

Vi må sørge for en beskyttelse mot de verste lovbryterne, de verste tokens og de verste shillerne – de uten hensyn til sikkerhet og ingen bevissthet om noe ille som kan skje. Men vi må også belønne god oppførsel, og det mangler akkurat nå.Hvis MakerDAO tar to år å til og med komme seg til testnet, er ingen som hei, tusen takk for at du gjorde din flid og tok deg tid til å bygge dette komplekse systemet som kommer til å holde milliarder av dollar.

I stedet er folk som: “Duuude det tok deg TO ÅR ?! og du er bare på TESTNET? Hvorfor er du ikke på mainnet ennå? ”

Det må gå. Vi må bli flinkere til å belønne god oppførsel. Selv når noen glir opp, hvis de viser at de tar det på alvor og lærer av feilene, og tar grep om feiltrinnene deres, bør de bli belønnet.

Hvis vi fortsetter å presse ut det onde og trekke inn det gode, alt vil være sterkere.

En sikkerhetsrevisjon betyr bare at et prosjekt har nok penger til å betale for en revisjon. Det betyr ikke at et prosjekt er sikkert. Jeg kunne snakke hele dagen om revisjon og hva de er og hva de er ikke. Jeg vil bare understreke at en sikkerhetsrevisjon er som et tredjeparts sett med øyne som kommer inn og ser på koden din. Det er et lite aspekt av en god, sikker kultur og et godt, sikkert selskap.

Hvis denne innsatsen er alt du gjør for produktets sikkerhet, er du ikke sikker. Og (det skal ikke sies, men her er vi) hvis revisjonen din kommer tilbake med en hel haug med feil, du må adressere dem for å faktisk være sikrere .

Revisorer har fått litt varme i det siste fordi revisjonsrapportene ikke kommer ut og sier ting ærlig. Deres profesjonelle høflighet krever at du leser mellom linjene, men når dette rommet modnes, håper jeg vi får flere journalister og forskere som kan oversette disse komplekse, tekniske dokumentene til menneskelig språk. Men foreløpig må vi huske at en revisjon er en god ting folk må gjøre, men det er bare ett trinn. Det garanterer ikke sikkerhet, og du bør ikke behandle det som et godkjenningsstempel.

Ok, og så vil jeg at alle skal prøve å være mer skeptiske. Jeg mener når du ser på et nytt prosjekt eller går på DefiPulse og det er navnet på en protokoll som du aldri har hørt før … i stedet for å være begeistret og umiddelbart kaste penger i det, stopp og tenk:

“Disse menneskene vil ha pengene mine. Denne siden er designet for å manipulere meg til å gi dem pengene mine. Er det en god beslutning? Hvilke ting trenger jeg å vite for å kunne ta den avgjørelsen? ”

Vi må være skeptiske, og det vil ta litt tid. Det er et holdningsskifte som vi trenger å innpode i hverandre og oss selv, så vel som nykommerne som kommer inn i rommet, fordi det er de som er mest utsatt for denne typen ting.

Still spørsmål. Det er noe av det mektigste som alle i dette samfunnet kan gjøre, enten du er designer, kunstner, beste sikkerhetsingeniør eller basketballspiller! Det spiller ingen rolle om du er teknisk.

Føler ikke at det er dumt. Det er ikke dumt. Selv om det er dumt, hadde noen andre det samme spørsmålet, så dere kan være dumme sammen. Men seriøst, det mangler så mye informasjon i dette rommet at jeg oppriktig kan si at det ikke er dumme spørsmål. Det er det virkelig ikke.

Her er noen eksempler:

  • Har de tilsyn?
  • Når ble tilsynet utført?
  • Hvem gjorde tilsynet? Hvor lenge var revisorene på den?
  • Når gikk den live på testnet? Hvor mye volum taklet den? Har koden endret seg?
  • Hvor er dokumentasjonen? Er det noe bra?
  • Hvordan kommuniserer de med mennesker på sosiale medier? Er de gjennomsiktige? Slår de ut hvis du setter spørsmålstegn ved sikkerhetskulturen deres?
  • Hvor er testene deres? Hvor ofte oppdateres de?
  • Er koden deres til og med åpen kildekode?
  • Er koden deres bekreftet på Etherscan?
  • Har de en sikkerhets-e-post?
  • Har de et bug bounty-program?
  • Hva snakker de mest om på sosiale medier eller i samtaler? Sikkerhet eller den neste store tingen?
  • Har de en sikkerhetsingeniør i staben? Har de fem? Har de 500?
  • Har de noen ingeniører? Er disse ingeniørene ekte mennesker? Så mange ICO-er hadde bare falske lagsider fulle av falske mennesker – til og med kjendiser!

Consensys Diligence bare skrev et helt innlegg om spørsmål du burde stille !

  • Hvilke spesielle tiltak kan administratorer ta?
  • Hvilke orakler er systemet ditt avhengig av?
  • Hvilke utvekslinger er systemet ditt avhengig av?
  • Er kildekoden til kontraktene dine offentlig tilgjengelig?
  • Hva er omfanget av dusørutbetalinger?
  • Har du en skriftlig plan som beskriver hvordan du håndterer en sikkerhetshendelse?
  • Hvilke scenarier tar planen din i betraktning?
  • Ble noen del av systemet ditt utenfor revisjonens omfang?

… og så mange flere. Les det definitivt .

Sosialt press er en kraftig motivator og sannsynligvis den eneste motivatoren som kan motvirke de økonomiske insentivene vi snakket om tidligere.

Internt må vi være skeptiske. Men eksternt må vi vise den skepsisen. Du må vise disse prosjektene på jakt etter penger det som betyr noe for deg – at du bryr deg om sikkerhet og sikkerhet og flid. Få dem til å vie ressurser for å være oppmerksomme på de dårlige tingene som potensielt kan skje.

Jeg elsker det alltid når folk spør om vår personvernpolicy eller revisjon. Tilsyn er viktige krav for meg og teamet mitt, og vi gjør dem for oss selv like mye som vi gjør dem for brukerne våre.

Det er lettere å ikke få tilsyn eller ikke lage en trusselmodell. Det er lettere å kaste Google Analytics på nettstedet ditt. Og det er enda enklere hvis ingen bryr seg om disse tingene, og det er ingen belønning for å gjøre det. Den eneste belønningen er immateriell. Det er standardtilstanden «ikke hacket.» Men samfunnet har makten til å belønne folk for de gode valgene de tar.

Blockchain er faktisk virkelig fantastisk til insentiver. Det er liksom hele formålet med blockchain. Den ble bygget for å skape denne bemerkelsesverdige insentivstrukturen, slik at alle fra hvor som helst i verden kan være på samme lag. Noe som betyr at vi alle er på samme lag. Det betyr at alle som leser dette, enten du bygger noe, eller en administrerende direktør. eller bare å se dramaet utspille seg på Twitter, du er en del av dette økosystemet. Derfor er det ditt ansvar å bidra til at det er mer bra enn dårlig og mer suksess enn fiasko.

Beløn ​​det gode, spar det dårlige, så har vi alle det bedre.

Jeg er Taylor Monahan. Jeg er grunnlegger og administrerende direktør i MyCrypto. Vi er alltid på Twitter. Ta en titt på beta.mycrypto.com og fortell oss hva du liker med det eller hva som kan forbedres fordi vi har jobbet så hardt med dette for deg. Tusen takk.

Flere ressurser og ting

Sikkerhets- / smarte kontraktsrevisjoner for produkter nevnt ovenfor

Sikkerhet / smarte kontraktsrevisjoner av topprevisorer

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *