DeFi: partajarea riscurilor, recompenselor și responsabilității.

Finanțele descentralizate pot adăuga valoare rețelei și vieții oamenilor … atâta timp cât entuziasmul nostru nu duce la dansul nostru chiar pe o stâncă.

(Taylor Monahan) (14 iul. 2020)

Acesta a fost inițial o discuție pe care am susținut-o la Evenimentul de discuții DeFi Dystopia Labs .

La momentul acestei discuții (începutul lunii mai 2020), dForce și Hegic exploit-uri au avut loc ambele în ultimele 14 zile. A fost, de asemenea, înainte de apariția jetoanelor de guvernanță, a IDO-urilor și a agriculturii de randament. Dar acest lucru este mai puțin legat de evenimente specifice și mai mult de construirea unui sistem care va beneficia oameni, nu le face rău.

Sam Sun injectându-și umor negru după încă un incident DeFi.

DeFi a crescut remarcabil de repede și, ca întotdeauna, creșterea aduce hack-uri, atacuri, exploatări, incidente, non-incidente și consecințe în general neintenționate. În perioada ianuarie 2020 – mai 2020, se părea că toate Bad Things ™ erau cu produse DeFi. Sau eram doar hiper-concentrat pe evenimentele din spațiul DeFi? Să aruncăm o privire …

Unul dintre cele mai interesante lucruri este că hacke-urile divulgate / raportate public e divulgare sunt mult în jos față de anul trecut . În acest moment, în 2019, existau șapte hack-uri masive de schimb: Cryptopia, Bitrue, Coinmama, Coinbin, DragonEx, Bithumb și apoi Binance (4 mai). Faptul că există mai puține hacks pe schimburi este interesant, dar este, de asemenea, interesant faptul că dimensiunile acestor hacks au fost relativ mici. Aceasta este probabil prima dată în 5+ ani când numărul de hack-uri de schimb a fost atât de scăzut.

De atunci, BlockFi a suferit o încălcare a datelor după ce un angajat a fost schimbat sim. Nu s-au luat fonduri sau parole pentru clienți, dar informațiile despre clienți au fost preluate.

După ce au susținut această discuție, unii au comentat că este posibil ca mai puține schimburi dezvăluie hacks, nu că realitatea numărul a scăzut. Acest lucru este oarecum susținut de raportul CryptoCore , deși chiar și activitatea grupului respectiv a scăzut în prima jumătate a anului 2020. Motive potențiale pentru scăderea hack-urilor reale sau a hackerilor raportați s-ar putea datora separării mai multor active în depozitele calde și frigorifice, punerea deoparte a banilor ca fond de „asigurare”, rentabilitatea / scadența crescută în general, condițiile macro precum COVID-19 sau condițiile de piață pe scădere care atrag atenția mai puțin.

O altă opțiune interesantă de a privi colecția de lucruri rele ™ este că exploatațiile și jafurile din portofelul și dimensiunile acestor jafuri au fost foarte mari.

  1. Am început anul cu Portofelul Trinity IOTA , care a fost compromis prin infrastructura Moonpay într-un atac vizat. Zvonurile spun că s-au furat 2 milioane de dolari și post-mortem este o lectură excelentă.
  2. La scurt timp după aceea, un investitor chinez a fost schimbat cu SIM și BTC și BCH în valoare de 30 milioane USD au fost furate . Aceasta este probabil cea mai mare pierdere înregistrată datorită unui swap SIM. ((Protejați-vă de swap-uri), vă rog.)
  3. A existat o creștere în extensiile cromate rău intenționate care vizează Ledger, MEW, MetaMask, și multe altele.
  4. Cel mai recent, am văzut această uriașă înșelătorie de ieșire a portofelului EOS . Este posibil ca autorii să fi scăpat cu EOS în valoare de 52 milioane USD. Nu urmăresc îndeaproape ecosistemul EOS, deci este posibil ca acest număr să fie greșit – sper că este greșit – dar, indiferent, a existat, evident, o înșelătorie de ieșire mare a unui creator de portofel. Asta mă doare.
  5. De asemenea, am uitat să includ diverse probleme ZecWallet , care rivalizează cu DeFi când vine vorba de vulnerabilități și dramă de securitate.

Și, în sfârșit, să ne uităm la propriul nostru ecosistem. Acesta este DeFi chiar acum. Aceasta este o listă destul de lungă. Bineînțeles, am inclus ratele aproape, dar cred că ar trebui să le acordăm atenție pentru că nu putem presupune că oameni precum Sam Sun și 1inch.exchange vor salva ziua din nou și din nou și din nou.

😈 Exploatări reale în care s-au pierdut bani:

😬 „near misses” în care a avut loc o dezvăluire și o rezoluție:

  • 20 ianuarie: (1inchexchange găsește & dezvăluie exploit în Fulcrum / bZx.)
  • 18 februarie: (Sam Sun responsabil dezvăluie exploatarea Authereum).
  • 24 februarie: (Sam Sun și Mudit Gupta dezvăluie în mod responsabil două exploatări Nexus Mutual).
  • 24 martie: Sam Sun dezvăluie responsabil Hegic Exploit .

😱 „near misses” în cazul în care, dacă nu ar fi fost prins, ar fi dus la pierderi semnificative:

Apoi, în mijlocul toate acestea, am avut Thursday Joiul Negru.

Aceasta a fost o zi catastrofală pe piețele tradiționale care a afectat rapid lumea criptografică. Toate lucrurile luate în considerare, ne-am recuperat destul de bine de efectele în cascadă care au amenințat pivotul DAI, au crescut costurile gazelor, au lichidat pozițiile și au limitat utilizarea oracolelor.

Joiul Negru este un bun memento că riscurile apar sub toate formele. O singură platformă poate fi drenată sau condițiile economice globale combinate cu o compozibilitate crescută pot duce la evenimente cataclismice. Deși, sperăm, nu vom mai vedea o altă joi negru în curând, efectele în cascadă sunt ceva de învățat de la   și   încercare   to   protejează   împotriva, mai ales că legăturile interconectate DeFi devin și mai strâns cuplate. Este posibil să nu fie nevoie de ceva atât de mare pentru a provoca probleme.

În cele din urmă, merită menționat faptul că nu am avut prea multe escrocherii de ieșire (în DeFi sau Ethereum) în care un produs câștigă încrederea tuturor și apoi rulează departe cu pungile. Acestea fiind spuse, au existat o mulțime de scheme Ponzi și escrocherii evidente care au reușit să se descurce cu milioane sau sunt în curs de desfășurare   * tuse *   Hex   * tuse *. Ne va plăcea ca funcționalitatea de administrare a contractelor să fie abuzată la un moment dat. Probabil vom vedea escrocherii de ieșire. Asta ar trebui să ne sperie. Și, da, vă rog, toată lumea bate la lemn.

Iată câți bani sunt „blocați” în protocoalele DeFi specifice începând cu 29 aprilie 2020. Deoarece numim totul în USD, acel număr poate crește foarte repede atunci când prețul ETH crește. Chiar înainte de această discuție, am văzut o pompă în care prețul era de 172 USD când m-am dus la culcare și de peste 200 USD când m-am trezit.

Dacă această piață va crește la fel ca în 2017, vom vedea aceste tipuri de pompe zi după zi. Dacă dezvoltați un contract inteligent DeFi, ați putea trece de la 1 milion la 100 milioane USD prea repede pentru ca dvs. să puteți procesa și adapta   la   circumstanțele   noi  . Acesta este unul dintre lucrurile care mă sperie cel mai mult.2017 a fost palpitant, dar și terifiant când am văzut că utilizarea decolează cu produsul meu. Pe parcursul întregului an 2017 și 2018 am fost cu doi sau trei pași în urmă și am stins constant focurile. Și nu dețineam banii nimănui, literal sau printr-un contract inteligent.

Chiar dacă nu există utilizatori noi începeți să utilizați produsul sau depuneți bani în contractul dvs. inteligent, valoarea sare atunci când piața   sare.

Având în vedere toate lucrurile, am fost foarte norocoși că multe dintre exploatările catastrofale au fost dezvăluite în mod responsabil. Numărul de trucuri pe care le-am tras în a 13-a oră a fost remarcabil.

Ne-am plimbat acționând ca și cum am construi o zi de mâine mai bună, salvând lumea și făcând o mulțime de bani. În realitate, blocăm cripto-ul, ardem cripto-ul, aruncăm cripto-ul, îl aruncăm pe toaletă și tot ce există între ele.

În ultimele 4 luni s-au pierdut doar unul sau două milioane de dolari din aceste protocoale DeFi. Dar motivul pentru care folosesc cuvântul „numai” este că puteți vedea că opt dintre acestea au fost dezvăluite în mod responsabil   sau   descoperite   de   intern   membri   din   o echipă   De exemplu, într-o întorsătură remarcabilă a evenimentelor, 1 inch și alții au reușit să recupereze majoritatea fondurilor furate în hack-ul DForce de 25 milioane USD. asta nu se întâmplă. Hackerii nu dau bani înapoi. Din nou, nu ne putem baza pe Sam Sun, 1 inch sau pe o cavalerie de pălării albe care returnează 25 milioane USD de fiecare dată. Trebuie să fim mai buni la securizarea produselor, constrângerilor și sistemelor noastre, astfel încât 25 milioane USD să nu fie luate în primul rând.

Dacă continuăm pe drumul pe care mergem, ne vom da fundurile și ne va afecta perspectivele DeFi și acest ecosistem. Și îmi place foarte mult DeFi. Motivul pentru care vorbesc atât de mult despre DeFi este că vreau să aibă succes. Din păcate, modul în care îl abordăm acum – lucrurile pe care le facem, lucrurile pe care nu le facem, atitudinile pe care le avem – nu se termină în curcubee   și   unicorni. Vrem o cale în care   ne avantajează, câștigăm bani și transformăm sistemele financiare care ne controlează viața. Trebuie să ne ridicăm pe mai multe fronturi dacă vrem să ajungem acolo.

Hegic and Trail of Bits

În luna mai a avut loc o mulțime de discuții despre modul în care exploatarea Hegic ar fi putut fi prevenită și auditul pe care l-a făcut Trail of Bits.

O mulțime de oameni au atras atenția asupra faptului că Trail of Bits a „auditat” contractele inteligente ale lui Hegic, dar Trail of Bits a clarificat că a fost o revizuire foarte scurtă, mai degrabă decât un audit cuprinzător. Aș putea să fac o discuție întreagă doar despre Hegic, dar au existat câteva sugestii interesante … Una este că auditorii ar trebui să mizeze o întreagă barcă de bani și dacă un contract este spart, atunci acești bani sunt folosiți pentru a rambursa oamenii. Evident, există o dramă în jurul inginerilor de software care sunt autorizați. Unii au sugerat că, înainte ca utilizatorii să își poată pune banii în orice proiecte DeFi, trebuie să treacă un test cu alegeri multiple pentru a dovedi că înțeleg și acceptă pe deplin riscurile care însoțesc acțiunile lor.

Nu sunt un fan al oricăreia dintre acestea. Dacă micșorăm și ne uităm la tot ceea ce se întâmplă în legătură cu lumea în care trăim, ne dăm seama că există o problemă mai mare decât a numi o revizuire un audit.

Să ne uităm la modul în care au avut loc auditurile de-a lungul istoriei. Majoritatea corporațiilor tradiționale (știți, birouri uriașe cu servere sau chiar conglomerate multinaționale cu oameni în depozitele lor care circulă cu pălării și folosesc stivuitoare) fac toate audituri de diferite tipuri. Aceste audituri au un scop foarte diferit de un audit TrueCrypt . TrueCrypt și proiectele de acest fel sunt open-source și au un grup în continuă schimbare de colaboratori care sunt uneori anonimi.

De exemplu, într-un cadru corporativ tradițional, este posibil să aveți audituri interne frecvente, în curs, efectuate de oameni. în afara companiei (mai ales dacă aveți obstacole de reglementare) pentru a consolida securitatea. Pentru că dacă nu sunt siguri, banii se pierd, angajații își pierd locurile de muncă, CEO-ul este dat afară etc.

În lumea OG, cypherpunk, open-source, este foarte diferit.Au existat cazuri în care un audit de securitate a fost finanțat în mod colectiv pentru un proiect, pentru a se asigura că dezvoltatorii scriau un cod bun și sigur, dar și pentru a determina că de fapt nu au făcut totul pentru NSA.

Acestea sunt două capete ale spectrului total diferite și cele dintre noi în mica noastră bulă DeFi sunt undeva la mijloc.

Când locuiți în acest spațiu, este ușor să uitați cât de trecătoare sunt infrastructurile, dar este o nebunie. Aveți jetoane care sunt distribuite astăzi, dar care pot fi vândute mâine pentru 2X (sau .5X) fără programe de învestire. Nu aveți oameni care investesc în compania dvs. atât de mult, cât investesc în jetoanele dvs. – aceștia sunt copii de pe internet, care probabil au un pic de ADHD și sar din token în token, dorind întotdeauna cel mai nou lucru.

Vrem să descentralizăm totul și uneori putem trece puțin peste bord. De exemplu, unele proiecte vor păstra comutatoare de distrugere, dar dacă se întâmplă ceva rău contractului inteligent, atunci vom schimba vina puțin.

Cred că vom avea o socoteală cu întregul anonim cultura cypherpunk. Avem Satoshi, iar Satoshi a făcut bine, așa că unii oameni presupun că un proiect semi-centralizat care îți va lua toți banii care au un fondator anonim este și bun. Trebuie să ne amintim că a fi anonim este de fapt un semnal de încredere, nu unul de încredere. Satoshi era o anomalie. Trebuie să fim mai sceptici.

Constructorii DeFi sunt diferiți. Le numesc constructori pentru a captura întreaga gamă de oameni care creează produse DeFi, nu doar directorii executivi.

Constructorii DeFi au structuri organizaționale noi; au sediul în toate țările sau nu au țări specifice, sau sunt DAO sau orice alt număr de lucruri. Sunt foarte experimentali și perturbă tradiția. „Capitalul” lor este de obicei un simbol și poate că are un blocaj, dar poate nu, și poate fi vândut mâine. Ei construiesc aceste sisteme cu criptomonede, folosind o nouă structură organizațională care nu este recunoscută de niciun guvern.

Persoanele care construiesc produse au un apetit foarte mare pentru risc. Dacă te uiți la spectrul constructorilor din acest spațiu, îi vei vedea pe cei pe care îi consideri mai mult sau mai puțin riscant, dar dacă micșorezi … suntem toți aici pe super partea de risc. Când măriți foarte atent, este ușor să faceți o idee greșită că cineva este în siguranță. Toată lumea se angajează într-un comportament cu adevărat riscant și afectează alegerile pe care le facem, modul în care vedem și construim lucrurile și modul în care vorbim despre ele.

Și, desigur, avem acest aspect întreg shiller / deținător de token – cel mai apropiat echivalent cu a fi acționar. Acestea vă pot influența și prețul acțiunilor dvs. (sau, în acest caz, simbolul dvs.). Din păcate, jetoanele nu sunt la fel ca investițiile de capitaluri proprii, întrucât oamenii răstoarnă constant aceste jetoane. Vor tokenul / proiectul / orice să lanseze și vor să câștige din acesta.

Avem această tendință de a trata proiectele DeFi un pic ca și companiile tradiționale în anumite moduri – VOI obțineți auditul, Dvs. dovediți ești în siguranță, TU plătești facturile – dar apoi tratează-le ca niște fiare magice super descentralizate în alte moduri. Aceasta creează o mulțime de conflicte.

Am creat această comunitate nebună influentă de persoane care investesc în aceste jetoane și își asumă riscuri uriașe pentru aceste câștiguri pe termen foarte scurt. O vor pompa. Vor construi roboți pentru asta. Vor arbitra. Îl vor străluci, străluci, străluci. Și dacă ceva nu merge bine, aceiași indivizi se vor lupta cu dinții și unghiile pentru a apăra acel proiect, împingând ca protocoalele să fie activate din nou, chiar dacă au fost sparte cu două zile înainte. Motivul pentru care acești „investitori” fac acest lucru este că au pierdut deja suma X și dacă acel protocol nu este activat cât mai curând, vor pierde mai mult. Deci, deținătorii de jetoane, oamenii care au bani în aceste protocoale, sunt motivați să împingă constructorii acestor protocoale pentru a-l reporni pe acum.

Asta e rău.

Deci, unde mergem de aici?

Trebuie să oferim o protecție împotriva celor mai răi infractori, a celor mai proaste jetoane și a celor mai slabi șileri – cei care nu respectă siguranța și nu conștientizează ceva rău care s-ar putea întâmpla. Dar trebuie să recompensăm și comportamentul bun, și asta lipsește chiar acum.Dacă MakerDAO durează doi ani chiar pentru a ajunge la testnet, nimeni nu este ca „hei băieți, vă mulțumesc foarte mult pentru că ați făcut diligența și ați luat timpul necesar pentru a construi acest sistem complex care va deține miliarde de dolari.”

În schimb, oamenii spun: „Duuude, ți-a luat DOUĂ ANI ?! și sunteți doar pe TESTNET? De ce nu sunteți încă pe mainnet? ”

Asta trebuie să meargă. Trebuie să fim mai buni la recompensarea comportamentului bun. Chiar și atunci când cineva alunecă în sus, dacă arată că o iau în serios și învață din greșeli și acționează în legătură cu pașii greși, ar trebui să fie recompensați.

Dacă continuăm să scoatem răul și să tragem bine, totul va fi mai puternic.

Un audit de securitate înseamnă doar că un proiect are suficienți bani pentru a plăti un audit. Nu înseamnă că un proiect este sigur. Aș putea vorbi toată ziua despre audituri și despre ce sunt și ce sunt nu. Vreau doar să subliniez că un audit de securitate este ca un set de ochi al unei terțe părți care intră și analizează codul dvs. Este un aspect minuscul al unei bune culturi sigure și a unei companii sigure.

Dacă acest efort de efort este tot ce faci pentru securitatea produsului tău, nu ești sigur. Și (nu ar trebui să fie spus, dar iată-ne) dacă auditul dvs. revine cu o grămadă de erori, trebuie să le abordați pentru a fi de fapt mai siguri .

Auditorii s-au înfierbântat în ultima vreme, deoarece rapoartele lor de audit nu apar și spun lucrurile sincer. Politețea lor profesională necesită să citiți între rânduri, dar pe măsură ce acest spațiu se maturizează, sper că vom avea mai mulți jurnaliști și cercetători care pot traduce aceste documente complexe și tehnice în limbajul uman. Dar, deocamdată, trebuie să ne amintim că un audit este un lucru bun pe care oamenii trebuie să îl facă, dar este doar un pas. Nu garantează securitatea și nu ar trebui să o tratați ca pe o ștampilă de aprobare.

Bine, și apoi vreau ca toată lumea să încerce să fie mai sceptici. Adică când te uiți la un proiect nou sau accesezi DefiPulse și există un nume de protocol pe care nu l-ai mai auzit până acum … în loc să fii încântat și să arunci imediat bani în el, oprește-te și gândește-te:

„Acești oameni vor banii mei. Această pagină este concepută pentru a mă manipula pentru a le oferi banii mei. Este o decizie bună? Ce lucruri trebuie să știu pentru a putea lua acea decizie? ”

Trebuie să fim sceptici și asta va dura ceva timp. Este o schimbare de atitudine pe care trebuie să ne insuflăm unii pe alții și pe noi înșine, precum și noii veniți care intră în spațiu, deoarece aceștia sunt cei mai expuși riscului pentru acest tip de lucruri.

Puneți întrebări. Este unul dintre cele mai puternice lucruri pe care le poate face oricine din această comunitate, indiferent dacă sunteți designer, artist, cel mai bun inginer de securitate sau jucător de baschet! Nu contează dacă tehnicul dvs.

Nu vă simțiți prost. Nu este o prostie. Chiar dacă este o prostie, altcineva a avut aceeași întrebare, așa că puteți fi prost împreună. 😉 Dar serios, există o astfel de lipsă de informații în acest spațiu, încât pot spune sincer că nu există întrebări stupide. Nu există cu adevărat.

Iată câteva exemple:

  • Au un audit?
  • Când a fost efectuat auditul?
  • Cine a făcut auditul? Cât timp au durat auditorii?
  • Când a intrat în direct pe testnet? La cât volum s-a descurcat? Codul s-a schimbat?
  • Unde este documentația? Este ceva bun?
  • Cum comunică aceștia cu oamenii de pe rețelele sociale? Sunt transparente? Se lăudă dacă puneți la îndoială cultura lor de securitate?
  • Unde sunt testele lor? Cât de des sunt actualizate?
  • Codul lor este chiar open-source?
  • Codul lor este verificat pe Etherscan?
  • Au un e-mail de securitate?
  • Au un program de recompensare a erorilor?
  • Despre ce vorbesc cel mai mult pe rețelele sociale sau în discuții? Securitate sau următorul lucru important?
  • Au un inginer de securitate în personal? Au cinci? Au 500?
  • Au ingineri? Sunt acești ingineri oameni adevărați? Atât de multe ICO-uri au avut doar pagini de echipă false pline de oameni falși – chiar și vedete!

Consensys Diligence doar a scris o postare întreagă despre întrebările pe care ar trebui să le puneți !

  • Ce acțiuni speciale pot întreprinde administratorii?
  • De ce oracole depinde sistemul dvs.?
  • De ce schimburi depinde sistemul dvs.?
  • Codul sursă al contractelor dvs. este disponibil public?
  • Care este gama de plăți recompense?
  • Aveți un plan scris care să descrie cum să gestionați un incident de securitate?
  • Ce scenarii ia în considerare planul dvs.?
  • A fost exclusă o parte din sistemul dvs. din sfera auditului?

… ȘI MULȚI MAI MULT. Citiți-l cu siguranță .

Presiunea socială este un motivator puternic și probabil singurul motivator care poate contracara stimulentele financiare despre care am vorbit mai devreme.

Pe plan intern, trebuie să fim sceptici. Dar extern, trebuie să să arătăm acel scepticism. Trebuie să arăți aceste proiecte căutând bani ceea ce contează pentru tine – că îți pasă de securitate, siguranță și diligență. Fă-i să dedice resurse pentru a fi conștienți de lucrurile rele care se pot întâmpla.

Îmi place mereu când oamenii întreabă despre politica noastră de confidențialitate sau audituri. Auditurile sunt cerințe importante pentru mine și echipa mea, iar noi le facem atât pentru noi cât și pentru utilizatorii noștri.

Este mai ușor să nu obțineți un audit sau nu creați un model de amenințare. Este mai ușor să aruncați Google Analytics pe site-ul dvs. Și este chiar mai ușor dacă nimănui nu îi pasă de aceste lucruri și nu există nicio recompensă pentru a le face. Singura recompensă este intangibilă. Este starea implicită de „a nu fi piratat”. Dar comunitatea are puterea de a recompensa oamenii pentru alegerile bune pe care le fac.

Blockchain-ul este de fapt uimitor la stimulente. Este un fel al întregului scop al blockchain-ului. A fost construit pentru a crea această remarcabilă structură de stimulare, astfel încât oricine din orice parte a lumii să poată face parte din aceeași echipă. Ceea ce înseamnă că suntem cu toții în aceeași echipă. Asta înseamnă că toată lumea citește acest lucru, fie că construiești ceva, fie că ești CEO. sau doar urmărind drama desfășurată pe Twitter, faceți parte din acest ecosistem. Prin urmare, este responsabilitatea dvs. să vă asigurați că există mai mult bine decât rău și mai mult succes decât eșec.

Recompensați binele, dați afară răul și vom fi cu toții mai bine.

Sunt Taylor Monahan. Sunt fondatorul și CEO-ul MyCrypto. Suntem mereu pe Twitter. Accesați beta.mycrypto.com și spuneți-ne ce vă place sau ce poate fi îmbunătățit, deoarece am lucrat atât de mult la acest lucru pentru dvs. Mulțumesc mult.

Mai multe resurse și alte lucruri

Audituri de securitate / contracte inteligente pentru produsele menționate mai sus

Audituri de securitate / contracte inteligente de către auditori de top

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *