Una breve historia de los piratas informáticos DeFi: hay riesgos en todas partes, pero no faltan oportunidades para la riqueza

Esta es la era del Lejano Oeste: los hacks y los errores están en todas partes.

Es importante que los participantes entiendan el historial de hazañas de Ethereum. Desde The DAO hasta el hackeo de Parity, estos incidentes a nivel de protocolo afectaron la seguridad de los contratos de Ethereum. A medida que se construyen más aplicaciones, también aumenta el número de incidentes de ataque.

Esto es especialmente cierto en DeFi.

No tenemos que confiar en las personas con dinero, pero tenemos que confiar en el código.

Debemos confiar en que el código está diseñado sin fallas, incluidos errores, riesgos económicos, manipulación del oráculo e incluso riesgos de centralización. Es dificil. Somos humanos y cometemos errores. (Obtenga más información sobre los 3 tipos de riesgos de DeFi)

Esta es nuestra gracia salvadora: cuanto más tiempo esté expuesto el código y cuanto más valor esté bloqueado, más fuerte será el código. Lo llamamos el Efecto Lindy. Cada día sin incidentes, estamos un paso más cerca de la visión de las finanzas sin confianza.

Hugh Karp es una inmersión profunda en hacks y vulnerabilidades. (¡Pero él mismo fue pirateado por piratas informáticos!)

El desarrollo inicial de Ethereum inspiró a Karp a construir Nexus Mutual, una alternativa de seguro descentralizada.

El autor de este artículo es Hugh Karp.

DeFi ofrece la tierra de las oportunidades. A pesar de que todas las personas de finanzas tradicionales lo llaman una "estafa" por sus rendimientos de dos dígitos, puede encontrar y crear riqueza. Mientras tanto, los que están a la vanguardia han estado ganando dinero.

Si bien existen riesgos, el mercado sigue siendo muy ineficiente, y en la era de los bancos que ofrecen tasas de interés del 0%, vale la pena dejar de lado los viejos prejuicios, al menos por un tiempo, antes de profundizar.

En las finanzas tradicionales, la mayor parte del riesgo proviene de tener que confiar su dinero a otras personas.

Si bien muchos dicen que DeFi elimina la confianza, en realidad transfiere la confianza de las personas, las instituciones y el sistema legal circundante al código. En teoría, esto significa que si podemos confiar en que el código se comporte como se espera, podemos "eliminar" la confianza. Desafortunadamente, es difícil codificar con un 100 % de precisión (incluso después de la auditoría). La mayoría de los usuarios de Ethereum desde hace mucho tiempo han experimentado al menos un punto de dolor durante este viaje.

Para darle una idea de qué tan precisa es su codificación, aquí está la cantidad de errores por línea de código:

Promedio de la industria 15-50 por mil personas

1-25 por 1000 software entregado

KuCoin abrió los servicios de depósito y retiro de tokens QTUM y XEM el 14 de octubre: según las noticias de intercambio de KuCoin, KuCoin completó las actualizaciones de seguridad de la billetera QTUM y XEM el 14 de octubre y abrió los servicios de depósito y retiro. Las direcciones de depósito de las monedas anteriores se han actualizado a nuevas direcciones, no realice depósitos en las direcciones anteriores. [2020/10/15]

NASA 0.1/1000

La codificación no es fácil. Los humanos cometemos errores todo el tiempo. El problema es que hay toneladas de riesgos con Ethereum y las finanzas descentralizadas.

¿Es este riesgo mejor que confiar en otra persona? Claro, pero aún es demasiado pronto.

Aquí hay algunos incidentes históricos de incumplimiento para darle contexto...

Uno de los primeros casos significativos de errores de codificación en Ethereum fue The DAO. El ataque al proyecto DAO, seguido de un desacuerdo en la comunidad sobre cómo "arreglar" el problema, condujo a una bifurcación de Ethereum y la creación de Ethereum Classic (ETC).

El próximo gran incidente de vulnerabilidad es el error del cliente Ethereum Parity. En ese error, el multisig ampliamente utilizado sufrió dos incidentes separados de vulnerabilidad que resultaron en la pérdida de ETH por valor de millones de dólares en ese momento, así como más consecuencias desde un punto de vista filosófico.

En conjunto, estos errores fueron los primeros incidentes de seguridad importantes en la historia de Ethereum. Ahora los vemos como código con errores lógicos que simplemente no funcionan como se esperaba.

Estos dos eventos también fueron la principal inspiración para el primer producto de Nexus Mutual, la Smart Contract Cover.

La segunda gran ola de hacks de DeFi fue causada por la manipulación del oráculo en cadena, a menudo por préstamos rápidos.

Estos ataques son complejos de ejecutar, pero siguen un patrón similar, en el que un sistema que se basa en una fuente de precios manipula temporalmente la fuente de precios para distorsionar la contabilidad interna del protocolo. Luego, los fondos se depositan a una tasa favorable y se retiran en otra moneda o en la misma moneda inmediatamente después de restablecer el oráculo a los valores normales.

Este no es siempre el caso, aunque en la mayoría de los casos también puede desencadenarse un error lógico subyacente. Siguió una discusión comunitaria: ¿Estos incidentes son ataques de piratería o se explota la lógica económica del protocolo?

Pero, en general, este tipo de problemas deben evitarse si DeFi quiere tener más éxito.

Harvest Finance: un agricultor calificado recaudó $ 33,8 millones de los fondos FARM_USDT y FARM_USDC mediante préstamos rápidos

Valor DeFi: 7,000,000 de pérdida. Aquí hay otra dura lección provocada por los préstamos rápidos.

Cheese Bank: los piratas informáticos tomaron $ 3.3 millones a través del ataque del oráculo AMM del préstamo relámpago

Protocolo de origen: $ 8 millones a través de préstamos flash y reingreso falsificado.

En los últimos años, se han lanzado más y más protocolos DeFi y continúan dependiendo unos de otros. Esta es la belleza de las finanzas abiertas y la compatibilidad: podemos usar los protocolos existentes para crear nuevas aplicaciones. La desventaja es que esto naturalmente comienza a expandir la superficie de ataque.

Con una de las grandes fortalezas de DeFi, los protocolos se basan cada vez más entre sí, pero esto también aumenta exponencialmente el riesgo.

La tercera ola de ataques tiende a centrarse en los agregadores de rendimiento, que a menudo se construyen sobre muchos otros protocolos DeFi.

Estos protocolos tienden a ser más riesgosos que los protocolos básicos simplemente porque tienen una superficie de ataque más grande. Como desarrollador, es fácil hacer suposiciones sobre cómo funciona otro protocolo, pero a veces las diferencias sutiles en el borde de la integración pueden causar problemas.

Esta breve pero interesante historia se centra en el riesgo de codificación, que cubriría la gran mayoría de los riesgos, suponiendo que DeFi esté completamente descentralizado. pero no es la verdad. Muchos protocolos aún están lejos de la descentralización, ya que muchos de los riesgos en DeFi provienen no solo de errores de contratos inteligentes, sino también de la centralización.

Quizás el riesgo más amplio en todo DeFi tiene que ver con las fallas de las monedas estables. Esto podría incluir que USDT pierda su paridad o que USDC tenga fondos incautados por el gobierno. La falla de la vinculación DAI de MakerDAO también podría causar problemas importantes, pero es más probable que se deba a la falla de los incentivos económicos o la supervisión de la gestión de riesgos.

Una falla general de cualquier moneda estable importante sería catastrófica si está interesado en DeFi. Esto podría ser un riesgo importante para la industria en su conjunto, especialmente mientras aún está en pañales.

Volviendo a los protocolos DeFi, al interactuar con la mayoría de los protocolos más nuevos, a menudo existe un alto riesgo de centralización, ya que los equipos a menudo tienen el potencial de actualizar los contratos o, en el peor de los casos, "escapar" y robar la liquidez del protocolo. ¡Así que por favor tenga esto en cuenta! Antes de depositar fondos, intente averiguar si existen retrasos de tiempo incorporados u otras medidas de seguridad.

Todavía existen niveles más bajos de riesgo de centralización en algunos de los principales protocolos DeFi. Siempre existe la posibilidad de ataques de gobierno, donde las partes malintencionadas pueden realizar actualizaciones en el sistema. Todavía no hemos visto muchos de estos casos, pero es completamente posible.

Cuanto más diversos y amplios sean los poseedores de fichas, mejor.

Otra categoría importante a tener en cuenta es el fracaso de los incentivos financieros. Varios protocolos DeFi están probando nuevos juegos económicos para lograr ciertos resultados, que a menudo requieren equilibrar los incentivos para fomentar el comportamiento correcto del usuario.

Muchos de estos juegos incentivados no han demostrado ser más riesgosos que otros, y estoy buscando monedas estables algorítmicas. Los usuarios, por lo tanto, deben ser conscientes de hasta qué punto el protocolo depende de incentivos económicos para funcionar correctamente.

Por terrible que parezca, DeFi puede ser lucrativamente gratificante para aquellos que estén dispuestos a asumir mayores riesgos. La relación riesgo-recompensa en DeFi es enorme, pero el mercado sigue siendo muy ineficiente.

La ventaja es que las ineficiencias corresponden a oportunidades para quienes estén dispuestos a asumir más riesgos.

Un gran atractivo de DeFi es la capacidad de obtener rendimiento en monedas estables o titulares de criptomonedas existentes como BTC o ETH.

En este caso de uso, el espectro de riesgo es más bajo, lo que llamo el riesgo proviene de los propios protocolos subyacentes: Uniswap, Compound, Aave, MakerDAO y Balancer.

Estos protocolos están mucho más descentralizados que otros, por lo que los riesgos tienden a estar más limitados a riesgos de contratos inteligentes, fallas en los incentivos económicos y posibles ataques a la gobernanza. Estos protocolos han estado en la red principal durante bastante tiempo y tienen un valor de miles de millones de dólares, lo que significa que han sido probados en batalla en una medida razonable, lo que demuestra que son relativamente inmunes a la mayoría de estos riesgos. aún no se han probado completamente.

Este es probablemente el mejor lugar para comenzar si desea pasar de ganar casi un 0% en su cuenta bancaria a niveles más altos, como el rango del 4-10%.

Si desea proteger su dinero en DeFi, Nexus Mutual también ofrece protección contra riesgos de contratos inteligentes. Aún mejor, a partir del 26 de abril, Nexus Mutual se expandirá a un nuevo producto llamado "Protocol Cover", que cubre los riesgos de los contratos inteligentes, la manipulación del oráculo, el fracaso de los incentivos económicos y los ataques a la gobernanza. Esta es una de las formas más seguras de comenzar a obtener ganancias en DeFi.

Hay tanto que aprender que podría escribir un libro completo sobre la gestión de riesgos de DeFi.

La clave es comenzar con una cantidad que pueda permitirse perder y aprender con el tiempo. Evite correr demasiados riesgos y asegúrese de administrar cuando quiera asignar una posición más grande para cualquier escenario o riesgo.

DeFi es un viaje que requiere una autonomía total que es peligroso y potencialmente muy gratificante. La gestión adecuada de su riesgo lo preparará para el éxito.

Tags：

Mejor intercambio de Bitcoin