چرا اکسپلویت Drift باعث نابودی Carrot شد؟ خطرات فارمینگ سود در DeFi

من سال‌های زیادی را تماشا کرده‌ام که چطور مردم فقط دنبال بالاترین درصد سود می‌دوند و لوله‌های زیرزمینی و زیرساخت‌های پروتکل را کاملاً نادیده می‌گیرند. اتفاقی که برای Carrot بعد از اکسپلویت Drift افتاد، یک مثال کلاسیک از این خطر است. اگر می‌خواهید بفهمید چطور فارمینگ سود ریسکی را شناسایی کنید، باید چشم‌هایتان را از APY (سود سالانه) ببندید و به وابستگی‌ها نگاه کنید.

داستان کوتاه این اتفاق چیست؟

سقوط Carrot به خاطر چیزی بود که ما به آن می‌گوییم «سرایت» یا Contagion. لزوماً باگ خاصی در کد خود Carrot وجود نداشت، اما این پروتکل برای ایجاد سود به Drift وابسته بود. وقتی Drift هک شد و اکسپلویت شد، ارزش دارایی‌هایی که پشت Carrot بود ناپدید شد. در دنیای دیفای، اگر پروتکل B برای پول درآوردن از پروتکل A استفاده می‌کند، پروتکل B فقط به اندازه پروتکل A امن است.

سرایت چطور اتفاق افتاد؟

برای درک این موضوع، نباید به پروتکل‌های دیفای مثل جزیره‌های جدا از هم نگاه کنید. این‌ها بیشتر شبیه یک خانه کاغذی هستند. خیلی از بهینه‌سازهای سود یا همان «والت‌ها» (Vaults)، خودشان سود تولید نمی‌کنند. آن‌ها فقط سپرده‌های شما را می‌گیرند و برای پیدا کردن بهترین نرخ، به پروتکل‌های دیگر منتقل می‌کنند.

در این مورد، Carrot وابستگی شدیدی به Drift داشت. وقتی اکسپلویت Drift رخ داد، فقط کسانی که مستقیماً در Drift پول داشتند ضربه نخوردند. یک خلأ ایجاد شد. چون سود Carrot اساساً از اکوسیستم Drift می‌آمد، لحظه‌ای که Drift شکست خورد، دارایی‌های زیربنایی Carrot یا ارزش توکن‌های پاداشش سقوط کرد.

من این الگوی تکراری را قبلاً هم دیده‌ام. دقیقاً همان منطقی که باعث کراش ترا-لونا شد، فقط در مقیاسی کوچک‌تر. شما یک لایه ریسک دارید و بعد یک لایه ریسک دیگر روی آن می‌چینید. اگر لایه پایین بشکند، هر چه روی آن است فرو می‌ریزد.

کجا اشتباه می‌کنیم؟

بزرگ‌ترین اشتباهی که می‌بینم «کوری نسبت به سود» است. مردم درصد ۲۰ یا ۵۰ می‌بینند و دیگر سوال نمی‌پرسند. فکر می‌کنند چون پروتکل یک داشبورد شیک دارد یا در توییتر دنبال‌کننده‌های زیادی دارد، پس امن است.

یک باور غلط دیگر این است که چون پروتکل «اوudit» (Audit) شده، پس امن است. حسابرسی یا همان Audit فقط یک عکس لحظه‌ای از کد در یک زمان خاص است. این کار شما را در برابر سرایت نجات نمی‌دهد. شاید حسابرسی Carrot نشان داده بود که کدهایش سالم هستند، اما این موضوع جلوی سقوط Carrot را نمی‌گرفت وقتی پروتکلی که پول‌ها را در آن گذاشته بود، هک می‌شد.

چطور فارمینگ‌های ریسکی را شناسایی کنیم؟

اگر نمی‌خواهید Carrot بعدی باشید، قبل از واریز پول باید کمی کارآگاه بازی کنید. من خودم این موارد را چک می‌کنم:

منبع سود را بررسی کنید

از خودتان بپرسید: این پول واقعاً از کجا می‌آید؟ اگر پروتکل می‌گوید از «استراتژی‌های پیشرفته» استفاده می‌کند، معمولاً یعنی پول شما را در پروتکل‌های دیگر جایگذاری کرده است. اگر لیست شفافی از جایی که پول‌ها ذخیره شده پیدا نکردید، ریسک خیلی زیاد است.

مراقب حلقه‌های بازگشتی (Recursive) باشید

از پروتکل‌هایی که توکن خودشان را به عنوان وثیقه می‌گذارند تا دوباره همان توکن را قرض بگیرند و سود بیشتری کسب کنند، دوری کنید. این کار یک حلقه بازخورد ایجاد می‌کند. وقتی قیمت می‌افتد، زنجیره‌ای از لیکوییدیشن‌ها شروع می‌شود که می‌تواند کل سیستم را در چند دقیقه پاک کند.

زنجیره وابستگی را تحلیل کنید

من همیشه سعی می‌کنم «درخت وابستگی» را رسم کنم. اگر من پول را در پروتکل X بگذارم، و X آن را به Y ببرد و Y از یک بریج برای انتقال به Z استفاده کند، من حالا در معرض سه نقطه شکست مختلف هستم. من استراتژی‌های ساده‌تر را ترجیح می‌دهم.

کاربردی کردن این موارد

اگر از این بازی «دنبال سود دویدن» خسته شده‌اید و فقط می‌خواهید دارایی‌های اصلی‌تان امن بمانند، بهترین راه این است که آن‌ها را از صرافی‌ها خارج کرده و در سخت‌افزار یا Cold Storage نگه دارید. من شخصاً از Ledger Nano X استفاده می‌کنم چون اجازه می‌دهد سبدم را از طریق بلوتوث با گوشی مدیریت کنم بدون اینکه امنیت امضای سخت‌افزاری را از دست بدهم. وقتی کلیدهای خصوصی شما در یک والت گرم یا یک فارم ریسکی نباشند، احتمال اینکه سرمایه زندگی‌تان را در یک اتفاق زنجیره‌ای از دست بدهید، خیلی کمتر می‌شود.

اگر باز هم می‌خواهید فارمینگ کنید، فقط پولی را وارد کنید که واقعاً با از دست دادنش مشکلی ندارید. طبق تجربه من، یک سود ۵ درصد «مطمئن»، همیشه بهتر از یک سود ۵۰ درصد «شاید» است که بعد از یک اکسپلویت تبدیل به صفر می‌شود.