Drift exploit ने Carrot को खत्म कर दिया: क्यों आपका yield farm अभी भी खतरे में है

पिछले कुछ सालों से मैं देख रही हूँ कि लोग सिर्फ सबसे ज़्यादा प्रतिशत वाले yield के पीछे भागते हैं, और अक्सर उस प्रोटोकॉल की अंदरूनी बनावट या 'प्लमिंग' को नज़रअंदाज़ कर देते हैं। Drift exploit के बाद Carrot का ढह जाना इस बात का सटीक उदाहरण है कि यह कितना खतरनाक हो सकता है। अगर आप यह समझने की कोशिश कर रहे हैं कि रिस्की yield farms की पहचान कैसे करें, तो आपको सिर्फ APY देखना बंद करना होगा और dependencies पर ध्यान देना होगा।

असल में क्या हुआ

Carrot का अंत 'कंटेजन' (contagion) यानी एक खराबी का दूसरी जगह फैलने की वजह से हुआ। ऐसा नहीं है कि Carrot के अपने कोड में कोई बग था, लेकिन वह अपने yield के लिए Drift पर निर्भर था। जब Drift का exploit हुआ, तो Carrot को सपोर्ट करने वाली वैल्यू गायब हो गई। DeFi में एक सीधा सा नियम है: अगर प्रोटोकॉल B पैसे कमाने के लिए प्रोटोकॉल A का इस्तेमाल कर रहा है, तो प्रोटोकॉल B उतना ही सुरक्षित है जितना कि प्रोटोकॉल A।

यह चेन रिएक्शन कैसे काम करता है

इसे समझने के लिए, DeFi प्रोटोकॉल को अलग-थलग टापुओं की तरह सोचना बंद करें। ये ताश के पत्तों के घर की तरह होते हैं। कई yield optimizers या "vaults" असल में खुद कोई yield जेनरेट नहीं करते। इसके बजाय, वे आपकी जमा राशि लेते हैं और उसे दूसरे प्रोटोकॉल में डाल देते हैं ताकि सबसे अच्छा रेट मिल सके।

इस मामले में, Carrot पूरी तरह Drift पर निर्भर था। जब Drift exploit हुआ, तो सिर्फ उन लोगों का नुकसान नहीं हुआ जिनके फंड्स सीधे Drift पर थे। इसने एक vacuum पैदा कर दिया। क्योंकि Carrot का yield असल में Drift के इकोसिस्टम से आ रहा था, जैसे ही Drift फेल हुआ, Carrot के underlying assets और उसके रिवॉर्ड टोकन्स की कीमत बुरी तरह गिर गई।

मैंने यह पैटर्न पहले भी देखा है। यह वही लॉजिक है जिसने Terra Luna क्रैश को बढ़ावा दिया था, बस यहाँ पैमाना छोटा था। आप रिस्क की एक परत लगाते हैं, और फिर उसके ऊपर रिस्क की एक और परत। अगर नीचे वाली परत टूटती है, तो ऊपर की हर चीज़ गिर जाती है।

लोग कहाँ गलती करते हैं

सबसे बड़ी गलती जो मैं देखती हूँ, वह है "yield blindness"। लोग 20% या 50% APY देखते हैं और सवाल पूछना बंद कर देते हैं। उन्हें लगता है कि प्रोटोकॉल सुरक्षित है क्योंकि उसका डैशबोर्ड शानदार है या ट्विटर पर उसकी बड़ी following है।

एक और गलतफहमी यह है कि अगर प्रोटोकॉल "audited" है, तो वह सुरक्षित है। ऑडिट सिर्फ एक समय पर कोड का स्नैपशॉट होता है। यह आपको कंटेजन से नहीं बचाता। Carrot के ऑडिट ने शायद यह दिखाया होगा कि उसका कोड ठीक है, लेकिन वह इसे फेल होने से नहीं रोक सकता था अगर वह प्रोटोकॉल हैक हो गया जिसमें Carrot ने पैसे डाले थे।

रिस्की yield farms की पहचान कैसे करें

अगर आप अगले Carrot जैसे हादसे से बचना चाहते हैं, तो फंड जमा करने से पहले थोड़ी जासूसी करनी होगी। मैं इन चीज़ों पर गौर करती हूँ:

yield के सोर्स की जांच करें

खुद से पूछें: यह पैसा असल में आ कहाँ से रहा है? अगर प्रोटोकॉल कहता है कि वे "advanced strategies" का इस्तेमाल कर रहे हैं, तो इसका मतलब आमतौर पर यह होता है कि वे आपके पैसे को दूसरे प्रोटोकॉल में डाल रहे हैं। अगर आपको यह साफ नहीं दिख रहा कि फंड्स कहाँ रखे हैं, तो रिस्क बहुत ज़्यादा है।

"recursive" लूप्स से बचें

उन प्रोटोकॉल से सावधान रहें जो अपने ही टोकन को कोलैटरल के तौर पर इस्तेमाल करके उसी टोकन को और उधार लेते हैं ताकि ज़्यादा yield फार्म कर सकें। यह एक फीडबैक लूप बनाता है। जब कीमत गिरती है, तो लिक्विडेशन की एक ऐसी लहर आती है जो मिनटों में पूरे सिस्टम को साफ कर सकती है।

dependency chain को समझें

मैं हमेशा "dependency tree" बनाने की कोशिश करती हूँ। अगर मैं प्रोटोकॉल X में पैसा डालती हूँ, और X उसे Y में डालता है, और Y उसे ब्रिज के ज़रिए Z में भेजता है, तो अब मैं तीन अलग-अलग फेल्योर पॉइंट्स के जोखिम में हूँ। मुझे सिंपल स्ट्रेटेजीज़ ज़्यादा पसंद हैं।

इसे असल ज़िंदगी में कैसे लागू करें

अगर आप इस "yield chase" से थक चुके हैं और बस अपने मुख्य एसेट्स को सुरक्षित रखना चाहते हैं, तो सबसे सही तरीका यह है कि उन्हें एक्सचेंजों से निकालकर कोल्ड स्टोरेज में रखें। मैं व्यक्तिगत रूप से Ledger Nano X का इस्तेमाल करती हूँ क्योंकि यह मुझे बिना सिक्योरिटी से समझौता किए अपने फोन पर ब्लूटूथ के ज़रिए पोर्टफोलियो मैनेज करने की सुविधा देता है। जब आपकी प्राइवेट कीज़ किसी हॉट वॉलेट या रिस्की फार्म में नहीं होतीं, तो अपनी पूरी जमापूँजी किसी कंटेजन इवेंट में खोने का डर बहुत कम हो जाता है।

अगर आप फिर भी फार्मिंग करना चाहते हैं, तो सिर्फ उतना ही पैसा लगाएं जिसे खोने का आप मानसिक रूप से तैयार हैं। मेरे अनुभव में, "सेफ" 5% yield हमेशा उस "शायद" वाले 50% yield से बेहतर होता है जो exploit के बाद 0% हो जाता है।