A 50%-os hozam utáni vadászat csak ajándék a hackereknek

Az elmúlt években azt néztem, ahogy az emberek úgy kezelik a DeFi-t, mintha egy nagy hozamú megtakarítási számla lenne, csak úgy, hogy nincs rajta biztosítás. Ez egy veszélyes játék. Ha egy protokoll olyan hozamokat ígér, amikre ránézésre lehetetlennek tűnnek, akkor te nem a ügyfél vagy. Te vagy a likviditás valaki más kilépéséhez, vagy egyszerűen csak egy célpont egy fiatal hacker számára. A legtöbb ember csak azt nézi, hogy van-e egy „ellenőrzött” jelvény a projektnél, és megy tovább. De ha ETH-t vagy BTC-t teszel egy szerződésbe, értened kell, hogy mi az a smart contract audit, és miért nem tesz egyetlen PDF dokumentum biztonságosnak a pénzedet.

A rövid válasz

A smart contract audit egy külső biztonsági firma által végzett szakmai áttekintés a protokoll kódjáról. Az auditorok olyan hibákat, logikai réseket és sérülékenységeket keresnek, amiket a hackerek kihaszíthatnának a pénzek kiszívására. Azonban egy audit csak egy pillanatképet ad az adott időpontban, nem pedig egy biztonság garanciát.

Így működik a gyakorlatban

Amikor a fejlesztők egy okosszerződést írnak, tulajdonképpen egy olyan törvényt alkotnak, amit a blokkhainra való telepítés után már nem lehet megváltoztatni. Ha ebben a „törvényben” egy elírás vagy egy logikai hiba csúszik el, egy hacker könnyen kihasználhatja ezt.

Az auditorok manuális áttekintést és automatizált eszközöket használnak ezek a lyukak megtalálására. Megpróbálják „törni” a kódot egy szandbox környezetben, mielőtt az élővé válna. Ha találnak hibát, a fejlesztők javítják, az auditor pedig ellenőrzi a javítást. A folyamat végre a firma kiad egy jelentést.

Kevésbé szerencsés voltam, amikor olvastam ezeket a jelentéseket, mert rájöttem, hogy a minőségük rendkívül eltérő. Van, amelyik mély, technikai elemzés. Mások csak egy „gumibélyegző” auditok, ahol a firma alig nézte a logikát, csak a leggyakoribb alaphibákat kereste. Ha egy projekt nagyban büskül egy auditra, de nem akarja megosztani a konkrét jelentést, az egy hatalmas vörös zászló.

Ahol a legtöbben hibáznak

A legnagyobb hiba, amit látok, az az az elképzelés, hogy az „auditált” szó egyenlő a „hackelhhetetlen”-nel. Ez egyszerűen nem igaz.

Először is, az audit csak azt a kódot fedezi, amit ténylegesen átvizsgáltak. Ha a fejlesztő az audit után egy apró részt módosít a szerződésben, az eredeti jelentés értéktelen. Másodszor, a történelem legnagyobb rablásai közül néhány audited protokolloknál történtek. Korábban beszéltünk a DeFi komplexitási problémáról és arról, hogy a több rétegű protokollok olyan kockázatokat teremtenek, amiket még a legjobb auditorok is elnéznek.

Aztán ott vannak az adminisztrációs kulcsok. Egy szerződés lehet tökéletesen auditált, de ha a fejlesztők a „istenkulcsokat” egy forró tárcában tartják és megcsapkoolják őket, az audit nem számít. A hackerek egyszerűen használják a kulcsokat, hogy utasítsák a szerződést: küldje az összes pénzt a saját címükre. Pontosan így valósulnak meg a DeFi tárcakockázatok a valóságban.

Hogyan cselekedjünk

Ha mindenképp akarod hajszolni a hozamokat, akkor abnormalityt kell abbahagynod a szerencsejátékostól, és kockázatkezelőként kell kezdeni.

Hagyd fel a „hissz nekem, teszlek” narratívákat. Ha jelentős összegeket mozgatasz, vedd ki őket a böngészőbe épített tárcádból. Én a Ledger Stax használatát preferálom, mert van egy Transaction Check funkciója, amely segít kiszűrni a DeFi csalásokat, mielőtt aláírnád őket. A görbe E Ink képernyővel sokkal egyszerűbb ténylegesen elolvasni, hogy mit is írsz alá, ami pont ott, ahol a legtöbben elbuknak.

Mielőtt egyetlen tokent is befizetnél, tedd fel magadnak ezt a három kérdést:

1. Ki auditálta ezt, és nyilvános a teljes jelentés?
2. Multisig a protokoll, vagy egyetlen ember kezeli a kulcsokat?
3. A hozam egy valódi forrásból jön, vagy csak tokeneket „nyomtassák”, hogy csalogassák a likviditást?

A jelenlegi piac furcsa. Hatalmas volumenösszakadást látunk, a spot volumen 32%-kal, a derivátumok pedig majdnem 40%-kal visszaestek. Amikor a piac elcsendesedik és a hangulat semleges lesz, akkor szokottak megjelenni a legpredatívabb „hozamlehetőségek”, hogy becsalják az unatkozó tőkét. Ne hagyd, hogy a csend becsapjon, és olyan kockázatot vállajs, amit nem értesz.

Kereskedj a híreken a szerkesztőségünk által választott tórzán: MEXC