L'exploit di Drift ha azzerato Carrot: ecco perché il tuo yield farm è ancora a rischio

Ho passato gli ultimi anni a guardare persone rincorrere la percentuale di rendimento più alta possibile, ignorando quasi sempre l'idraulica che sta sotto il protocollo. Il recente crollo di Carrot dopo l'exploit di Drift è l'esempio perfetto di quanto questo sia pericoloso. Se state cercando di capire come identificare le yield farm rischiose, dovete smettere di guardare l'APY e iniziare a guardare le dipendenze.

La risposta breve

Il crollo di Carrot è avvenuto per contagio. Carrot non aveva necessariamente un bug nel proprio codice, ma dipendeva da Drift per generare rendimento. Quando Drift è stato colpito dall'exploit, il valore che sosteneva Carrot è sparito. Nella DeFi, se il Protocollo B usa il Protocollo A per fare soldi, il Protocollo B è sicuro solo quanto lo è il Protocollo A.

Come funziona davvero il contagio

Per capire questo meccanismo, dovete smettere di pensare ai protocolli DeFi come a isole isolate. Sono più simili a un castello di carte. Molti ottimizzatori di rendimento o "vault" non generano rendimento proprio. Invece, prendono i vostri depositi e li spostano in altri protocolli per trovare il tasso migliore.

In questo caso, Carrot dipendeva pesantemente da Drift. Quando è avvenuto l'exploit di Drift, non ne hanno risentito solo gli utenti che avevano fondi direttamente su Drift. Si è creato un vuoto. Poiché il rendimento di Carrot derivava essenzialmente dall'ecosistema di Drift, nel momento in cui Drift è fallito, gli asset sottostanti di Carrot o il valore dei suoi token di reward sono precipitati.

Ho già visto questo schema. È la stessa logica che ha alimentato il crash di Terra Luna, solo su scala più ridotta. Avete uno strato di rischio e poi ne aggiungete un altro sopra. Se lo strato di base si rompe, tutto quello che sta sopra crolla.

Dove si commettono gli errori

L'errore più grande che vedo è la "cecità da rendimento". La gente vede un APY del 20% o del 50% e smette di farsi domande. Presumono che il protocollo sia sicuro perché ha una dashboard elegante o molti follower su Twitter.

Un altro malinteso comune è pensare che un protocollo sia sicuro perché è stato "auditato". Un audit è solo un'istantanea del codice in un preciso momento. Non vi protegge dal contagio. Un audit di Carrot poteva confermare che il codice di Carrot era perfetto, ma non avrebbe impedito il fallimento se il protocollo in cui Carrot depositava i soldi veniva hackerato.

Come identificare le yield farm rischiose

Se volete evitare il prossimo Carrot, dovete fare un po' di lavoro da detective prima di depositare i vostri fondi. Ecco cosa controllo io.

Verificate la fonte del rendimento

Chiedetevi: da dove arrivano effettivamente questi soldi? Se il protocollo dice di usare "strategie avanzate", di solito significa che stanno annidando i vostri soldi in altri protocolli. Se non trovate una lista chiara di dove sono conservati i fondi, il rischio è troppo alto.

Attenzione ai loop "ricorsivi"

Diffidate dei protocolli che usano il proprio token come collaterale per prendere in prestito altro dello stesso token per fare farming. Questo crea un feedback loop. Quando il prezzo scende, si innesca una cascata di liquidazioni che può azzerare l'intero sistema in pochi minuti.

Valutate la catena di dipendenze

Cerco sempre di mappare l'albero delle dipendenze. Se metto soldi nel Protocollo X, e il Protocollo X li mette nel Protocollo Y, e il Protocollo Y usa un bridge per spostarli nel Protocollo Z, sono ora esposto a tre diversi punti di fallimento. Preferisco strategie più semplici.

Mettere tutto in pratica

Se siete stanchi di rincorrere i rendimenti e volete solo tenere al sicuro i vostri asset principali, la mossa migliore è toglierli dagli exchange e metterli in cold storage. Io personalmente uso Ledger Nano X perché mi permette di gestire il portafoglio via Bluetooth dal telefono senza sacrificare la sicurezza di un hardware signer. È molto più difficile perdere i risparmi di una vita per un evento di contagio quando le chiavi private non sono su un hot wallet o in una farm rischiosa.

Se volete comunque fare farming, usate solo soldi che siete sinceramente pronti a perdere. In base alla mia esperienza, un rendimento "sicuro" del 5% è sempre meglio di un "forse" 50% che finisce per diventare 0% dopo un exploit.