Je DeFi-fondsen zijn pas veilig als de admin key dat ook is

Je hebt de zin "not your keys, not your coins" waarschijnlijk al duizend keer gehoord. Het is de gouden regel van crypto. Maar er is een tweede, stillere regel die de meeste beginners volledig over het hoofd zien: zelfs als je je eigen private keys in een hardware wallet hebt, kun je nog steeds beroofd worden als het protocol dat je gebruikt een gecentraliseerde admin key heeft.

Ik zie dit keer op keer gebeuren sinds ik in 2019 begon met het volgen van de markten. Je denkt dat je interactie hebt met een onveranderlijk stuk code, maar in werkelijkheid geef je je geld aan een groep ontwikkelaars die een "god mode"-knop hebben. Als je wilt weten hoe je een protocol timelock vindt om te zien of een project echt gedecentraliseerd is, moet je verder kijken dan de marketing en direct in de contractlogica duiken.

Wat is een admin key precies?

Een admin key is een speciale private key waarmee de ontwikkelaars van een protocol de regels van het smart contract kunnen wijzigen, fondsen kunnen verplaatsen of de code kunnen updaten zonder toestemming van de gebruikers. Als die sleutel wordt gestolen of als de ontwikkelaars kwaadaardig worden, kunnen ze elke wallet die aan het protocol is gekoppeld in één transactie leegtrekken.

Een timelock is hier de oplossing voor. Het dwingt een vertraging af (meestal 48 uur of langer) voordat een wijziging door de admin wordt doorgevoerd. Dat geeft jou de tijd om je fondsen terug te trekken als je een verdachte update ziet aankomen.

Hoe het in de praktijk werkt

In een ideale wereld wordt een smart contract gelanceerd en daarna "renounced". Dat betekent dat de ontwikkelaars de sleutels weggooien en de code de wet wordt. Maar de echte wereld is rommelig. Er zitten bugs in code en protocollen moeten evolueren. Om dit op te lossen, houden ontwikkelaars een admin key aan.

Hier zit het probleem. De meeste protocollen gebruiken hiervoor een single-signature (EOA) wallet. Als de laptop van één ontwikkelaar wordt gehackt, is de hacker direct eigenaar van het hele protocol. Dit is precies hoe de Noord-Koreaanse Lazarus Group miljarden heeft kunnen stelen. Ze hacken niet altijd de blockchain zelf, maar de mensen die de admin keys beheren.

Om dit op te lossen, gebruiken serieuze projecten een multisig (meerdere handtekeningen). In plaats van één sleutel, moeten bijvoorbeeld 3 van de 5 aangewezen personen akkoord gaan met een wijziging. Dat is beter, maar nog steeds gecentraliseerd. De gouden standaard is een combinatie van een multisig en een timelock. De multisig stelt de wijziging voor, en de timelock zorgt ervoor dat het niet direct gebeurt.

Waar mensen de mist in gaan

De grootste fout die ik zie, is dat mensen "audited" verwarren met "veilig". Een audit vertelt je dat de code geen grote gaten heeft, maar het betekent niet dat de ontwikkelaars geen master key hebben die alles kan overrulen.

Ik ben genoeg projecten tegengekomen die claimen "community-driven" te zijn, terwijl de oprichters nog steeds volledige controle hebben over de treasury. Ze vertellen je dat ze naar decentralisatie toe bewegen, maar "binnenkort" is een gevaarlijk woord in DeFi. Als een project weigert te vertellen wie de admin keys heeft of geen openbare timelock heeft, vragen ze je eigenlijk om je hele spaargeld aan hen toe te vertrouwen. In mijn ervaring is dat een weddenschap die je uiteindelijk verliest.

Zelf aan de slag

Als je een protocol gebruikt en de veiligheid wilt checken, lees dan niet alleen de documentatie. Ga naar een block explorer zoals Etherscan. Zoek het contractadres en kijk bij het tabblad "Read Contract". Je zoekt naar variabelen zoals owner, admin of timelock. Zie je slechts één walletadres als eigenaar en is er geen sprake van een timelock? Dan heb je te maken met een gecentraliseerde partij.

Je hebt geen invloed op hoe een protocol wordt bestuurd, maar wel op hoe je de activa bewaart die je opneemt. Ik haal mijn long-term holdings altijd weg van exchanges en uit risicovolle DeFi-pools. Voor mijn eigen zaken gebruik ik een Ledger Stax, omdat de Transaction Check-functie me laat zien waar ik precies mee akkoord ga voordat ik bevestig. Het is een simpele laag bescherming die voorkomt dat je per ongeluk een "setApprovalForAll"-transactie tekent, waarmee een hacker je wallet kan leegtrekken.

Voordat je weer 1.000 USDC in een high-yield farm stort, vraag jezelf af: wie heeft de sleutel van de kluis? Als het antwoord "een paar gasten in een Discord-kanaal" is, zou ik mijn positie nog eens goed heroverwegen.