Je jacht op 50% APY is een geschenk voor hackers

Ik heb de afgelopen jaren mensen DeFi zien behandelen als een spaarrekening met hoge rente, maar dan zonder de verzekering. Het is een gevaarlijk spel. Als je een protocol ziet dat rendementen biedt die onmogelijk lijken, ben je niet de klant. Je bent de liquiditeit voor de exit van iemand anders of een doelwit voor een script kiddie. De meeste mensen checken alleen of een project een "verified" badge heeft en gaan dan verder. Maar als je je ETH of BTC in een contract stopt, moet je begrijpen wat een smart contract audit is en waarom één PDF je geld niet veilig maakt.

Het korte antwoord

Een smart contract audit is een professionele controle van de code van een protocol door een extern beveiligingsbedrijf. Auditors zoeken naar bugs, logische fouten en kwetsbaarheden die hackers kunnen misbruiken om fondsen leeg te trekken. Een audit is echter een momentopname, geen garantie voor veiligheid.

Hoe het echt werkt

Wanneer ontwikkelaars een smart contract schrijven, schrijven ze in feite een wet die niet kan worden gewijzigd zodra deze op de blockchain is geplaatst. Als er een typfout of een logische fout in die "wet" zit, kan een hacker dat in zijn voordeel gebruiken.

Auditors gebruiken een combinatie van handmatige controles en automatische tools om deze gaten te vinden. Ze proberen de code te "breken" in een sandbox-omgeving voordat deze live gaat. Als ze een bug vinden, lossen de ontwikkelaars dit op en verifieert de auditor de fix. Daarna brengt het bedrijf een rapport uit.

Ik heb genoeg van deze rapporten gelezen om te weten dat de kwaliteit enorm verschilt. Sommige zijn diepe, technische dissecties. Andere zijn gewoon "stempel-audits" waarbij het bedrijf nauwelijks naar de logica heeft gekeken en alleen de meest basale fouten heeft gecheckt. Als je een project ziet dat pronkt met een audit maar niet naar het eigenlijke rapport linkt, is dat voor mij een enorme red flag.

Waar mensen de mist in gaan

De grootste fout die ik zie, is het geloof dat "audited" hetzelfde betekent als "onhackbaar". Dat is simpelweg niet waar.

Ten eerste dekken audits alleen de code die is gecontroleerd. Als een ontwikkelaar na de audit een klein deel van het contract wijzigt, is het oorspronkelijke rapport waardeloos. Ten tweede zijn sommige van de grootste roofovervallen in de geschiedenis gebeurd bij geauditeerde protocollen. We hebben eerder geschreven over het DeFi Complexity Problem en hoe gelaagde protocollen risico's creëren die zelfs de beste auditors missen.

Dan is er nog het probleem van de admin keys. Een contract kan perfect geauditeerd zijn, maar als de ontwikkelaars de "god keys" in een hot wallet bewaren en gefisht worden, doet de audit er niet meer toe. De hackers gebruiken de sleutels dan gewoon om het contract opdracht te geven al het geld naar hun eigen adres te sturen. Dit is precies hoe veel DeFi wallet risks zich in de echte wereld uiten.

In de praktijk

Als je echt die hoge rendementen wilt najagen, moet je stoppen met gokken en beginnen met risicomanagement.

Stop met het vertrouwen van "trust me bro" verhalen. Als je aanzienlijke bedragen verplaatst, haal ze dan uit je browserwallet. Ik gebruik zelf liever de Ledger Stax omdat deze een Transaction Check functie heeft die helpt DeFi-scams te detecteren voordat je ze tekent. Dat gebogen E Ink-scherm maakt het veel makkelijker om echt te lezen wat je tekent, en dat is precies waar de meeste mensen de fout in gaan.

Stel jezelf deze drie vragen voordat je ook maar één token stort:

1. Wie heeft dit geauditeerd en is het volledige rapport openbaar?
2. Is het protocol multisig of heeft één persoon de sleutels?
3. Komt het rendement uit een echte bron, of worden er gewoon tokens "geprint" om liquiditeit te trekken?

De huidige markt is vreemd. We zien een enorme instorting in volume, met spotvolume met 32% gedaald en derivaten met bijna 40%. Wanneer de markt stilvalt en het sentiment neutraal wordt, verschijnen vaak de meest roofzuchtige "yield opportunities" om verveelde kapitaalbezitters te lokken. Laat de stilte je niet misleiden om een risico te nemen dat je niet begrijpt.

Handel in het nieuws via onze redactioneel gekozen exchange: MEXC