Exploit Drift'a zmiecie Carrot. Dlaczego twoje yield farmy wciąż są zagrożone?

Przez ostatnie lata obserwowałam, jak ludzie gonią za najwyższym możliwym procentem zysku, całkowicie ignorując to, co dzieje się w "rurociągach" protokołu. Ostatni upadek Carrot po exploicie Drift'a to podręcznikowy przykład tego, dlaczego jest to niebezpieczne. Jeśli próbujesz zrozumieć, jak rozpoznać ryzykowne yield farmy, musisz przestać patrzeć na APY i zacząć analizować zależności.

Krótka odpowiedź

Upadek Carrot wydarzył się przez efekt domina. Carrot nie musiał mieć błędu we własnym kodzie, bo po prostu polegał na Driftcie, by generować zyski. Kiedy Drift został zhakowany, wartość zabezpieczająca Carrot zniknęła. W DeFi jest to proste: jeśli Protokół B używa Protokołu A, żeby zarabiać, to Protokół B jest tylko tak bezpieczny, jak Protokół A.

Jak ta reakcja łańcuchowa zadziałała w praktyce

Żeby to zrozumieć, trzeba przestać myśleć o protokołach DeFi jak o odizolowanych wyspach. To raczej domek z kart. Wiele optymalizatorów zysków czy tzw. "vaultów" wcale nie generuje własnych profitów. Zamiast tego biorą twoje depozyty i przesuwają je do innych projektów, szukając najlepszej stawki.

W tym przypadku Carrot był mocno uzależniony od Drift'a. Exploit nie uderzył tylko w ludzi, którzy trzymali środki bezpośrednio na Driftcie. Stworzył próżnię. Ponieważ "zysk" z Carrot pochodził w zasadzie z ekosystemu Drift'a, w momencie awarii aktywa Carrot lub wartość jego tokenów nagrody po prostu runęła.

Widziałam ten schemat już wcześniej. To ta sama logika, która napędzała krach Terra Luna, tylko na mniejszą skalę. Masz jedną warstwę ryzyka, a potem dokładasz na nią kolejną. Jeśli spód pęka, wszystko powyżej leci w dół.

Gdzie ludzie popełniają błędy

Największym błędem, jaki widzę, jest "ślepotą na zysk". Ludzie widzą 20% lub 50% APY i przestają zadawać pytania. Zakładają, że projekt jest bezpieczny, bo ma ładny dashboard albo wielu obserwujących na Twitterze.

Innym częstym mitem jest przekonanie, że protokół jest "audytowany", więc jest bezpieczny. Audyt to tylko zdjęcie kodu z jednego konkretnego momentu. Nie chroni cię przed efektami domina. Audyt Carrot mógł wykazać, że ich kod jest bez zarzutu, ale nie zapobiegłby upadkowi, gdyby protokół, do którego wpłacili pieniądze, został zhakowany.

Jak rozpoznać ryzykowne yield farmy

Jeśli chcesz uniknąć kolejnego Carrot, musisz pobawić się w detektywa przed wpłaceniem środków. Oto na co ja zwracam uwagę.

Sprawdź źródło zysku

Zadaj sobie pytanie: skąd właściwie biorą się te pieniądze? Jeśli projekt wspomina o "zaawansowanych strategiach", zazwyczaj oznacza to, że twoje środki są wkładane w inne protokoły. Jeśli nie znajdziesz jasnej listy miejsc, gdzie przechowywane są fundusze, ryzyko jest zbyt duże.

Szukaj pętli rekurencyjnych

Uważaj na projekty, które używają własnego tokena jako zabezpieczenia, by pożyczyć więcej tego samego tokena i farmić jeszcze więcej zysku. To tworzy sprzężenie zwrotne. Gdy cena spada, uruchamia to kaskadę likwidacji, która może wyczyścić cały system w kilka minut.

Oceń łańcuch zależności

Zawsze staram się narysować sobie "drzewo zależności". Jeśli wpłacam pieniądze do Protokołu X, a on przekazuje je do Protokołu Y, który używa mostu, by przenieść je do Protokołu Z, to jestem narażona na trzy różne punkty awarii. Wolę prostsze strategie.

Jak to zastosować w praktyce

Jeśli masz już dość tej gonitwy za zyskiem i chcesz po prostu zabezpieczyć swoje główne aktywa, najlepszym ruchem jest wyprowadzenie ich z giełd do zimnego portfela. Sama korzystam z Ledger Nano X, bo pozwala mi zarządzać portfelem przez Bluetooth w telefonie, nie tracąc przy tym bezpieczeństwa sprzętowego podpisującego. Znacznie trudniej stracić oszczędności życia przez efekt domina, gdy klucze prywatne nie leżą na gorącym portfelu czy ryzykownej farmie.

Jeśli mimo wszystko chcesz farmić, używaj tylko takich pieniędzy, które naprawdę możesz stracić. Z mojego doświadczenia wynika, że "bezpieczne" 5% zysku jest zawsze lepsze niż "możliwe" 50%, które po exploicie zamienia się w zero.