Hacking-ul KelpDAO de 293 de milioane de dolari este un avertisment despre riscul complexității în DeFi

Urmăresc spațiul DeFi din 2019 și, dacă am învățat ceva, acela este că termenul „inovație” e adesea doar un cuvânt politicos pentru „am mai adăugat un strat de risc pe care nimeni nu îl înțelege complet”. Hacking-ul recent KelpDAO de 293 de milioane de dolari nu e doar o altă intrare în lista lungă de exploite. Este un exemplu clasic de ceea ce înseamnă riscul complexității în DeFi și arată că industria a ajuns într-un punct în care matematica pur și simplu devine prea încâlcită pentru a fi gestionată în siguranță. Am discutat anterior despre riscurile portofelelor DeFi pentru mai mult context.

Ce s-a întâmplat mai exact cu KelpDAO

Pentru cei care nu sunt familiarizați cu detaliile tehnice ale liquid restaking-ului, KelpDAO a fost creat pentru a permite utilizatorilor să își păstreze lichiditatea în timp ce câștigă recompense din activele stakate. Problema este că liquid restaking-ul nu e un proces simplu. Implică straturi de contracte inteligente, protocoale terțe și bucle recursive de colateral.

În acest caz, atacatorul nu a găsit doar un bug simplu într-o singură linie de cod. Ei au exploatat modul în care diferite componente ale protocolului interacționează între ele. Manipulând starea sistemului, au reușit să golească aproape 300 de milioane de dolari. Nu a fost un atac de tip „flash loan” în sensul tradițional, ci mai degrabă un eșec al sistemului de a gestiona o secvență specifică și complexă de evenimente.

Ce este riscul complexității în DeFi și de ce contează

Când vorbesc despre riscul complexității, mă refer la problema „pieselor de Lego”. La început, un protocol făcea un singur lucru. Uniswap schimba tokeni. Aave îi împrumuta. Simplu. Dar acum avem protocoale care stau deasupra altor protocoale, care la rândul lor sunt împachetate într-un alt token, care apoi este depus într-un optimizator de randament.

Fiecare strat nou este un nou punct de eșec. Chiar dacă fiecare bucată de cod este „auditată” și „sigură”, modul în care acele piese interacționează poate crea vulnerabilități emergente. E ca și cum ai construi un zgârie-nori unde fiecare șurub este rezistent, dar designul arhitectural general este atât de instabil încât o adiere de vânt în direcția greșită dărâmă totul.

Am mai văzut acest tipar. Am analizat anterior hacking-ul Drift Protocol, unde riscul nu a fost doar codul, ci elementul uman și cheile administrative. KelpDAO e diferit pentru că riscul era integrat chiar în logica produsului.

Unde eșează industria

Cea mai mare problemă este că majoritatea utilizatorilor (și chiar unii developeri) tratează auditurile ca pe o „ștampilă de aprobare”. Văd un PDF de la o firmă de securitate respectată și presupun că banii lor sunt în siguranță. Dar un audit e doar o imagine fixă într-un anumit moment. Nu ține cont de cum se comportă un protocol când interacționează cu alte cinci protocoale active într-o piață volatilă.

Sincer, m-am săturat de mentalitatea asta de „mergi repede și strică lucrurile” când „lucrurile” care se strică sunt economiile unei vieți ale oamenilor. Datele actuale de piață arată un sentiment Neutru, cu un Index Fear & Greed de 43, iar dominanța Bitcoin stă la 60,25%. Oamenii se refugiază în BTC pentru că au realizat că „randamentul ridicat” din DeFi vine adesea cu un cost ascuns de risc sistemic extrem.

Cum să te protejezi de un eșec sistemic

Dacă te-ai săturat să privești cum dispar 300 de milioane de dolari în câteva blocuri, trebuie să schimbi modul în care îți păstrezi activele. Nu pot să-ți spun care protocol este „sigur” pentru că, într-un sistem complex, siguranța este o iluzie. Ce pot să-ți spun este că nu ar trebui să îți lași activele principale într-un protocol pe care nu îl înțelegi fundamental.

Pentru activele pe care plănuiești să le păstrezi pe termen lung, scoate-le din chain și pune-le într-un portofel hardware. Eu personal prefer Ledger Flex pentru că ecranul tactil E Ink face mult mai greu să semnezi din greșeală o tranzacție malițioasă. Costă 249 de dolari, un preț mic comparativ cu riscul de a pierde totul într-un exploit de complexitate.

Concluzia mea

DeFi este forțat în sfârșit să se maturizeze. Era strivirii a zece protocoale diferite pentru a lăuga un APY de 20% se termină pentru că riscul devine prea evident. Cred că vom vedea o schimbare către un DeFi „plictisitor”. Protocoalele simple, transparente și testate riguros vor câștiga în fața celor strălucitoare și complexe.

Până atunci, presupune că orice protocol care promite randamente „optimizate” sau „stratificate” este, în esență, un experiment uriaș cu banii tăi. Dacă nu poți desena fluxul de fonduri pe un șervețel în treizeci de secunde, probabil e prea complex ca să fie sigur.

Tranzacționează știrile pe exchange-ul recomandat de echipa noastră editorială: MEXC