Vânătoarea de APY de 50% este un cadou pentru hackeri

Am petrecut ultimii ani văzând cum oamenii tratează DeFi ca pe un cont de economii cu dobândă mare, dar fără asigurare. E un joc periculos. Când vezi un protocol care oferă randamente care par imposibile, tu nu ești clientul; ești lichiditatea pentru strategia de ieșire a altcuiva sau o țintă pentru un script kiddie. Majoritatea oamenilor doar verifică dacă un proiect are o insignă de "verificat" și trece mai departe, dar dacă îți pui ETH sau BTC într-un contract, trebuie să înțelegi ce este un audit al contractului inteligent și de ce un singur PDF nu îți face banii în siguranță.

Răspunsul scurt

Un audit al contractului inteligent este o revizuire profesională a codului unui protocol, realizată de o firmă de securitate terță. Auditorii caută bug-uri, erori de logică și vulnerabilități pe care hackerii le-ar putea exploata pentru a fura fondurile. Totuși, un audit este o fotografie a unui moment precis, nu o garanție de siguranță.

Cum funcționează de fapt

Când dezvoltatorii scriu un contract inteligent, ei scriu, în esență, o lege care nu mai poate fi schimbată odată ce este implementată pe blockchain. Dacă există o greșeală de tipar sau o eroare logică în acea "lege", un hacker o poate folosi în avantajul său.

Auditorii folosesc un amestec de revizuire manuală și instrumente automate pentru a găsi aceste breșe. Ei încearcă să "spargă" codul într-un mediu de test (sandbox) înainte ca acesta să devină public. Dacă găsesc un bug, dezvoltatorii îl repară, iar auditorul verifică remedierea. La final, firma emită un raport.

Am citit suficiente dintre aceste rapoarte ca să știu că ele variază enorm ca calitate. Unele sunt disecții tehnice profunde. Altele sunt doar audituri de formă, unde firma abia dacă s-a uitat la logică și a verificat doar erorile comune de bază. Dacă vezi un proiect lăudându-se cu un audit, dar nu pune link către raportul efectiv, asta e un semnal de alarmă major.

Unde apar greșelile

Cea mai mare eroare pe care o văd este convingerea că "auditat" înseamnă "imposibil de hackuit". Asta pur și simplu nu este adevărat.

În primul rând, auditurile acoperă doar codul care a fost analizat. Dacă un dezvoltator schimbă o mică parte a contractului după audit, raportul original devine inutil. În al doilea rând, unele dintre cele mai mari jafuri din istorie s-au întâmplat la protocoale auditate. Am discutat anterior despre problema complexității DeFi și despre cum protocoalele cu mai multe straturi creează riscuri pe care chiar și cei mai buni auditori îi ratează.

Apoi este problema cheilor de administrare. Un contract poate fi perfect auditat, dar dacă dezvoltatorii țin "cheile de zeu" într-un hot wallet și sunt victimele unui phishing, auditul nu mai contează. Hackerii pur și simplu folosesc cheile pentru a instrui contractul să trimită toți banii la adresa lor. Exact așa se manifestă multe dintre riscurile portфеlelor DeFi în lumea reală.

Cum aplici asta în practică

Dacă ești hotărât să alergi după randamente, trebuie să încetezi să te mai comporti ca un jucător de cazinou și să începi să acționezi ca un manager de risc.

Nu mai avea încredere în narațiunile de tip "crezii pe cuvântul meu, frate". Dacă muți sume semnificative, scoate-le din portofelul de browser. Eu prefer să folosesc Ledger Stax pentru că are o funcție de verificare a tranzacțiilor care ajută la detectarea scam-urilor DeFi înainte să semnezi. Ecranul E Ink curbat face mult mai ușoară citirea a ceea ce semnezi, punct lucru unde majoritatea oamenilor eșuează.

Înainte de a depune un singur token, întreabă-te aceste trei lucruri:

1. Cine a făcut auditul și este raportul complet public?
2. Protocolul este multisig sau o singură persoană deține cheile?
3. Randamentul vine dintr-o sursă reală sau doar "imprimă" token-uri pentru a atrage lichiditate?

Piața actuală este ciudată. Vedem o prăbușire masivă a volumelor, cu volumul spot scăzut cu 32% și cel pe derivate cu aproape 40%. Când piața devine tăcută și sentimentul este neutru, atunci apar adesea cele mai prădătoare "oportunități de yield" pentru a atrage capitalul plictisit. Nu lăsa liniștea să te păcălească să iei un risc pe care nu îl înțelegi.

Tranzacționează știrile pe exchange-ul recomandat de echipa noastră editorială: MEXC