Эксплойт Drift уничтожил Carrot: почему ваши доходные фермы всё еще в зоне риска

Последние несколько лет я наблюдаю, как люди гоняются за максимально высоким процентом доходности, напросто игнорируя «трубы», по которым текут деньги внутри протокола. Недавний крах Carrot после эксплойта Drift — это классический пример того, почему такой подход опасен. Если вы хотите понять, как вычислить рискованные доходные фермы, нужно перестать смотреть только на APY и начать изучать зависимости.

Короткий ответ

Carrot рухнул из-за эффекта домино. В самом коде Carrot не обязательно была ошибка, но он полагался на Drift для получения прибыли. Когда Drift взломали, обеспечение Carrot просто испарилось. В DeFi всё просто: если протокол Б использует протокол А, чтобы зарабатывать, то протокол Б будет ровно настолько безопасным, насколько безопасен протокол А.

Как работает эта зараза

Чтобы понять суть, перестаньте воспринимать DeFi-протоколы как отдельные острова. Это скорее карточный домик. Многие оптимизаторы доходности или «хранилища» (vaults) на самом деле сами ничего не производят. Они просто забирают ваши депозиты и перекладывают их в другие протоколы, где ставка выше.

В этот раз Carrot слишком сильно зависел от Drift. Эксплойт Drift ударил не только по тем, кто держал средства прямо там. Он создал вакуум. Поскольку доход Carrot фактически шел из экосистемы Drift, в момент падения последнего базовые активы Carrot или стоимость его наград обвалились.

Я уже видела такое. Та же логика сработала при крахе Terra Luna, просто здесь масштаб меньше. Вы создаете один слой риска, а затем накладываете сверху еще один. Если нижний слой треснет, рухнет всё, что сверху.

Где люди ошибаются

Главная ошибка, которую я замечаю, — это «слепота к доходности». Люди видят 20% или 50% APY и перестают задавать вопросы. Они верят, что протокол безопасен, раз у него красивый интерфейс или много подписчиков в Твиттере.

Еще одно заблуждение: «протокол прошел аудит, значит он надежен». Аудит — это просто снимок кода в конкретный момент времени. Он не защитит вас от системного заражения. Аудит Carrot мог показать, что код работает идеально, но это не спасло бы проект, если бы протокол, куда Carrot отправлял деньги, был взломан.

Как распознать опасную доходную ферму

Если не хотите стать жертвой следующего «Каррота», придется поиграть в детектива перед тем, как вносить депозит. Вот на что я смотрю сама.

Проверьте источник прибыли

Спросите себя: откуда на самом деле берутся эти деньги? Если протокол пишет про «продвинутые стратегии», обычно это значит, что ваши средства вложены в другие проекты. Если нет четкого списка того, где лежат деньги, риск слишком высок.

Ищите рекурсивные петли

Остерегайтесь проектов, которые используют свой собственный токен в качестве залога, чтобы занять еще больше этого же токена для фарма. Это создает петлю обратной связи. Когда цена падает, запускается каскад ликвидаций, который может обнулить всю систему за считанные минуты.

Оцените цепочку зависимостей

Я всегда пытаюсь нарисовать «дерево зависимостей». Если я кладу деньги в протокол X, он перекладывает их в протокол Y, а тот через мост переводит их в протокол Z — значит, у меня теперь три точки отказа. Я предпочитаю более простые стратегии.

Применяем на практике

Если вам надоелась эта бесконечная погоня за процентами и вы просто хотите сохранить основные активы, лучший вариант — убрать их с бирж в холодное хранилище. Я сама использую Ledger Nano X, потому что он позволяет управлять портфелем через Bluetooth с телефона, не жертвуя безопасностью аппаратной подписи. Гораздо сложнее потерять все сбережения из-за чужого эксплойта, когда ваши приватные ключи не лежат в «горячем» кошельке или на рискованной ферме.

Если всё же решите фармить, используйте только те деньги, которые вам искренне не жалко потерять. По моему опыту, «безопасные» 5% всегда лучше, чем «возможные» 50%, которые превращаются в ноль после первого же взлома.