Ваши DeFi деньги в безопасности, только если админ-ключ под контролем

Вы, наверное, слышали фразу «не ваши ключи — не ваши монеты» тысячу раз. Это золотое правило крипты. Но есть второе, более тихое правило, которое большинство новичков упускают: даже если вы храните приватные ключи на аппаратном кошельке, вас могут обкрасть, если в протоколе, который вы используете, есть централизованный админ-ключ. Я видела, как это происходит снова и снова с тех пор, как начала следить за рынком в 2019 году. Вам кажется, что вы взаимодействуете с неизменяемым кодом, но на деле вы просто отдаете деньги разработчикам, у которых есть кнопка «режим бога». Если вы хотите понять, как найти таймлок протокола и проверить, действительно ли проект децентрализован, нужно смотреть глубже маркетинга, прямо в логику контракта.

Коротко о главном

Админ-ключ — это специальный приватный ключ, который позволяет разработчикам менять правила смарт-контракта, перемещать средства или обновлять код без согласия пользователей. Если этот ключ украдут или разработчики решат схитрить, они смогут выкачать все средства из каждого кошелька, подключенного к протоколу, одной транзакцией. Решение здесь — таймлок. Он создает принудительную задержку (обычно от 48 часов и больше) перед вступлением в силу любых изменений. Это дает вам время вывести деньги, если вы заметили подозрительное обновление.

Как это работает на самом деле

В идеальном мире смарт-контракт развертывается, а затем «отказывается» (renounced). Это значит, что разработчики выбрасывают ключи, и код становится законом. Но реальный мир несовершенен. Бывают баги, протоколы нужно развивать. Чтобы с этим справляться, разработчики оставляют себе админ-ключ.

И тут начинается проблема. Большинство протоколов используют для этого обычный кошелек с одной подписью (EOA). Если ноутбук одного разработчика взломают, хакер станет владельцем всего протокола. Именно так северокорейская группа Lazarus умудряется воровать миллиарды. Они не всегда взламывают сам блокчейн, они взламывают людей, которые держат админ-ключи.

Чтобы это исправить, серьезные проекты используют мультисиг (мультиподпись). Вместо одного ключа нужно, например, чтобы 3 из 5 назначенных людей подтвердили изменение. Это уже лучше, но все еще централизованно. Золотой стандарт — сочетание мультисига и таймлока. Мультисиг предлагает изменение, а таймлок гарантирует, что оно не произойдет мгновенно.

Где люди ошибаются

Самая большая ошибка, которую я замечаю, — это когда слово «аудировано» путают с понятием «безопасно». Аудит говорит о том, что в коде нет явных дыр, но он не означает, что у разработчиков нет мастер-ключа, который перекрывает всё.

Мне попадалось полно проектов, которые называют себя «управляемыми сообществом», хотя основатели до сих пор полностью контролируют казначейство. Они будут обещать, что движутся к децентрализации, но слово «скоро» в DeFi — это опасный знак. Если проект отказывается раскрыть, кто владеет админ-ключами, или у него нет публичного таймлока, они фактически просят вас доверить им все свои сбережения. По моему опыту, это ставка, которая рано или поздно проигрывает.

Как проверить безопасность на практике

Если вы пользуетесь протоколом и хотите проверить его безопасность, не ограничивайтесь чтением документации. Зайдите в блок-эксплорер (например, Etherscan). Найдите адрес контракта и перейдите на вкладку Read Contract. Ищите такие переменные, как owner, admin или timelock. Если вы видите один адрес кошелька в качестве владельца и ни слова о таймлоке, значит, вы имеете дело с централизованной структурой.

Вы не можете контролировать управление протоколом, но можете контролировать, как храните выведенные активы. Я всегда увожу свои долгосрочные позиции с бирж и из рискованных DeFi-пулов. Для себя я использую Ledger Stax, потому что функция проверки транзакций позволяет мне видеть, что именно я подписываю, прежде чем нажать подтвердить. Это простой слой защиты, который не даст вам случайно подписать транзакцию setApprovalForAll, которая позволила бы хакеру опустошить ваш кошелек.

Прежде чем отправить очередной тысячу USDC в высокодоходный фарминг, спросите себя: у кого ключ от сейфа? Если ответ «у пары ребят в Discord-канале», возможно, стоит пересмотреть свою позицию.