Drift saldırısı Carrot'u nasıl yok etti? Getiri çiftçiliği neden hala riskli?

Son birkaç yılımı, insanların protokollerin alt yapısındaki tesisatı tamamen görmezden gelip sadece en yüksek yüzdeye, yani getiriye koşmasını izleyerek geçirdim. Drift saldırısının ardından Carrot'un çöküşü, bunun neden bu kadar tehlikeli olduğunun ders kitaplarına girecek bir örneği. Eğer riskli getiri çiftçiliği projelerini nasıl tespit edeceğinizi anlamaya çalışıyorsanız, APY oranlarının ötesine bakıp bağımlılıklara odaklanmanız gerekiyor.

Kısa cevap

Carrot'un çöküşü aslında bir bulaşma (contagion) etkisiyle gerçekleşti. Carrot'un kendi kodunda mutlaka bir hata vardı diyemem ama getiri sağlamak için Drift'e güveniyordu. Drift saldırıya uğradığında, Carrot'u destekleyen değer bir anda yok oldu. DeFi dünyasında, eğer B Protokolü para kazanmak için A Protokolü'nü kullanıyorsa, B Protokolü ancak A Protokolü kadar güvenlidir.

Bulaşma süreci nasıl işledi?

Bunu anlamak için DeFi protokollerini birbirinden bağımsız adalar gibi düşünmeyi bırakmalısınız. Bunlar daha çok bir iskambil kulesine benziyor. Birçok getiri optimize edici veya "kasa" (vault) aslında kendi getirisini üretmez. Bunun yerine, sizin mevduatlarınızı alır ve en iyi oranı bulmak için başka protokollere taşır.

Bu olayda Carrot, Drift'e aşırı bağımlıydı. Drift saldırısı gerçekleştiğinde, sadece doğrudan Drift'te parası olanlar zarar görmedi. Bir vakum oluştu. Carrot'un "getirisi" temelde Drift ekosisteminden türetildiği için, Drift çöktüğü an Carrot'un temel varlıkları veya ödül tokenlarının değeri yerle bir oldu.

Ben bu kalıbı daha önce de gördüm. Terra Luna çöküşünü tetikleyen mantıkla aynı, sadece ölçeği daha küçük. Bir risk katmanınız var ve üzerine bir risk katmanı daha ekliyorsunuz. En alt katman kırıldığında, üzerindeki her şey aşağı iner. Özellikle enflasyondan korunmak için stabil coinlerle yüksek getiri arayan kullanıcılar için bu durum tam bir kabus.

İnsanların düştüğü hatalar

Gördüğüm en büyük hata "getiri körlüğü". İnsanlar %20 veya %50 APY gördüklerinde soru sormayı bırakıyorlar. Şık bir panelleri olduğu için veya Twitter'da çok takipçileri olduğu için protokolün güvenli olduğunu varsayıyorlar.

Bir diğer yaygın yanılgı ise, protokolün "denetlendiği" (audited) için güvenli olduğu düşüncesi. Denetim, kodun sadece belirli bir andaki fotoğrafıdır. Sizi bulaşma etkisinden korumaz. Carrot'un denetimi kodun düzgün olduğunu göstermiş olabilir ama paranın yatırıldığı protokol hacklendiğinde bu denetimin hiçbir anlamı kalmaz.

Riskli getiri çiftlikleri nasıl tespit edilir?

Bir sonraki Carrot vakasını yaşamak istemiyorsanız, fonlarınızı yatırmadan önce biraz dedektiflik yapmanız gerekir. Benim baktığım noktalar şunlar:

Getiri kaynağını kontrol edin

Kendinize şu soruyu sorun: Bu para gerçekten nereden geliyor? Eğer protokol "gelişmiş stratejiler" kullandığını söylüyorsa, bu genellikle paranızı başka protokollere iç içe yerleştirdikleri anlamına gelir. Fonların nerede saklandığına dair net bir liste bulamıyorsanız, risk çok yüksektir.

"Özyinelemeli" (recursive) döngülere dikkat edin

Kendi tokenını teminat olarak kullanıp, daha fazla getiri elde etmek için yine aynı tokendan borç alan protokollere karşı temkinli olun. Bu bir geri besleme döngüsü yaratır. Fiyat düştüğünde, tüm sistemi dakikalar içinde yok edebilecek bir likidasyon zincirini tetikler.

Bağımlılık zincirini analiz edin

Ben her zaman "bağımlılık ağacını" çıkarmaya çalışırım. Eğer X Protokolü'ne para yatırırsam, X bunu Y'ye aktarıyorsa ve Y de bir köprü (bridge) üzerinden Z'ye taşıyorsa, şu an üç farklı hata noktasına maruz kalmışım demektir. Ben daha basit stratejileri tercih ediyorum.

Uygulamaya dökmek

Eğer artık bu "getiri kovalamacasından" yorulduysanız ve ana varlıklarınızı güvende tutmak istiyorsanız, en mantıklı hamle onları borsalardan çıkarıp soğuk depolamaya taşımaktır. Ben şahsen Ledger Nano X kullanıyorum çünkü donanım imzalayıcının güvenliğinden ödün vermeden portföyümü telefonum üzerinden Bluetooth ile yönetebiliyorum. Özel anahtarlarınız sıcak bir cüzdanda veya riskli bir çiftlikte durmadığında, bir bulaşma olayında tüm birikiminizi kaybetmeniz çok daha zordur.

Hala çiftçilik yapmak istiyorsanız, sadece gerçekten kaybetmeyi göze aldığınız miktarlarla işlem yapın. Benim deneyimime göre, "güvenli" %5 getiri, bir saldırı sonrası %0'a düşen "belki" %50 getiriden her zaman daha iyidir.