Se le persone usassero effettivamente l’assicurazione contro gli hack, questa settimana avrebbe sicuramente mandato in bancarotta un gran numero di assicuratori. Nell’arco di una settimana sono stati registrati un totale di quattro exploit abilitati per il prestito flash (uno di questi è effettivamente accaduto la settimana prima, ma nessuno se ne è accorto se non più tardi).
Abbiamo, in ordine, Cheese Bank con un furto da 3,3 milioni di dollari, Akropolis con la sua perdita di $ 2 milioni, Value DeFi con a un enorme exploit da 6 milioni di dollarie infine il protocollo di origine perdita di $ 7 milioni.
In totale gli hacker hanno rubato 18,3 milioni di dollari, che a dire il vero non è molto, meno di quello di ottobre exploit di Harvest Finance.
Come sempre, i commenti più comuni sull’argomento sono “sono stati controllati?” e “i prestiti flash sono cattivi”. Ora, in termini di auditing, sono stato in grado di trovare rapporti per tutti tranne Cheese Bank (forse è stato rivisto, ma non è immediatamente ovvio).
Mi sento come un disco rotto ormai, ma le persone hanno davvero bisogno di capire che gli audit saranno sempre limitati nella loro efficacia. Le società di sicurezza semplicemente non hanno abbastanza occhi e abbastanza tempo per trovare tutto.
Se vuoi indicare qualcosa, mi concentrerei sul fatto che nessuno di questi, tranne Akropolis, aveva una taglia di bug immediatamente rilevabile. Anche allora, vista la facilità con cui rubare denaro in criptovaluta, questi progetti dovrebbero essere molto più competitivi con i loro pagamenti rispetto a qualsiasi altro settore. Audit, che a quanto pare correre per più di $ 200.000 se vuoi una qualità premium, non sembrare l’uso più efficiente del denaro.
Ovviamente, le taglie non trasformeranno improvvisamente gli hacker blackhat in cittadini onesti, ma potrebbero cambiare la vita di un povero ragazzo che lo fa per vivere e decide di scansionare il tuo protocollo per il suo biglietto della lotteria. Sarebbero più che felici di ricevere $ 100.000 e avere la coscienza pulita facendoti risparmiare milioni di dollari su tutta la linea.
I prestiti flash sono difficili, ma giusti
Per quanto riguarda i prestiti flash, penso che siano il miglior strumento per aumentare l’efficienza del mercato DeFi che abbiamo al momento. Il loro utilizzo previsto è quello di arbitrare varie risorse attraverso i protocolli: acquista a basso su Uniswap, vendi a alto su SushiSwap, il tutto senza impegnare il tuo capitale. Sono anche utili per sciogliere rapidamente le tue posizioni sui protocolli di prestito, e sono sicuro che ci sono altri usi. In breve, sono davvero fantastici.
E sì, i prestiti flash semplificano gli hack. Ma tieni presente che tutto ciò che può essere fatto con un prestito flash può essere fatto anche con una grande pila di contanti. Gli hacker potrebbero non essere così ricchi in generale, ma in realtà è meglio per l’ecosistema estirpare implementazioni e protocolli deboli prima che cresca per ospitare un hack da miliardi di dollari.
È decisamente doloroso ricevere un hack, ma è anche un rischio noto che dovrebbe essere gestito. A volte può essere solo sfortuna, ma questa spiegazione dovrebbe essere utilizzata solo quando ogni possibile strategia di mitigazione è stata esaurita. Spero che ogni protocollo che viene violato prenda delle misure per garantire che non accada mai più. In caso contrario, gli attacchi continueranno fino a quando la sicurezza non migliorerà o fino a quando il protocollo non sarà morto.
I DEX combattono per le briciole lasciate da Uniswap
Uniswap, a un certo punto il protocollo più grande per valore totale bloccato con $ 3 miliardi, prevedibilmente ne perse più della metà non appena ha smesso di stampare i premi UNI per i suoi pool Ether.
La maggior parte di ciò è arrivata a SushiSwap, che è passata da circa $ 200 milioni a $ 1 miliardo in TVL. Sfacciatamente, il progetto ha spostato i suoi incentivi per l’agricoltura di rendimento agli stessi pool utilizzati da Uniswap solo un giorno prima della scadenza.
Poi Bancor si fece avanti lanciando il proprio programma di estrazione di liquidità, seguito da Mooniswap oggi. Gli ultimi due sembrano avere risultati modesti, aggiungendo forse 10 milioni di dollari ciascuno finora.
Quindi stiamo sicuramente assistendo a una concorrenza piuttosto aggressiva in quello spazio, alimentata da un sacco di stampa di token.
Ma il mio tesi della scorsa settimana sembra essere per lo più corretto – Uniswap non si preoccupa. $ 1,3 miliardi senza alcun sussidio è un risultato piuttosto sorprendente. È più di sei volte superiore a prima che iniziasse l’intera stagione di coltivazione. Anche il volume rimane stabile.
Le fortune di Uniswap potrebbero, ovviamente, cambiare in futuro mentre il mercato continua a riadattarsi. Ad ogni modo, penso che questo sia un segno sia buono che cattivo per il futuro. Da un lato, stiamo vedendo una vischiosità a lungo termine piuttosto chiara dopo la produzione agricola, dimostrando che almeno in qualche modo riesce a generare interesse per il biologico.
D’altra parte, stiamo vedendo che l’agricoltura di rendimento ha un certo successo, quindi potrebbe rimanere un punto fermo a lungo termine del mondo DeFi. Il concetto ha dei meriti, ma questa estate ha dimostrato che le persone spesso non capiscono in cosa si trovano.
Come avvertimento, ogni volta che il token di un protocollo DeFi può essere picchettato per ricevere più degli stessi token, questa è una dinamica molto chiara in stile Ponzi. È un gioco pericoloso da giocare, basta chiedere alle persone che hanno acquistato SUSHI a $ 11. Si potrebbe sostenere che lo staking di Ethereum 2.0 sia lo stesso, smentendo apparentemente la mia tesi. La differenza è che i rendimenti molto più sani evitano gli enormi cicli di boom e crisi tipici di molti “lanci equi” di DeFi.
I liquidatori dei maker stanno “rallentando”
Un altro problema sottolineato questa settimana è stato il fatto che i custodi di Maker – gli agenti responsabili della liquidazione dei crediti inesigibili – si sono rivelati evitando completamente i piccoli prestiti sottocollateralizzati. Sembra che aprire un caveau per $ 100 sia così poco interessante per loro che lo ignoreranno anche se scende al di sotto della soglia di sicurezza che consentirebbe loro di liquidarlo.
È abbastanza facile capire perché. I liquidatori otterrebbero uno sconto di forse il 5%, quindi il loro profitto teorico è di soli $ 5, facilmente consumato dalle tasse del gas.
Aprire migliaia di piccole casseforti non è così costoso e potrebbe comportare una pericolosa vulnerabilità per Maker. I custodi razionali non avrebbero mai liquidato questo debito, soprattutto se fosse lasciato marcire e scendere decisamente al di sotto della soglia di garanzia del 100%.
Ciò creerebbe Dai senza supporto in a modo molto simile al giovedì nero. Sono sicuro che in pratica, alcune parti interessate agiranno in modo altruistico per liquidare il debito in perdita prima che sia troppo tardi. Inoltre, il sistema è progettato per essere salvato in queste situazioni, come abbiamo visto con le aste MKR dopo l’incidente all’inizio dell’anno.
Ma questo e il file vulnerabilità del prestito flash da qualche settimana prima segnale che ci sono guai in paradiso. Ad esempio, uno dei motivi per cui la community ha rifiutato di risarcire le vittime del giovedì nero è che è stato visto come un fallimento del mercato, non del sistema delle aste.
Ha senso, ma quest’ultima scoperta ha spinto la comunità a risolvere il problema in attesa di una leggera riprogettazione del sistema di aste. Ciò rivela una certa dissonanza cognitiva: dicono che il sistema “funzionava bene” prima, e tuttavia ora deve essere modificato a causa di un simile fallimento del mercato.
Personalmente, trovo la governance di Maker affascinante e unica tra i suoi pari. Quest’anno hanno dovuto fare i conti con alcune scelte molto difficili che vanno ben oltre la modifica di parametri collaterali arbitrari.
Non sono davvero d’accordo con alcune di queste scelte. Sicuramente ritengo che la decisione di non rimborsare le vittime del giovedì nero sia stata miope, anche se forse è stato il prodotto della sfiducia reciproca data la causa collettiva che pendeva sopra la loro testa.
Ma questa è la natura umana e mi aspetto che la governance DeFi alla fine passerà attraverso molte delle lezioni che la storia ci ha servito. Alcune persone hanno grandi speranze che la governance DeFi ridisegni le società solo perché è “decentralizzata”. Spero che sia così, ma finora sto solo assistendo alla tua politica ordinaria, completa di interessi acquisiti, propaganda e deviazione.
