Czy nadal warto bawić się w DeFi? Ten smak jest aż za dobrze znany...

Rynek kryptowalut wchodzi w kolejny bezsenny wieczór w zimnej atmosferze. Bitcoin spadł w ciągu tygodnia o prawie 12%, Ethereum wrócił w okolice 3300 dolarów, a aktywa ryzykowne są pod wspólną presją.

W obliczu słabego rynku zdecentralizowane finanse (DeFi) ponownie znalazły się w centrum burzy: klasyczny protokół Balancer v2 doświadczył największego w historii ataku hakerskiego, tracąc ponad 120 milionów dolarów; zaraz potem platforma optymalizująca zyski Stream Finance ujawniła stratę 93 milionów dolarów, a jej stakowany stablecoin xUSD spadł poniżej 0,3 dolara.

Na tym burza się nie kończy. Ryzyko wywołane przez Stream rozprzestrzenia się przez „kompozycyjność” na kolejne protokoły.
W najnowszej fali reakcji łańcuchowej firma zarządzająca ryzykiem DeFi Gauntlet złożyła do forum zarządzania Compound pilną propozycję, sugerując tymczasowe zawieszenie rynków USDC, USDS i USDT na głównej sieci Ethereum, aby zapobiec rozprzestrzenianiu się ryzyka.

Incydenty hakerskie następujące po sobie w okresie słabości rynku stawiają „finanse bez pośredników” przed poważnym testem rzeczywistości:

Kiedy spadki cen nakładają się na wydarzenia ryzykowne, czy nadal odważysz się „bawić” w DeFi?

Incydent hakerski, który zaczął się od Balancer

W poniedziałek ujawniono poważną lukę w Balancer v2. Atakujący wykorzystali błąd logiczny w Composable Stable Pools, przemieszczając się między Ethereum, Arbitrum, Base i innymi łańcuchami, w ciągu kilku godzin wykradając 128 milionów dolarów.

Badacze wskazali, że atakujący mogli sfałszować „wpływy z opłat” i wywołać wypłatę, zamieniając „fałszywe punkty” na „prawdziwe środki”. Co bardziej ironiczne, ten moduł systemowy przeszedł ponad dziesięć audytów bezpieczeństwa, w tym od OpenZeppelin i Trail of Bits. Renoma i lata doświadczenia nie powstrzymały jednak ataku logicznego.

Hasu, szef strategii Flashbots i Lido, stwierdził: „Za każdym razem, gdy taki stary kontrakt zostaje złamany, ogólna adopcja DeFi cofa się o 6 do 12 miesięcy.”

Niecałe 24 godziny później Stream Finance ujawnił, że jego „zewnętrzny zarządca środków” spowodował stratę aktywów w wysokości 93 milionów dolarów. Platforma wstrzymała wpłaty i wypłaty, a stakowany stablecoin xUSD głęboko odkotwiczył się, spadając z 1 dolara do 0,27 dolara.

Dane on-chain pokazują, że ekspozycja zabezpieczająca związana z xUSD, xBTC, xETH wynosi łącznie około 285 milionów dolarów i dotyczy wielu protokołów pożyczkowych, takich jak Euler, Silo, Morpho. Wartość TVL na wielu rynkach wyparowała w ciągu jednego dnia o setki milionów dolarów.

Twoje środki nie należą do ciebie: odwrotna strona „kompozycyjności”

Mówiąc wprost, najbardziej atrakcyjna cecha DeFi – „kompozycyjność” (Composability) – jest jak zestaw finansowych klocków Lego: możesz połączyć pulę zysków z protokołu A z pożyczkami z protokołu B, a jako zabezpieczenie użyć stablecoina z protokołu C, warstwa po warstwie.

W hossie ta zabawa rzeczywiście daje frajdę. Zyski się kumulują, efektywność jest niesamowita. Ale wielu nie zdaje sobie sprawy, że im wyżej budujesz, tym boleśniejszy upadek.

Gdy rynek się ochładza lub jedna z podstawowych „klocków” zawodzi – jak Balancer czy Stream – ryzyko rozprzestrzenia się po ścieżkach, które wcześniej zbudowano, niczym domino.

Johnny Time, założyciel firmy bezpieczeństwa Ginger Security, szczegółowo wyjaśnił ten mechanizm transmisji.

Wielu kupiło na Beefy Finance produkt reklamowany jako „najbezpieczniejszy skarbiec USDC”, sądząc, że środki są bezpieczne. W rzeczywistości pieniądze nie zatrzymały się w Beefy, lecz były przekazywane dalej, a ścieżka wyglądała następująco:

Beefy → Silo → Arbitrum → inna instytucja o nazwie Valarmore → ostatecznie trafiły do Stream Finance, który właśnie upadł.

Myślałeś, że kupujesz USDC, a w rzeczywistości nieświadomie trzymałeś upadły xUSD.

W tym łańcuchu platforma frontowa Beefy prezentowała użytkownikom „bezpieczny skarbiec USDC”, ale środki były następnie przekazywane przez pośrednika Valarmore do strategii xUSD w protokole Stream.

Johnny Time wskazuje, że problem polega na tym, że każda warstwa protokołu dąży do maksymalizacji zysków, ale brakuje ujawniania informacji i mechanizmów izolacji ryzyka.
Ta „wielowarstwowa” struktura sprawia, że ryzyko jest przekazywane w łańcuchu w sposób niewidoczny: zmiana decyzji w protokołach wyższego poziomu, wahania aktywów bazowych lub błędna strategia pośrednika – wszystko to potęguje ryzyko po drodze.
W końcu, gdy aktywa na najniższym poziomie (np. xUSD) mają problem, cała struktura wali się jak domino.

Dyskusja o decentralizacji

W związku z tym w społeczności ponownie wybuchła dyskusja o decentralizacji.

Partner Dragonfly, Haseeb Qureshi, uważa: „Nawet w zdecentralizowanych systemach, jeśli wystarczająco wielu uczestników osiągnie konsensus, można zamrozić konta lub środki.”
Krytycy szybko odpowiedzieli: „Jeśli wystarczająco wielu ludzi zgodzi się na coś, mogą zrobić wszystko – to już nie jest decentralizacja.”

Ta debata ujawnia paradoks zarządzania DeFi: gdy system wymaga interwencji konsensusu ludzkiego, aby powstrzymać kryzys, granice „decentralizacji” zaczynają się zacierać.

Założyciel OneSource, Vladislav Ginzburg, uważa, że ryzyko jest wpisane w ekosystem DeFi: „Złożoność smart kontraktów i inżynierii finansowej sprawia, że użytkownicy muszą akceptować niepewność.”
Badacz bezpieczeństwa Suhail Kakar mówi wprost: „‘Audytowane’ praktycznie nic nie znaczy. Kodowanie jest trudne, DeFi jeszcze trudniejsze.”
CTO Komodo, Kadan Stadelmann, dodaje, że częste incydenty bezpieczeństwa sprawią, iż fundusze instytucjonalne będą unikać złożonych struktur i wrócą do strategii „bitcoin only”.

Badacz Nansen, Nicolai Søndergaard, wskazuje, że luka w Balancer dotyczyła logiki rozliczeń, a nie kontroli uprawnień – tego typu ryzyka projektowe są trudne do wykrycia w audytach i trudno na nie szybko zareagować mechanizmami zarządzania.

Podsumowanie

Problem DeFi nigdy nie tkwił w technologii, lecz w zarządzaniu.
W hossie protokoły się piętrzą, wysokie zyski kuszą; teraz bessa odsłania prawdę – żadna warstwa nie jest całkowicie bezpieczna.

Projekty, które przetrwają w przyszłości, nie wygrają już roczną stopą zwrotu, lecz muszą udowodnić trzy rzeczy:
możliwość weryfikacji środków, izolację ryzyka, wykonalność zarządzania.

Dla zwykłych graczy doświadczenie też się zmienia: jeśli nawet nie wiesz, dokąd ostatecznie trafiają twoje pieniądze, lepiej po prostu kup BTC i mieć spokój.

W końcu, w świecie DeFi: ryzyko, które rozumiesz, to szansa; zysk, którego nie rozumiesz, to pułapka.

Autor: Seed.eth