Facebook 
Pinterest Finanza ridefinita: vieni violato, vengono violati, tutti vengono violati, dall’11 al 18 novembre
Se le persone usassero effettivamente l’assicurazione contro gli hack, questa settimana avrebbe sicuramente mandato in bancarotta un gran numero di assicuratori. Nell’arco di una settimana, sono stati registrati un totale di quattro exploit abilitati per il prestito flash (uno in realtà si è verificato la settimana prima, ma è stato notato solo in seguito).
Abbiamo, in ordine, Cheese Bank con un furto di $ 3,3 milioni, Akropolis con la sua perdita di $ 2 milioni, Value DeFi con un enorme exploit di $ 6 milioni e infine la perdita di $ 7 milioni di Origin Protocol.
In totale, gli hacker hanno rubato $ 18,3 milioni, il che, ammettiamolo, non è molto, meno del singolo exploit di ottobre di Harvest Finance.
Come sempre, i commenti più comuni sull’argomento sono “sono stati controllati?” e “i prestiti flash sono cattivi”. Ora, in termini di audit, sono riuscito a trovare rapporti per tutti tranne Cheese Bank (forse è stato rivisto, ma non è immediatamente ovvio).
Ormai mi sento un record rotto, ma le persone hanno davvero bisogno di capire che gli audit saranno sempre limitati nella loro efficacia. Le società di sicurezza semplicemente non hanno abbastanza occhi e abbastanza tempo per trovare tutto.
Se vuoi indicare qualcosa, mi concentrerei sul fatto che nessuno di questi, tranne Akropolis, aveva una taglia di bug immediatamente rilevabile. Anche allora, vista la facilità con cui rubare denaro in criptovaluta, questi progetti dovrebbero essere molto più competitivi con i loro pagamenti rispetto a qualsiasi altro settore. Gli audit, che apparentemente costano più di $ 200.000 se si desidera una qualità premium, non sembrano l’uso più efficiente del denaro.
Ovviamente, le taglie non trasformeranno improvvisamente gli hacker blackhat in cittadini onesti, ma potrebbe cambiare la vita di un povero ragazzo che lo fa per vivere e decide di scansionare il tuo protocollo per il suo biglietto della lotteria. Sarebbero più che felici di ricevere $ 100.000 e avere la coscienza pulita facendoti risparmiare milioni di dollari su tutta la linea.
I prestiti flash sono difficili, ma equi
Per quanto riguarda i prestiti flash, penso che siano il più grande strumento per aumentare l’efficienza del mercato DeFi che abbiamo al momento. Il loro utilizzo previsto è quello di arbitrare varie risorse attraverso i protocolli: acquista a basso su Uniswap, vendi a alto su SushiSwap, il tutto senza impegnare il tuo capitale. Sono anche utili per sciogliere rapidamente le tue posizioni sui protocolli di prestito e sono sicuro che ci siano altri usi. In breve, sono davvero fantastici.
E sì, i prestiti flash semplificano gli hack. Ma tieni presente che tutto ciò che può essere fatto con un prestito flash può essere fatto anche con una grande pila di contanti. Gli hacker potrebbero non essere così ricchi in generale, ma in realtà è meglio che l’ecosistema elimini le implementazioni e i protocolli deboli prima che cresca per accogliere un hack da un miliardo di dollari.
È decisamente doloroso essere il destinatario di un hack, ma è anche un rischio noto che dovrebbe essere gestito. A volte può essere solo sfortuna, ma questa spiegazione dovrebbe essere utilizzata solo quando ogni possibile strategia di mitigazione è stata esaurita. Spero che ogni protocollo che viene violato adotti misure per garantire che non accada mai più. In caso contrario, gli attacchi continueranno fino a quando la sicurezza non migliorerà o fino a quando il protocollo non sarà morto.
I DEX combattono per le briciole lasciate da Uniswap
Uniswap, a un certo punto il protocollo più grande per valore totale bloccato con $ 3 miliardi, prevedibilmente ne ha perso più della metà non appena ha smesso di stampare i premi UNI per i suoi pool Ether.
La maggior parte di ciò è arrivata a SushiSwap, che è passata da circa $ 200 milioni a $ 1 miliardo in TVL. Sfacciatamente, il progetto ha spostato i suoi incentivi per l’agricoltura di rendimento agli stessi pool utilizzati da Uniswap solo un giorno prima della scadenza.
Poi Bancor ha intensificato lanciando il proprio programma di estrazione di liquidità, seguito oggi da Mooniswap. Gli ultimi due sembrano avere risultati modesti, aggiungendo forse 10 milioni di dollari ciascuno finora.
Quindi stiamo sicuramente assistendo a una concorrenza piuttosto aggressiva in quello spazio, alimentata da un sacco di stampa di token.
Ma la mia tesi della scorsa settimana sembra essere per lo più corretta: a Uniswap non importa. 1.3 miliardi di dollari senza alcuna sovvenzione è un risultato piuttosto sorprendente. È più di sei volte superiore a prima dell’inizio dell’intera stagione di coltivazione. Anche il volume rimane stabile.
Le fortune di Uniswap potrebbero, ovviamente, cambiare in futuro mentre il mercato continua a riadattarsi. Ad ogni modo, penso che questo sia un segno sia buono che cattivo per il futuro. Da un lato, stiamo assistendo a una vischiosità a lungo termine piuttosto chiara dopo la produzione agricola, dimostrando che è almeno in qualche modo efficace nel generare interesse per il biologico.
D’altra parte, stiamo vedendo che l’agricoltura della resa ha un certo successo, quindi potrebbe rimanere un punto fermo a lungo termine del mondo DeFi. Il concetto ha dei meriti, ma questa estate ha dimostrato che le persone spesso non capiscono in cosa si stanno cacciando.
Come avvertimento, ogni volta che il token di un protocollo DeFi può essere picchettato per ricevere più degli stessi token, questa è una dinamica molto chiara in stile Ponzi. È un gioco pericoloso da giocare, basta chiedere alle persone che hanno acquistato SUSHI a $ 11. Si potrebbe sostenere che lo staking di Ethereum 2.0 sia lo stesso, apparentemente smentendo la mia tesi. La differenza è che i rendimenti molto più sani evitano gli enormi cicli di boom e recessione tipici di molti “lanci equi” di DeFi.
I liquidatori dei maker stanno “rallentando”
Un altro problema sottolineato questa settimana è stato il fatto che i custodi di Maker – gli agenti responsabili della liquidazione dei crediti inesigibili – si sono rivelati completamente evitando piccoli prestiti sottocollateralizzati. Sembra che aprire un caveau per $ 100 sia così poco interessante per loro che lo ignoreranno anche se scende al di sotto della soglia di sicurezza che consentirebbe loro di liquidarlo.
È abbastanza facile capire perché. I liquidatori otterrebbero uno sconto di forse il 5%, quindi il loro profitto teorico è di soli $ 5, facilmente consumato dalle tasse del gas.
Aprire migliaia di piccole casseforti non è così costoso e potrebbe comportare una pericolosa vulnerabilità per Maker. I custodi razionali non avrebbero mai liquidato questo debito, soprattutto se fosse lasciato marcire e scendere decisamente al di sotto della soglia di collateralizzazione del 100%.
Ciò creerebbe Dai senza supporto in un modo molto simile al Black Thursday. Sono sicuro che in pratica, alcune parti interessate agiranno altruisticamente per liquidare il debito in perdita prima che sia troppo tardi. Inoltre, il sistema è progettato per essere salvato in queste situazioni, come abbiamo visto con le aste MKR dopo l’incidente all’inizio dell’anno.
Ma questo e la vulnerabilità del prestito flash di poche settimane prima segnalano che ci sono dei problemi in paradiso. Ad esempio, uno dei motivi per cui la comunità ha rifiutato di risarcire le vittime del giovedì nero è che è stato visto come un fallimento del mercato, non del sistema delle aste.
Ha senso, ma quest’ultima scoperta ha spinto la comunità a risolvere il problema in attesa di una leggera riprogettazione del sistema di aste. Ciò rivela una certa dissonanza cognitiva: dicono che il sistema “funzionava bene” prima, e tuttavia ora deve essere modificato a causa di un simile fallimento del mercato.
Personalmente, trovo la governance di Maker affascinante e unica tra i suoi pari. Quest’anno hanno dovuto fare i conti con alcune scelte molto difficili che vanno ben oltre la modifica di parametri collaterali arbitrari.
Non sono davvero d’accordo con alcune di queste scelte. Sicuramente ritengo che la decisione di non rimborsare le vittime del giovedì nero sia stata miope, anche se forse è stato il prodotto di una sfiducia reciproca data la causa collettiva che pendeva sopra la loro testa..
Ma questa è la natura umana e mi aspetto che la governance DeFi alla fine passerà attraverso molte delle lezioni che la storia ci ha servito. Alcune persone hanno grandi speranze che la governance DeFi ridisegni le società solo perché è “decentralizzata”. Spero che sia così, ma finora sto solo assistendo alla tua politica ordinaria, completa di interessi acquisiti, propaganda e deviazione.