Риски в DeFi: Как защитить свои активы?

Будущее безопасности децентрализованных финансов выглядит многообещающим и вместе с этим сложным. Для борьбы со сложными уязвимостями постоянно разрабатываются новые инструменты и фреймворки. Такие инновации, как квантовые вычисления и криптографические алгоритмы нового поколения, изменят ландшафт кибербезопасности на в будущем цифровом пространстве.

По мере того как DeFi будет все больше переплетаться с основными финансовыми системами, глобальные регулирующие органы будут устанавливать рамки, обеспечивающие безопасность и соответствие требованиям. Баланс между инновациями и правилами будет иметь большое значение для поддержания безопасной и динамичной экосистемы.

Основные риски в DeFi

Все потенциальные проблемы децентрализованных финансов грубо можно разделить на 4 аспекта: технический, финансовый, пользовательский и регуляторный. Разберем более подробно каждый из них.

Технические риски

В большинстве случаев они вызваны уязвимостями в смарт-контрактах. Неисправность в коде — один из самых распространенных рисков, с которыми вы можете столкнуться.

Вот несколько типичных атак на смарт-контракты, о которых нужно знать:

  1. Flash Loan Attacks. Необеспеченные флэш-кредиты позволяют пользователям занимать большие суммы криптовалюты без залога при условии, что они смогут вернуть их после выполнения определенного действия. Некоторые протоколы кредитования используют единый пул ликвидности для отслеживания цены токена. В итоге злоумышленники берут в долг большую сумму одного токена и меняют ее на другой, чтобы манипулировать ценой обоих токенов. Они вносят свои вновь приобретенные токены в другой протокол кредитования, чтобы занять большое количество токена, который они первоначально обменяли, а затем используют часть этого токена для погашения своего флеш-кредита. Такая практика может нанести прямой ущерб различным типам пользователей, в частности тем, кто предоставляет ликвидность пострадавшему пулу.
  2. Reentrancy Attacks. Это уязвимость в смарт-контрактах, когда функция вывода средств может быть повторно вызвана до завершения предыдущего выполнения. Это потенциально позволяет злоумышленнику манипулировать состоянием баланса и быстро вывести ликвидность из протокола.
  3. Frontrunning Attacks. Майнеры блока могут выбирать транзакции с наибольшей комиссией за газ. Приоритетная плата — эффективный инструмент, гарантирующий, что ваша транзакция будет одобрена раньше других. Однако такой принцип также приводит к проблемам со смарт-контрактами, поскольку злоумышленники могут опередить выгодные контракты, представив идентичный контракт, но с более высокой газовой комиссией. Как правило, такие атаки проводятся с помощью ботов или даже самих майнеров.
  4. Force-Feeding Attacks. Атака основана на манипулировании балансом ETH в EVM-сетях. Изменение баланса может привести к изменению логики функций, которые зависят только от желаемого баланса для внутреннего учета. Например, некоторые из этих процессов включают выплату вознаграждений, когда баланс превышает определенный уровень. Проблема с такими уязвимостями смарт-контрактов заключается в том, что остановить манипуляции с балансом смарт-контракта очень сложно. Поэтому важно убедиться, что баланс контракта не служит защитой или проверкой внутри функции.

Финансовые риски

В эту категорию входят все уязвимости, которые связаны не с техническим фактором, а с управлением ликвидностью. Сюда входит как другие мошенничества без взлома кода, так и недостатки экономических механизмов протоколов.

Вот несколько распространенных примеров:

  1. Rug Pull. Одна из самых популярных форм мошенничества в DeFi, которая осуществляется создателем токена, что позволяет ему забрать деньги у своих инвесторов. Например, злоумышленники создали новую криптовалюту «A» с общим объемом предложения в 1 миллиард. Затем они разместили 100 миллионов монет «A» и 1 ETH для создания нового пула ликвидности на Uniswap. После того как токен был продвинут в социальных сетях и куплен, в пуле теперь находится 50 млн монет «A» и 100 ETH. Затем создатель берет 900 млн млн токена A, которые у него остались, и начинает продавать их в пул ликвидности, пока не выведет все ETH.
  2. Непостоянные потери. Если цена сильно изменится во время вывода средств, вы можете остаться с меньшей общей стоимостью по сравнению с тем, когда вы держали их напрямую. Представьте, что вы положили $100 ETH и $100 BTC в некий пул ликвидности. Если цена на ETH будет очень высокой, а цена на BTC в это время упадет, то при выводе средств вы можете получить менее 200 долларов.

Пользовательские риски

Эта категория объединяет все риски, которые вызваны человеческим фактором. Поскольку DeFi является децентрализованной и некастодиальной экосистемой, вся ответственность за сохранность средств лежит исключительно на самих пользователях. И не все придают этому факту серьезное значение.

Децентрализованные финансы до сих пор остаются достаточно сложным в освоении направлением. Многие безвозвратно теряют крупные суммы денег, забыв приватные ключи или не разобравшись в своих криптокошельках. То же относится и к невнимательности при переходе на фишинговые ссылки: все это происходит здесь повсеместно.

Регуляторные риски

Эта категория стоит отдельно от других по вполне понятным причинам: вся криптоиндустрия до сих пор находится в состоянии правовой неопределенности. А правительственные организации, такие как Комиссия по ценным бумагам и биржам (SEC), могут оказать огромное влияние на сектор DeFi.

Наглядный пример — дело SEC против LBRY. Эта криптовалютная компания использует технологию блокчейн, чтобы позволить пользователям обмениваться цифровым контентом и давать чаевые его создателям. Суд постановил, что LBRY продавал незарегистрированные ценные бумаги в виде токена LBC в рамках ICO.

Такие ситуации создают прецедент, который впоследствии может стать основой для прямого влияния централизованных организаций на сектор децентрализованных финансов.

Как защитить свои активы в DeFi

Теперь разберем основные методы по митигации рисков при работе с децентрализованными протоколами. Мы дадим практические советы по каждому из четырех аспектов.

Безопасное использование смарт-контрактов

Обнаружение и устранение уязвимостей в коде — задача именно разработчиков. Для этого используется целая методология безопасного кодирования, а также различные инструменты для проверки корректности кода, контроля доступа и шифрования. Однако если платформа имеет открытый код, если вы не программист, вы не сможете обнаружить ошибки и бэкдоры.

Единственный верный вариант для обычных пользователей — ознакомиться с результатами аудита безопасности, проведенного специалистами. В ходе него проверяются четыре критерия:

  1. Code: потенциальные ошибки и уязвимости;
  2. Fundamentals: компетентность основной команды;
  3. Operations: долгосрочная устойчивость и приверженность безопасности;
  4. Community: опыт и удовлетворенность пользователей.
Каждый критерий оценивается отдельно, а все вместе они формируют итоговую оценку. Если проект прошел аудит безопасности и получил общий балл 90+, ему можно доверять.

Управление рисками ликвидности и волатильности

Рынок криптовалют априори волатилен — это нужно иметь ввиду. Чтобы быть готовым к любому сценарию и не потерять деньги, достаточно следовать простым базовым финансовым рекомендациям:

  1. Диверсификация. Распределите свои средства в различных протоколах, поддерживающих широкий ряд активов.
  2. Хеджирование. Используйте LP деривативы для компенсации потерь в случае будущей волатильности.
  3. Менеджмент позиций. Используйте все возможности платформ: кастомные пулы, диапазоны, динамическое вознаграждение и т.д.
  4. Автоматизация. Упростите процесс инвестирования с помощью агрегаторов доходности и децентрализованных хранилищ.

Юридическая защита и соблюдение регуляций

Нормативно-правовое регулирование DeFi существенно различается в зависимости от региона. К тому же оно находится в постоянном процессе развития и может быстро меняться.

Прямо повлиять на это никто из нас не в состоянии. Поэтому вкратце изучаем нормативно-правовую базу и всегда остаемся осведомленными по поводу изменений законопроектов в конкретном государстве.

Обучение и повышение финансовой грамотности

Именно этим мы и занимаемся в нашем блоге. Если вы его читаете, значит уже минимально знакомы с DeFi.

Если только погружаетесь в мир децентрализованных финансов, советуем ознакомится с основами в этом плейлисте.

Кейс-стади: примеры рисков и успешной защиты

Мы уже упомянули дело против LBRY. Вот несколько ситуаций, демонстрирующих реальность этих рисков:

  1. Эксплойт TinyMan. Эта популярная DEX от Algorand, был взломана для получения криптовалюты на сумму около $3 млн в январе 2022 года. Такие протоколы как TinyMan должны возвращать на кошелек пользователя два типа криптовалюты, когда сгорает токен пула ликвидности. Когда злоумышленники узнали, как использовать протокол, чтобы получить один и тот же токен дважды, они опустошили пул goBTC/ALGO, лишив его всех goBTC.
  2. Афера Luna Yield. В августе 2021 года злоумышленники завладели почти $7 млн средств, полученных от инвесторов. Все аккаунты в социальных сетях и сайт Luna Yield, проекта на Solana, были закрыты. Когда пользователи разблокировали свои средства, они обнаружили, что пулы пусты. Они стали жертвами Rug Pull.
  3. История трейдера на Binance. Показательная ситуация произошла с пользователем, который перевел крипту на фальшивый адрес.Он потерял почти $70 млн.
Такие примеры окружают нас постоянно. Время от времени в инфополе всплывают новости об очередном взломе протокола, краже средств, массовых ликвидациях на рынке и т.д. А ведь большинство этих ситуаций можно избежать, если чуть более внимательно и ответственно относиться к своим средствам.

Будущее безопасности в DeFi

Будущее безопасности децентрализованных финансов выглядит многообещающим и вместе с этим сложным. Для борьбы со сложными уязвимостями постоянно разрабатываются новые инструменты и фреймворки. Такие инновации, как квантовые вычисления и криптографические алгоритмы нового поколения, изменят ландшафт кибербезопасности на в будущем цифровом пространстве.


По мере того как DeFi будет все больше переплетаться с основными финансовыми системами, глобальные регулирующие органы будут устанавливать рамки, обеспечивающие безопасность и соответствие требованиям. Баланс между инновациями и правилами будет иметь большое значение для поддержания безопасной и динамичной экосистемы.

Подведем итоги

Децентрализованные финансы развиваются слишком быстро. Многая информация становится неактуальной с течением все меньшего времени. Одни тренды сменяют другие, новые технологии приходят на смену старым, перспективные протоколы мгновенно вспыхивают в популярности и так же быстро угасают. Все это давно стало привычным для нас. И только постоянное изучение этой экосистемы и всех ее составляющих является залогом безопасного сохранения вашего капитала. Успехов!
Забирай стратегию
по которой ты сможешь закупить монеты в свой портфель в 5 - 10 раз дешевле рынка
В первой я рассказал об основных ошибках, которые совершают 90% криптоинвесторов.
Я подготовил для тебя 2 крутые статьи 🔥
Во второй дал инструменты, которые позволяют получать доходность выше всех тех 90% криптоинвесторов.
Время чтения: 10 минут
Совокупно изучив эти материалы, ты гарантированно освоишь пошаговые действия, необходимые для увеличения своего капитала до 300%!
Изучить материалы